Let’s Encrypt ile Ücretsiz SSL Kurulumu ve Otomatik Yenileme

Web sitelerinde HTTPS kullanımı artık yalnızca güvenlik tercihi değil, operasyonel bir gerekliliktir. Let’s Encrypt, alan adı doğrulaması yaparak ücretsiz SSL/TLS sertifikası sağlayan ve bu sertifikaların düzenli yenilenmesini otomatikleştirmeyi mümkün kılan bir hizmettir. Kurumsal ölçekte bakıldığında maliyet avantajı kadar önemli olan konu, sertifika yaşam döngüsünün kesintisiz yönetilmesidir. Bu yazıda, Let’s Encrypt ile güvenilir bir kurulum yapmak, ilk sertifikayı doğru üretmek, web sunucusuna güvenli şekilde uygulamak ve yenileme sürecini insan müdahalesi olmadan işletmek için uygulanabilir bir yol haritası bulacaksınız. Anlatım, hem küçük ölçekli sunucular hem de birden fazla alan adını yöneten ekipler için pratik bir çerçeve sunar.

Let’s Encrypt yaklaşımı ve kurulum öncesi hazırlık

Sertifika yaşam döngüsü ve alan adı doğrulaması nasıl işler?

Let’s Encrypt, sertifika vermeden önce alan adının kontrolünün sizde olduğunu kanıtlamanızı ister. En yaygın yöntem HTTP doğrulamasıdır; sunucunuz belirli bir doğrulama dosyasını dış dünyaya erişilebilir şekilde sunar. Alternatif olarak DNS tabanlı doğrulama da kullanılabilir ve özellikle wildcard sertifikalarda bu yöntem tercih edilir. Buradaki kritik nokta, doğrulama trafiğinin internetten kesintisiz gelebilmesidir. Güvenlik duvarı, ters proxy veya CDN yapılandırması yanlışsa doğrulama başarısız olur. Bu nedenle sertifika üretimi yalnızca komut çalıştırmak değil, ağ ve DNS katmanlarını birlikte doğru tasarlamak anlamına gelir.

Kurulumdan önce yapılması gereken teknik kontroller

Kuruluma geçmeden önce temel sistem hazırlıklarını tamamlamak, ileride yaşanacak sertifika hatalarını önemli ölçüde azaltır. Sunucunun saatinin doğru olması gerekir; NTP senkronizasyonu bozuk sistemlerde TLS doğrulaması sorun çıkarabilir. DNS kayıtlarında A veya AAAA değerlerinin doğru IP’ye işaret ettiğinden emin olun. Ayrıca aynı alan adını birden fazla sunucu karşılıyorsa, doğrulama isteğinin doğru sunucuya yönlendiğini test edin. Özellikle bakım penceresi dışında yapılan canlı kurulumlarda, ön test süreci kesinti riskini düşürür.

• Alan adı kayıtlarının güncel ve yayında olduğunu doğrulayın.
• 80 ve 443 portlarının güvenlik duvarında izinli olduğunu kontrol edin.
• Web sunucusu yapılandırma dosyalarında alan adı eşleşmesini netleştirin.
• Sunucu saatini ve zaman dilimini standart bir NTP kaynağı ile eşitleyin.
• Mevcut bir sertifika varsa yedekleyin ve geri dönüş planı oluşturun.

Certbot ile ücretsiz SSL kurulum adımları

Certbot kurulumu ve temel komut akışı

Let’s Encrypt ekosisteminde en yaygın istemcilerden biri Certbot’tur. Dağıtımınıza göre paket yöneticisiyle veya resmi kanal üzerinden kurulabilir. Kurumsal ortamda önerilen yaklaşım, üretim sunucusunda kullanılan sürümün bir test ortamında doğrulanmasıdır. Kurulum sonrası ilk adım, web sunucusu eklentisinin uygun olup olmadığını kontrol etmektir. Certbot, alan adını doğrulayıp sertifikayı aldıktan sonra çoğu senaryoda yapılandırma dosyasını güncelleyebilir. Ancak otomatik düzenleme yerine kontrollü bir yöntem tercih etmek isterseniz yalnızca sertifika üretip yapılandırmayı manuel uygulayabilirsiniz.

sudo certbot --version
sudo certbot certificates

Bu iki komutla istemci sürümünü ve mevcut sertifika envanterini hızlıca kontrol edebilirsiniz. Özellikle birden fazla alan adında çalışırken envanteri düzenli tutmak, bakım ve yenileme süreçlerinde hata payını düşürür.

Apache üzerinde SSL etkinleştirme örneği

Apache kullanan sistemlerde kurulumdan önce ilgili SSL modüllerinin açık olması gerekir. Ardından Certbot’un Apache eklentisi ile alan adını belirterek sertifika alabilir ve HTTPS yönlendirmesini etkinleştirebilirsiniz. Kurulum sırasında tüm HTTP trafiğini HTTPS’e taşıma seçeneği sunulur; kurumsal güvenlik politikaları açısından bu seçeneğin aktif edilmesi genellikle doğru yaklaşımdır. Kurulum sonrasında Apache yapılandırma testi yapıp servisi yeniden yüklemek önemlidir. Böylece hatalı sanal host tanımları veya çakışan sertifika dosyaları erken aşamada tespit edilir.

sudo certbot --apache -d ornekalanadi.com -d www.ornekalanadi.com
sudo apachectl configtest
sudo systemctl reload apache2

Komutlar tamamlandıktan sonra tarayıcıdan kilit simgesi ve sertifika ayrıntıları doğrulanmalıdır. Ayrıca sunucunun farklı host başlıklarıyla nasıl davrandığı kontrol edilmelidir.

Nginx üzerinde SSL etkinleştirme örneği

Nginx tarafında yaklaşım benzerdir ancak sunucu bloklarının doğru tanımlanması kritik önem taşır. Önce HTTP bloğunun alan adını karşıladığından, ardından 443 bloğunun sertifika yollarını doğru okuduğundan emin olun. Certbot’un Nginx eklentisi, yapılandırmayı güncelleyip yeniden yükleme işlemini yönetebilir. Buna rağmen canlı ortamda dosya değişikliklerini sürüm kontrolü altında tutmak, geri dönüş ve denetim süreçlerinde ciddi avantaj sağlar. Özellikle aynı sunucuda çok sayıda uygulama varsa, varsayılan sunucu bloğu nedeniyle doğrulama isteği yanlış siteye gidebilir.

sudo certbot --nginx -d ornekalanadi.com -d www.ornekalanadi.com
sudo nginx -t
sudo systemctl reload nginx

Yapılandırma testi başarısız olursa yeniden yükleme yapmadan önce hata mesajlarını satır satır çözümlemek gerekir. Sertifika kurulumunda aceleci yeniden başlatmalar, servis kesintisine neden olabilir.

Otomatik yenileme, doğrulama ve operasyonel kontrol

Yenileme mekanizmasının planlanması

Let’s Encrypt sertifikaları kısa süreli olduğu için otomatik yenileme zorunlu bir operasyon adımıdır. Modern sistemlerde Certbot, systemd timer ile otomatik olarak çalışır; bazı ortamlarda cron görevi tercih edilir. Kritik olan, görev zamanlamasının gerçekten aktif olduğunu doğrulamaktır. Sadece komutu bir kez çalıştırmak yeterli değildir. Yenileme denemeleri düzenli yapıldığında, sertifika süresi dolmadan önce yeni sertifika devreye alınır. Kurumsal ekipler için öneri, bakım dokümantasyonuna yenileme periyodu ve sorumlu ekip bilgisini açıkça yazmaktır.

sudo systemctl list-timers | grep certbot
sudo certbot renew --dry-run

Dry-run testi, gerçek sertifikayı değiştirmeden yenileme akışının sağlıklı çalıştığını kanıtlar. Bu testin periyodik bakım kontrol listesine eklenmesi iyi bir uygulamadır.

Yenileme sonrası servis yenileme ve izleme yaklaşımı

Sertifika dosyası yenilense bile web sunucusu yeni dosyayı belleğe almamışsa eski sertifika yayınlanmaya devam eder. Bu nedenle yenileme sonrası kontrollü bir reload adımı tanımlanmalıdır. Certbot hook mekanizması ile yenileme başarıyla tamamlandığında Apache veya Nginx yeniden yüklenebilir. Buna ek olarak günlük dosyaları ve sistem bildirimleri izlenmelidir. Kurumsal operasyonlarda önerilen yöntem, sertifika bitiş tarihini izleme sistemine metrik olarak eklemek ve belirli eşiklerde alarm üretmektir. Böylece plan dışı durumlarda ekipler son güne kalmadan müdahale eder.

• Yenileme sonrası otomatik reload komutu tanımlayın.
• Hata günlüklerini merkezi izleme sistemine gönderin.
• Sertifika bitiş tarihini en az 30 gün kala uyarı verecek şekilde izleyin.
• Yedek sunucularda da aynı sertifika döngüsünün çalıştığını doğrulayın.

Yaygın hatalar, güvenli işletim ve sürdürülebilir sonuç

Pratikte en sık görülen sorunlar; yanlış DNS yönlendirmesi, kapalı 80 portu, çakışan sanal host tanımları ve yenileme sonrası servis reload adımının unutulmasıdır. Ayrıca bazı ekipler sertifikayı başarıyla kurduktan sonra HTTP’den HTTPS’e zorunlu yönlendirmeyi atlar; bu da kullanıcıların güvensiz kanaldan erişmesine neden olabilir. Bir diğer kritik konu, test ve üretim ortamlarının karıştırılmasıdır. Üretimde yapılacak her değişiklik öncesinde yapılandırma testi almak, değişiklik kaydı tutmak ve geri dönüş adımını net belirlemek kurumsal kaliteyi yükseltir.

Sonuç olarak Let’s Encrypt, doğru kurgulandığında hem maliyet etkin hem de kurumsal standartlara uygun bir SSL yönetimi sunar. Başarının anahtarı, ilk kurulumdan çok süreç disiplinindedir: doğrulama altyapısını doğru hazırlamak, sertifikayı kontrollü devreye almak, yenilemeyi otomatik ve izlenebilir hale getirmek, ardından düzenli denetimlerle sürekliliği korumak. Bu yaklaşımı benimsediğinizde HTTPS, dönemsel bir teknik iş olmaktan çıkar ve güvenlik operasyonunun sürdürülebilir bir parçasına dönüşür.