Giriş

Bu rehber, Truvabet gibi bir web sitesinin SSL/TLS sertifikasını ve tarayıcıda görünen güvenlik göstergelerini kullanarak pratik şekilde nasıl doğrulanacağını adım adım açıklar. Amaç, kullanıcıların tarayıcı göstergelerini doğru yorumlayıp temel güvenlik kontrollerini uygulayabilmelerini sağlamaktır.

Not: SSL/TLS, tarayıcı ile sunucu arasındaki iletişimi şifreler; bunun sitenin tüm yönleriyle güvenilirliğinin tek kanıtı olmadığı unutulmamalıdır. Daha kapsamlı doğrulama için ilave kaynaklar ve doğrudan siteyle iletişim gerekebilir.

Kısa Kontrol Listesi

• URL'yi doğrulayın: Alan adında yazım hatası veya beklenmeyen alt alan olup olmadığını kontrol edin.
• Adres çubuğundaki kilit simgesi: HTTPS ve kilidin varlığı ilk göstergedir.
• Sertifika ayrıntılarını görüntüleyin: "Issued to" (Subject), "Issued by" (Issuer) ve geçerlilik tarihlerini kontrol edin.
• Geçerlilik tarihleri: Sertifika geçerli mi, süresi dolmuş mu?
• Gerekirse ileri araçlar: SSL testleri veya tarayıcı geliştirici araçlarıyla bağlantı detaylarını inceleyin.

Tarayıcıda Adım Adım Kontrol

Aşağıdaki adımlar tarayıcıya genel bir kılavuz sağlar. Tarayıcı sürümüne bağlı olarak menü isimleri değişebilir; temel fikir kilit simgesine tıklayıp sertifika ayrıntılarını görüntülemektir.

Genel adımlar (tümü için)

1. Adres çubuğunu kontrol edin: "https://" ile başlayan ve solunda bir kilit simgesi olan adresler iletişimin şifrelendiğini gösterir.
2. Kilit simgesine tıklayın; açılan pencerede bağlantı durumunu ve genellikle bir "Sertifika" veya "Daha fazla bilgi" bağlantısını görürsünüz.
3. Sertifika ayrıntılarını açın ve alan adı (Subject veya SAN), sertifika veren kuruluş (Issuer) ve geçerlilik tarihlerini kontrol edin.

Chrome / Edge (masaüstü)

• Kilit simgesine tıklayın.
• Açılan pencerede "Bağlantı güvenli" veya benzeri bir ibare görebilirsiniz; buradan "Sertifika bilgileri" veya "Certificate" seçeneğiyle detaylara ulaşın.
• Sertifika penceresinde "Issued to" bölümünde adresin listelendiğini doğrulayın ve "Issuer" bölümünde sertifika otoritesinin adını kontrol edin.

Firefox (masaüstü)

• Kilit simgesine tıklayın; çıkan kısa bilgi kutusundan daha fazla bilgi seçeneğini takip ederek "View Certificate" (Sertifikayı Görüntüle) bölümüne ulaşabilirsiniz.
• Burada Subject/SAN, Issuer ve geçerlilik tarihleri gösterilir.

Safari (macOS)

• Adres çubuğundaki kilit simgesine tıklayın.
• "Show Certificate" veya benzeri bir seçenekle sertifika detaylarına erişin.

Sertifika Ayrıntılarını Nasıl Okursunuz

Sertifika penceresinde dikkat etmeniz gereken ana bölümler şunlardır:

• Subject / Issued to: Sertifikanın hangi alan adı(lar) için verildiğini gösterir. Ziyaret ettiğiniz alan adının burada listelendiğinden emin olun.
• Issuer / Issued by: Sertifikayı veren Sertifika Otoritesi (CA). Tanınmış CA'lar daha yaygın kabul görür, ancak tek başına bir garanti değildir.
• Validity (Geçerlilik): "Not Before" ve "Not After" tarihleri sertifikanın aktif olduğu zamanı gösterir; süresi dolmuş sertifikalar uyarı verir.
• Key Usage / Extended Key Usage: Sertifikanın hangi amaçlar için verildiğini belirtir (ör. sunucu kimlik doğrulama).
• Fingerprint (Parmak izi): SHA-256 gibi bir özet değeri; eğer resmi kanallardan sağlanan bir parmak izi varsa karşılaştırma yapılabilir.

Gelişmiş Kontroller (Opsiyonel)

Daha teknik doğrulama yapmak istiyorsanız aşağıdaki yöntemleri kullanabilirsiniz:

• Çevrimiçi SSL testleri: Kapsamlı analiz için SSL test araçlarına alan adını girerek sunucu konfigürasyonu, zincir ve desteklenen protokoller hakkında rapor alabilirsiniz.
• Komut satırı araçları: openssl gibi araçlarla sunucunun sertifika zincirini sorgulayabilirsiniz. Örnek komut (alan adını değiştirin): openssl s_client -connect alanadi:443 -servername alanadi
• Sertifika şeffaflığı (CT) günlükleri: Bazı kayıtlar üzerinden yeni verilen sertifikaların halka açık kayıtlarını arayarak beklenmeyen sertifika var mı kontrol edilebilir.

Tarayıcı Güvenlik Göstergelerinin Sınırları

Sertifika ve kilit simgesinin anlamı şudur: tarayıcı ile sunucu arasındaki iletişim şifrelenir ve sunucunun sunduğu sertifika bir CA tarafından imzalanmıştır. Ancak bu, sitenin tüm yönleriyle güvenilir olduğu anlamına gelmez. Dikkat edilmesi gerekenler:

• SSL/TLS, yalnızca veri iletimini korur; bir sitenin içerik politikaları, ticari uygulamaları veya yasal statüsü hakkında bilgi vermez.
• Sertifika geçerliliği, alan adı uyumu ve güvenilir CA tarafından verilmiş olması olumlu göstergelerdir; tek başına tüm riskleri ortadan kaldırmaz.
• Tarayıcı göstergeleri bazen bağlamdan bağımsız olarak kısa bilgi verir; kuşku duyduğunuzda ek doğrulama adımları uygulayın.

Sertifika Uyarısı Alırsanız Ne Yapmalısınız

Eğer tarayıcı bir sertifika uyarısı gösteriyorsa şu adımları izleyin:

1. Uyarının içeriğini dikkatle okuyun; örneğin sertifikanın süresi dolmuş ya da alan adıyla eşleşmiyor olabilir.
2. Hassas bilgiler girmeniz gerekiyorsa işlem yapmayın; adresi manuel olarak adres çubuğuna yazıp tekrar kontrol edin.
3. Web sitesinin resmi iletişim kanallarından doğrulama isteyin.
4. Teknik bilgiye sahipseniz openssl veya çevrimiçi araçlarla sertifika zincirini inceleyin.

Pratik Uygulama: Truvabet İçin Kısa Bir Akış

Truvabet gibi bir platformu kontrol ederken aşağıdaki kısa akışı uygulayabilirsiniz:

1. Adres çubuğunu kontrol edin: Alan adında beklenmeyen karakter veya yazım hatası varsa dikkat edin.
2. Kilit simgesine tıklayıp sertifika ayrıntılarını görüntüleyin; "Issued to" bölümünde ziyaret ettiğiniz adresin yer aldığını doğrulayın.
3. Sertifikanın geçerlilik tarihlerini kontrol edin; süresi dolmamış olmalı.
4. Tarayıcı uyarısı alıyorsanız sayfayı yeniden yükleyin ve gerekirse farklı bir tarayıcıyla da kontrol edin.
5. Gerekirse çevrimiçi bir SSL testi çalıştırarak sunucu yapılandırmasını kontrol edin veya resmi destek kanallarıyla iletişime geçin.

Hızlı Son Onay Listesi

• Adres çubuğunda HTTPS ve kilit simgesi var mı?
• Sertifika "Issued to" alanında doğru alan adı yer alıyor mu?
• Sertifikanın geçerlilik tarihleri güncel mi?
• Tarayıcı herhangi bir uyarı gösteriyor mu?
• İleri doğrulama gerekiyorsa SSL testi veya sertifika parmak izi karşılaştırması yapıldı mı?

Kapanış

Bu adımlar günlük kullanım için pratik kontrol mekanizmaları sunar; yine de nihai bir değerlendirme yaparken birden fazla kaynaktan doğrulama yapmak faydalıdır.

Sıkça Sorulan Sorular (Aşağıdaki açıklamalar rehber niteliğindedir)

SSL doğrulaması sitenin tamamıyla güvenli olduğunu kesinleştirir mi?

Hayır. SSL/TLS bağlantıyı şifreler ve sertifika, sunucunun belirli bir anahtarın sahibi olduğunu doğrular; ancak sitenin politikaları, içeriği veya diğer güvenlik uygulamaları hakkında tek başına kesin kanıt sağlamaz.

Padlock simgesi yoksa hemen endişelenmeli miyim?

HTTPS ve padlock modern web deneyiminin temelidir. Eğer bir padlock yoksa, site veri iletimini şifrelemiyor olabilir; hassas bilgi girmeniz gerekiyorsa dikkatli olun ve gerekirse site yöneticisi ile iletişim kurun.

Sertifika süresinin dolması ne anlama gelir?

Sertifika süresinin dolması, tarayıcının sertifikayı artık geçerli kabul etmediği anlamına gelir ve uyarılarla karşılaşırsınız. Bu durumda site sahipleriyle iletişime geçmek ve tarayıcı uyarılarına uymak en güvenli yaklaşımdır.

Sertifika parmak izini nasıl doğrularım?

Parmak izini doğrulamak için siteyle ilişkili resmi kanallardan veya güvenilir kaynaklardan sağlanan SHA-256 gibi değerlerle tarayıcınızda görünen fingerprint değerini karşılaştırabilirsiniz. Bu karşılaştırma, sertifikanın beklenen versiyonunun sunulduğunu teyit etmeye yardımcı olur.