GÜVENLİK REHBERİ

SSL Sertifikası Doğrulama — Sahte HTTPS Sayfalarını Nasıl Ayırt Edersiniz?

📅 Yayım: 09 Mayıs 2026 🔄 Son güncelleme: 09 Mayıs 2026 ✍ Betkulübü Güvenlik Editör Ekibi

HTTPS protokolünün sembolü olan adres çubuğundaki kilit ikonu, kullanıcılar tarafından yaygın bir şekilde “site güvenli” anlamında yorumlanır. Ancak bu yorum eksiktir ve phishing aktörleri tam olarak bu yanılgıdan yararlanır. Bu rehber; SSL sertifikalarının ne anlama geldiğini, sahte HTTPS sayfalarını ayırt etmek için izlenecek bağımsız doğrulama adımlarını ve crt.sh, SSL Labs gibi ücretsiz araçları açıklar.

SSL/TLS Nedir, Ne Garantiler?

SSL (Secure Sockets Layer) ve onun modern halefi TLS (Transport Layer Security); tarayıcı ile sunucu arasındaki veri iletişimini şifreleyen protokollerdir. Bir SSL sertifikası şu üç şeyi onaylar:

Şifreleme: Verinin transit halde okunmasını engeller
Sertifika sahibinin doğruluğu: CA (Certificate Authority) tarafından doğrulanmış kimlik
İçerik bütünlüğü: Verinin yolda değiştirilmediği

Garanti etmediği şeyler:

Site sahibinin yasal olarak işletme yapma yetkisi
İçeriğin doğru veya gerçek olduğu
Markanın resmi versiyonu olduğu
Para yatırmanın güvenli olduğu

Bu farkındalık, “kilit ikonu = güvenli” yanılgısının kırılmasında temeldir.

Sertifika Türleri ve Doğrulama Düzeyi

Sertifika sahibi kimliği doğrulama düzeyine göre 3 ana kategori vardır:

DV (Domain Validation) Sertifikaları

En düşük doğrulama
Sadece domain sahipliği kontrol edilir (DNS veya e-posta ile)
Ücretsiz: Let’s Encrypt, ZeroSSL
Phishing sitelerinin %95’i DV kullanır

OV (Organization Validation) Sertifikaları

Orta doğrulama
Kuruluş kayıtlı bir tüzel kişi mi kontrol edilir
50-200 USD/yıl
Profesyonel kuruluşlar tercih eder

EV (Extended Validation) Sertifikaları

En yüksek doğrulama
CA, kuruluşun marka tescili, fiziksel adresi, yetkili temsilcisi tüm verileri doğrular
200+ USD/yıl
Bankalar, büyük e-ticaret, kritik altyapı kullanır

Modern tarayıcılar (Chrome 77+, Firefox, Edge) artık EV sertifikalarını adres çubuğunda görsel olarak ayırt etmiyor. Eskiden yeşil URL bar’ı vardı, artık standart kilit ikonuyla aynı görünüyor. Bu değişim güvenlik açısından eleştirilmiş olsa da geçerlidir.

SSL Sertifikası Tarayıcıdan Nasıl İncelenir?

Chrome / Edge

Adres çubuğundaki kilit ikonuna tıklayın
“Bağlantı güvenli” → “Sertifika geçerli” linki
Açılan pencerede “Issued to” ve “Issued by” alanlarını kontrol edin
Validity Period (geçerlilik süresi) — yeni alınmış sertifika risk göstergesi olabilir

Firefox

Adres çubuğundaki kilit ikonuna tıklayın
“Bağlantı güvenli” → “Daha fazla bilgi”
Açılan sertifika bilgileri penceresinde tüm detaylar

Komut Satırı

openssl s_client -connect example.com:443 -servername example.com 2>/dev/null | openssl x509 -noout -text

Bu komut sertifikanın tüm detaylarını metin olarak verir.

crt.sh ile Geçmiş Sertifika Kayıtları

crt.sh Sectigo tarafından sağlanan ücretsiz Certificate Transparency arşividir. Tüm CA’lar yayımladıkları sertifikaları bu kamu log’a yazmak zorundadır. crt.sh sayesinde bir domain için geçmişte alınmış tüm sertifikaları görebilirsiniz.

Kullanım

crt.sh’a girin
Arama kutusuna domain’i yazın (örn. example.com)
Sonuç tablosunda görüntülenecek alanlar:
- Logged At: Sertifika kayıt tarihi
- Not Before: Geçerlilik başlangıcı
- Not After: Geçerlilik bitişi
- Common Name: Sertifika kayıtlı domain
- Issuer Name: Hangi CA verdi (Let’s Encrypt, DigiCert, Sectigo vb.)

Yorumlama Pattern’ları

Resmi marka pattern:

Son 5 yılda yüzlerce sertifika kaydı (otomatik yenileme)
Issuer’lar büyük ticari CA’lar (DigiCert, Sectigo, GlobalSign)
Bazı durumlarda EV sertifikalar
Common Name: ana domain + wildcard subdomain

Phishing sitesi pattern:

Sadece son 1-3 ayda alınan 1-2 sertifika
Tek issuer: Let’s Encrypt
Wildcard yok
Domain ilk kez bu yılki bir tarihte ortaya çıkmış

Resmi pattern:
2018-03-15 | Sectigo
2019-04-22 | Sectigo
2020-05-30 | DigiCert
... (yıllar boyu sürekli)

Sahte pattern:
2026-04-10 | Let's Encrypt   ← İlk sertifika, 1 ay önce
2026-04-25 | Let's Encrypt   ← Otomatik yenileme

SSL Labs Test ile Sertifika Konfigürasyon Analizi

SSL Labs Test Qualys tarafından sağlanan ücretsiz teknik analiz aracıdır. URL’i girersiniz, 1-2 dakika içinde detaylı bir rapor sunar:

Genel skor: A+, A, B, C, F (sertifika konfigürasyon kalitesi)
Sertifika geçerliliği: Trust chain, geçerlilik süresi, key strength
Protocol support: TLS 1.0/1.1/1.2/1.3 desteği
Cipher suites: Hangi şifreleme algoritmaları destekleniyor?
Vulnerabilities: Heartbleed, POODLE, BEAST gibi açıklara karşı durum
Server simulator: Farklı tarayıcı/cihazlardan bağlantı uyumluluğu

Yorum dikkati: Yüksek skor (A, A+) sertifikanın teknik olarak doğru kurulduğunu gösterir; içeriğin yasal/markaya ait olduğunu göstermez. Sahte siteler de yüksek skor alabilir.

CT (Certificate Transparency) Logs

CT, modern bir güvenlik mekanizmasıdır. Her CA, yayımladığı sertifikayı kamu log’a yazmak zorundadır. Bu şekilde marka sahipleri kendi domain’leri için yeni alınan sertifikaları izleyebilir.

Ücretsiz CT izleme servisleri:

crt.sh — manuel sorgu
Cert Spotter — otomatik bildirim
Censys — gelişmiş arama
Facebook CT Monitoring — e-posta bildirim

Marka sahipleri bu servisleri kullanarak typosquat domainlerinde alınan sertifikaları erken yakalayabilir.

Pratik Akış: Şüpheli Bahis Sayfasında SSL Kontrolü

Adres çubuğunda kilit kontrolü: HTTPS aktif mi?
Sertifika sahibi: Kilik > Sertifika > “Issued to” alanı resmi marka şirketi mi?
Issuer: Sectigo, DigiCert mi, yoksa Let’s Encrypt mi? Marka geçmiş pattern’ıyla uyumlu mu?
Geçerlilik süresi: Notbefore çok yeni (son 30 gün) mı?
crt.sh sorgusu: Domain için geçmiş sertifikalar var mı, yoksa hepsi son 1-2 ay içinde mi?
SSL Labs test: Genel skor + key strength

Sonuç

SSL sertifikası, modern web güvenliğinin temel taşıdır; ancak yalnız başına “site güvenli” anlamına gelmez. Phishing aktörleri ücretsiz CA’lardan kolayca geçerli sertifika alabilir. Bağımsız bir doğrulama için sertifika sahibinin marka şirketiyle uyumu ve geçmiş sertifika kayıtları kritik kontrol noktalarıdır.

crt.sh ve SSL Labs gibi ücretsiz araçlar bu kontrolleri 1-2 dakikada yapmanıza olanak verir. Şüpheli bir adres tespit ettiğinizde bildirim formumuza raporlamayı, ek olarak Whois rehberimizi ve genel phishing belirtileri rehberimizi referans almayı unutmayın.

Sıkça Sorulan Sorular

01 Tarayıcıda kilit ikonu varsa site güvenli midir?

Hayır. HTTPS yalnızca tarayıcı ile sunucu arasındaki bağlantının şifrelenmesini sağlar; içeriğin doğru veya yasal olduğunu garanti etmez. Sahte siteler de Let\'s Encrypt gibi ücretsiz CA\'lardan geçerli sertifika alabilir. Kilit, sertifika sahibinin doğruluğu hakkında hiçbir şey söylemez.

02 EV (Extended Validation) sertifikası nedir?

EV sertifikalar, CA\'nın kuruluşun gerçek kimliğini ve marka tescilini doğruladığı sertifika türüdür. Eskiden tarayıcılar yeşil URL bar\'ı ile EV\'yi vurgulardı; modern tarayıcılar bu vurguyu kaldırdı. EV halen banka ve büyük markalar tarafından tercih edilir, ancak kullanıcı tarafından artık görsel ayrım sınırlıdır.

03 Self-signed sertifika ne anlama gelir?

Self-signed sertifika, herhangi bir resmi CA tarafından onaylanmamış sertifikadır. Tarayıcılar bu sertifika için "Bu sayfaya güvenmiyoruz" uyarısı verir. Modern phishing siteleri self-signed kullanmaz; bunun yerine ücretsiz CA\'lardan otomatik sertifika alırlar. Yine de kullanıcının "İleri" diyerek uyarıyı atlamaması gerekir.

04 SSL Labs test neden 90+ skoru olmasına rağmen site sahte olabilir?

SSL Labs sertifika konfigürasyonunun teknik kalitesini ölçer (TLS sürümü, cipher suite, sertifika geçerliliği). Yüksek skor, sertifikanın **teknik olarak doğru** kurulduğunu gösterir; içeriğin yasal veya markaya ait olduğunu göstermez.

05 crt.sh\'de tarihte çok sayıda sertifika varsa şüpheli mi?

Hayır, aksine. Resmi markalar yıllar boyunca otomatik yenileme ile yüzlerce sertifika almış olabilir. Sertifika sayısının düşük olması (1-2 adet, hepsi son 1 ayda) ise yeni domain\'in göstergesidir.

Bilgilendirme ve Yasal Uyarı

Betkulübü Güvenlik Merkezi resmi bir kolluk kuvveti, mahkeme, domain kayıt kuruluşu (registrar), hosting sağlayıcısı veya marka temsilcisi değildir. Yayımlanan içerikler; bağımsız kullanıcı raporları ve açık kaynaklı bilgilerin derlenmesi yoluyla bilgilendirme amacıyla hazırlanmıştır. Şüpheli sitelerle ilgili nihai işlem; ilgili platformlar (Google, Cloudflare vb.), domain sağlayıcıları, hosting firmaları, arama motorları, marka yetkilileri veya resmi kurumlar tarafından değerlendirilir.

Betkulübü; site kapatma, içerik kaldırma, domain müdahalesi, hesap dondurma, mahkeme kararı sağlama veya doğrudan yasal işlem hizmetleri sunmaz. Bu sayfada veya platformun başka bir bölümünde geçen "şüpheli", "iddia edilen", "kullanıcı raporlarına göre" gibi ifadeler, içeriğin bilgilendirme niteliğini ve nihai değerlendirmenin platformumuza ait olmadığını ifade eder.

Kullanıcı sorumluluğu: Kişisel bilgilerinizi, SMS doğrulama kodlarınızı, hesap şifrelerinizi ve ödeme bilgilerinizi bilinmeyen veya doğrulanmamış sitelerle paylaşmamanız önerilir. Şüpheli durumlarda mutlaka resmi bildirim kanallarına başvurunuz.

Son güncelleme: 09 Mayıs 2026 · Editör politikası ve iletişim için Hakkımızda sayfasını ziyaret edebilirsiniz.