Giriş

İnternette bir siteye bağlanırken tarayıcı adres çubuğundaki kilit simgesi ve "https" protokolü önemli göstergelerdir; ancak bunlar tek başına yeterli olmayabilir. Bu kılavuz, masaüstü ve mobilde sertifika (SSL/TLS) kontrollerini, URL doğrulamayı, whois ve DNS sorgularını ve kaynak (third‑party) kontrollerini pratik adımlarla anlatır. Amaç, ziyaret ettiğiniz sitenin kimliğini hızlıca değerlendirebilmenizdir.

Temel kavramlar (kısa)

  • SSL/TLS: Günlük dilde "SSL" diye anılsa da modern protokoller TLS olarak adlandırılır; kriptografik kanal kurar.
  • Sertifika: Bir alan adının gerçek sahibi olduğunu doğrulamayı amaçlayan dijital belgedir; içinde geçerlilik tarihleri, ortak ad (CN) ve alternatif adlar (SAN) bulunur.
  • CA (Certificate Authority): Sertifikaları imzalayan yetkili kuruluşlardır; tarayıcı ve işletim sistemleri güvenilir CA listelerini kullanır.
  • OCSP/CRL: Sertifika iptal durumunu kontrol etmek için kullanılan mekanizmalar (online veya revocation listeleri).
  • Mixed content (karışık içerik): HTTPS sayfanın HTTP üzerinden yüklenen kaynakları—tarayıcı uyarıları gösterir ve güvenlik riski oluşturabilir.

Masaüstü tarayıcıda hızlı kontroller

En temel ve hemen yapılabilecek kontroller:

  1. Kilit simgesine tıklayın: Çoğu tarayıcıda adres çubuğundaki kilit simgesine tıklayarak sayfanın bağlantı bilgilerini ve sertifika özetini görebilirsiniz. Burada sertifikanın geçerlilik aralığına, düzenleyici CA adına ve domain eşleşmesine dair temel bilgi bulunur.
  2. CN/SAN kontrolü: Sertifikadaki Ortak Ad (CN) veya SAN alanlarının ziyaret ettiğiniz alan adını içerdiğinden emin olun. Örn. "example.com" ve/veya "www.example.com" listelenmiş olmalıdır.
  3. Geçerlilik tarihleri: Sertifika son kullanma tarihinin geçmediğini kontrol edin.
  4. Tarayıcı uyarıları: Tarayıcı tarafında açık bir uyarı alıyorsanız (ör. "bağlantı gizli değil" veya sertifika hatası), dikkatli olun ve işlem yapmadan önce ek testler gerçekleştirin.

Tarayıcı araçlarıyla daha fazla ayrıntı

  • Tarayıcınızın sertifika görüntüleyicisindeki ayrıntılardan "Issuer" (veren kurum), "Valid from/Valid to" ve sertifika zincirini kontrol edin.
  • Geliştirici araçları (Inspect / DevTools) → Console veya Security sekmesi, site ile ilgili güvenlik ve mixed content uyarılarını gösterir.

Komut satırı ile hızlı doğrulamalar

Masaüstünde erişiminiz varsa basit komutlar ile sunucudan çekilen sertifika bilgilerini görebilirsiniz. Aşağıdaki örnekleri kendi alan adınızla değiştirin.

  • Sertifika tarihlerini hızlı görmek (OpenSSL):

    echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

  • Sertifika zinciri ve sertifika göstermek:

    openssl s_client -showcerts -connect example.com:443

  • OCSP stapling kontrolü:

    openssl s_client -connect example.com:443 -status

    Çıktıda OCSP yanıtı (stapled OCSP) varsa sunucu tarafında stapling etkin olabilir; yoksa revocation kontrolleri farklı şekilde yapılır.

  • curl ile bağlantı ayrıntıları:

    curl -vI https://example.com (verbose seçenekleri sertifika handshaking bilgilerini gösterebilir)

Çevrimiçi test araçları

  • Sunucu konfigürasyonunu, desteklenen protokolleri ve sertifika zincirini test etmek için Qualys SSL Labs testini kullanabilirsiniz: https://www.ssllabs.com/ssltest/.
  • Sertifika geçmişini ve daha önce verilmiş sertifikaları görmek için Certificate Transparency kayıtlarını inceleyebilirsiniz, örn. https://crt.sh/.

Whois sorgusu ve DNS kontrolleri

Alan adıyla ilgili kayıt bilgileri, whois ve DNS kayıtları size alan adının kaydedildiği tarih, registrant bilgileri (bazı durumlarda gizlenmiş olabilir) ve ad sunucusu bilgileri hakkında ipucu verir.

  • Whois (çevrimiçi): ICANN’ın whois aracı gibi resmi hizmetleri kullanabilirsiniz: https://lookup.icann.org/.
  • Whois (komut satırı): whois example.com
  • DNS kontrolleri: dig veya nslookup ile A, AAAA, CNAME, MX kayıtlarını kontrol edin. Örnek: dig +short example.com A

URL doğrulama: nelere dikkat edilmeli

Adres çubuğunu doğrudan okumak en hızlı kontroldür. Dikkat edilecek noktalar:

  • Tam alan adı: "www.site.com" ile "site.com.abcdef.com" gibi uzun yapıların farkına varın; alt alan adları farklı domainler altında olabilir (ör. login.example.com.attacker.com).
  • Uluslararası karakterler (IDN / punycode): Bazı alan adlarında benzer karakterler kullanılarak görsel olarak yanıltma yapılabilir. Tarayıcı, gereken durumlarda punycode (xn--) formatında gösterebilir; adres çubuğunu kopyalayıp güvenilir bir punycode çözücüde kontrol etmek yardımcı olabilir.
  • Kısa linkler ve yönlendirmeler: Kısaltılmış URL’ler hedefi gizleyebilir; kısa linki açmadan önce ön izleme veya genişletme servisi kullanın.

Mobilde sertifika ve kaynak kontrolleri

Mobil tarayıcılarda temel kontroller masaüstüne benzer, fakat seçenekler ve menü yolları tarayıcıya/işletim sistemine göre değişir:

  • Adres çubuğundaki kilit: Çoğu mobil tarayıcıda kilit simgesine dokunarak site bilgilerini ve sınırlı sertifika ayrıntılarını görebilirsiniz.
  • iOS: Safari’de kilit simgesine dokunup site bilgilerini kontrol edebilir; ayrıca sistemde yüklü özel sertifikaları görmek için Ayarlar > Genel > Hakkında > Certificate Trust Settings (cihaz sürümüne göre isim değişebilir) bölümüne bakılabilir.
  • Android: Android’de Ayarlar > Güvenlik > Güvenilen kimlik bilgileri bölümü sistem ve kullanıcı sertifikalarını gösterir. Tarayıcılarda kilit bilgisi ve site bilgileri üzerinden temel kontroller yapılabilir.
  • Mobil test araçları: Mobil tarayıcıyla erişirken Qualys SSL Labs gibi çevrimiçi testleri kullanabilir veya cihazınızdan komut çalıştırma imkanı varsa aynı OpenSSL komutlarını kullanabilirsiniz.

Kaynak (third‑party) doğrulama

Bir sayfada yüklü olan üçüncü taraf kaynaklar (script, iframe, CDN içerikleri) HTTPS üzerinden gelmelidir. Aksi durumda tarayıcı mixed content uyarısı verir ve veri bütünlüğü riske girebilir.

  • Geliştirici araçlarını açıp (DevTools) Network sekmesinden isteklerin protokolünü kontrol edin. HTTP ile gelen önemli script veya iframe varsa dikkat gerektirir.
  • Content Security Policy (CSP) başlıkları varsa tarayıcı bu başlıkları kullanarak kaynakların nereden yüklendiğini sınırlar; CSP’nin varlığı bir güvenlik göstergesi olabilir.

Hızlı kontrol listesi (5 dakikalık günlük kontrol)

  • Adres çubuğunda "https" ve kilit simgesi var mı?
  • Kilit üzerine tıklayıp sertifika geçerlilik tarihlerini ve CN/SAN eşleşmesini kontrol edin.
  • Tarayıcıda mixed content veya bağlantı uyarısı var mı?
  • Whois ile alan adı kayıt tarihi ve kayıt bilgileri tutarlı mı?
  • Sunucu sertifika zinciri ve OCSP stapling gibi hatalar için OpenSSL ile hızlı bir kontrol yapın.

Şüpheli durumlarda ne yapılmalı?

  • Hızlıca kişisel veya finansal bilgilerinizi girmeyin.
  • Sertifika hatası alıyorsanız sayfayı kapatın ve site operatörünün iletişim bilgilerini whois veya sitenin açık iletişim kanallarından doğrulayın.
  • Gerektiğinde ekran görüntüsü alıp sitenin barındırıcısına veya alan adı kayıt kuruluşuna (whois sonuçlarında görünen) bildirimde bulunun.

Not: Bu rehber teknik kontrolleri özetler; kurulum veya yasal tavsiye amaçlı değildir. Özellikle sunucu tarafı konfigürasyonlarında değişiklik yapmadan önce yetkili bir uzmana danışın.