[TR] SSL/TLS Dünyasında Manuel Devir Kapanıyor: 47 Günlük Yeni Gerçekliğe Hazır mısınız?
A close-up on an abstract design of a display, which is warning about a cyber attack. Multiple rows of hexadecimal code are interrupted by red glowing warnings and single character exclamation marks. The image can represent a variety of threats in the digital world: data theft, data leak, security breach, intrusion, etc...
Posted inSecurity

[TR] SSL/TLS Dünyasında Manuel Devir Kapanıyor: 47 Günlük Yeni Gerçekliğe Hazır mısınız?

Dijital güvenlik dünyasında sessiz ama son derece radikal bir dönüşüm yaşanıyor. Yıllardır sistem yöneticilerinin alışkanlık haline getirdiği SSL/TLS sertifika yönetimi modeli kökten değişiyor.

Google ve Apple öncülüğünde tarayıcı üreticileri tarafından desteklenen yeni yaklaşım, internet güvenliğini daha çevik, daha dinamik ve daha dirençli hale getirmeyi hedefliyor.

Bu değişimin merkezinde ise tek bir konu var sertifika geçerlilik sürelerinin dramatik biçimde kısaltılması.

Bugün hâlâ birçok kurum sertifikalarını yılda bir kez yenileme refleksiyle yönetiyor. Ancak önümüzdeki birkaç yıl içinde bu yaklaşım tamamen geçersiz hale gelecek. Manuel sertifika yönetimi dönemi kapanıyor otomasyon artık bir tercih değil, zorunluluk.

Sertifika Ömürleri Neden Kısaltılıyor?

SSL/TLS sertifikalarının geçerlilik süreleri geçmişte iki yıla kadar çıkabiliyordu. Güvenlik riskleri ve sektörün ihtiyaçları doğrultusunda bu süre önce bir yıla (398 gün) indirildi. Şimdi ise çok daha agresif bir takvim devreye giriyor.

Amaç açık:

  • Güvenliği statik bir yapıdan çıkarıp dinamik hale getirmek
  • Anahtar sızıntılarının etkisini minimize etmek
  • Tüm ekosistemi otomasyona zorlayarak insan hatasını devre dışı bırakmak

Uzun ömürlü sertifikalar konforlu ama riskliydi. Bir anahtar sızdırıldığında veya kriptografik bir zafiyet ortaya çıktığında uzun geçerlilik süresi kötü niyetli kullanım için geniş bir pencere sunuyordu. Kısa ömürlü sertifikalar ise bu pencereyi doğal olarak daraltıyor.

Kademeli Daralma: Netleşen Takvim

Sektörde kabul edilen yol haritasına göre sertifika yaşam döngüsü kademeli olarak daraltılacak:

  • 15 Mart 2026: Maksimum sertifika ömrü 200 güne düşürülecek.
  • 15 Mart 2027: Geçerlilik süresi 100 güne indirilecek.
  • 15 Mart 2029: Nihai hedef olan 47 günlük döngüye geçilecek.

Bu tabloyu operasyonel açıdan düşündüğümüzde çarpıcı bir gerçek ortaya çıkıyor.

2029 itibarıyla bir sertifikayı yılda yaklaşık dokuz kez yenilemeniz gerekecek.

Bu noktada manuel yönetimin sürdürülebilir olmadığını kabul etmek gerekiyor. Takvim takibi, hatırlatmalar, DNS kayıt güncellemeleri ve servis restart işlemleri insan eliyle yönetilemeyecek kadar sık hale gelecek.

Sadece Sertifikalar Değil: DCV Süreleri de Kısalıyor

Değişim yalnızca sertifika ömrüyle sınırlı değil. Alan Adı Doğrulama (Domain Control Validation – DCV) süreçleri de bu dönüşümden etkileniyor.

2029 itibarıyla DCV doğrulamaları yalnızca 10 gün geçerli olacak. Bu, DNS veya HTTP tabanlı doğrulama kayıtlarının çok daha sık yenilenmesi anlamına geliyor.

Otomasyon kullanılmadığı takdirde bu durum:

  • Sürekli DNS müdahalesi
  • Artan operasyonel yük
  • Yüksek hata riski
  • Beklenmedik servis kesintileri

gibi sonuçlar doğuracak.

Kısacası, manuel süreçlerle bu tempoya ayak uydurmak neredeyse imkânsız hale gelecek.

47 Günlük Modelin Arkasındaki Strateji

47 gün rastgele belirlenmiş bir süre değil. Bu model 31 günlük takvim ayı, 15 günlük yenileme penceresi ve 1 günlük tolerans payı düşünülerek tasarlanmış stratejik bir hesaplamaya dayanıyor.

Bu dönüşümün arkasında üç temel güvenlik motivasyonu bulunuyor.

1. Kuantum Sonrası Kriptografi (PQC) Hazırlığı

Kuantum bilgisayarların mevcut şifreleme algoritmalarını kırma potansiyeli artık teorik bir tartışma olmaktan çıktı. İnternet ekosisteminin yeni algoritmalara hızlı geçiş yapabilecek çevikliğe sahip olması gerekiyor. Kısa sertifika ömürleri bu çevikliği mümkün kılıyor.

2. Güvenlik Çevikliği

Bir özel anahtarın sızdırıldığını düşünün. Sertifika bir yıl geçerliyse risk penceresi de bir yıla kadar uzayabilir. Ancak geçerlilik süresi 47 gün olduğunda, kötü niyetli kullanım süresi doğal olarak sınırlandırılmış olur.

3. İnsan Hatasını Ortadan Kaldırmak

Manuel süreçler doğası gereği unutulmaya açıktır. Hatırlatma e-postaları gözden kaçabilir, takvimler şaşabilir, yoğunluk içinde yenileme ertelenebilir. Sürelerin kısalması sektörü otomasyona zorlayarak bu riski minimize etmeyi hedefliyor.

Kurumlar Bu Sürece Nasıl Hazırlanmalı?

Bu dönüşümden etkilenmemek için beklemek doğru strateji değil. 2026’yı beklemeden harekete geçmek gerekiyor.

ACME Protokolünü Standartlaştırın

Sertifika talebi, doğrulama ve yenileme süreçlerini otomatik hale getiren ACME protokolü artık temel bir gereklilik. Let’s Encrypt gibi çözümlerle başlayan bu yaklaşım, kurumsal sertifika otoriteleri tarafından da destekleniyor.

Merkezi Sertifika Yaşam Döngüsü Yönetimi (CLM)

Dağınık sunucular manuel Excel tabloları ve bireysel takip yöntemleri sürdürülebilir değil. Merkezi bir CLM platformu ile tüm sertifikalarınızı tek noktadan izleyebilmelisiniz.

Otomasyon Testlerini İhmal Etmeyin

Yenilenen sertifikaların Nginx, Apache veya IIS gibi servislerde kesintisiz şekilde devreye girdiğinden emin olun. Graceful restart senaryolarını test edin. Otomasyon kurmak kadar doğru çalıştığını doğrulamak da kritik.

Daha Kısa Periyotlarla Pratik Yapın

Bugünden 90 günlük sertifika modeline geçmek, organizasyonunuzu yeni gerçekliğe alıştıracaktır. Böylece 47 günlük döngüye geçiş çok daha sorunsuz olur.

Yeni Gerçeklik: SSL Artık Sürekli Çalışan Bir Servis

SSL/TLS artık yılda bir kez yenilenen statik bir dosya değil. Sürekli güncellenen, izlenen ve otomatik yönetilen canlı bir servis haline geliyor.

Bu dönüşüme uyum sağlayamayan kurumlar için sonuçlar net olacak:

  • Beklenmedik servis kesintileri
  • “Güvenli Değil” uyarıları
  • Müşteri güven kaybı
  • Operasyonel kaos

Ancak süreci bugünden doğru planlayanlar için bu değişim bir tehdit değil, aksine daha sağlam ve daha modern bir güvenlik mimarisine geçiş fırsatıdır.

Tags: