Let's Encrypt Nedir ve Ücretsiz SSL Nasıl Çalışır?

Let's Encrypt nedir sorusu, web sitesini HTTPS'e taşımak isteyen herkesin er ya da geç karşılaştığı bir sorudur. Kısaca Let's Encrypt, dünyanın en yaygın kullanılan ücretsiz sertifika otoritesidir ve her gün milyonlarca alan adına SSL/TLS sertifikası dağıtır. Bu yazıda Let's Encrypt'in ne olduğunu, ücretsiz SSL'in nasıl çalıştığını ve tüm sürecin neden bu kadar otomatik olduğunu adım adım anlatıyoruz.

Let's Encrypt nedir

Let's Encrypt, kâr amacı gütmeyen ISRG (Internet Security Research Group) tarafından işletilen ücretsiz, otomatik ve açık bir sertifika otoritesidir (CA). Amacı tektir: web'in tamamını HTTPS ile şifrelemek. Sertifikalar ücretsizdir çünkü ISRG, projesini sponsorlar ve bağışlarla finanse eder; sertifika başına ücret almak yerine altyapıyı toplu olarak fonlar.

Let's Encrypt yalnızca DV (Domain Validation) sertifikaları sunar. Yani sertifika, alan adının size ait olduğunu doğrular; şirket kimliğinizi veya hukuki varlığınızı doğrulamaz. Bu, çoğu blog, kurumsal site ve e-ticaret mağazası için fazlasıyla yeterlidir.

Nasıl çalışır (ACME + doğrulama)

İşin sihiri ACME (Automatic Certificate Management Environment) protokolündedir. ACME, sertifika talebi, doğrulama ve teslimini tamamen otomatikleştiren açık bir standarttır. İnsan müdahalesi olmadan istemci ile Let's Encrypt sunucuları arasında konuşur.

Sertifika almadan önce, alan adına gerçekten hâkim olduğunuzu kanıtlamanız gerekir. İki ana doğrulama yöntemi vardır:

  • HTTP-01: Let's Encrypt size bir token verir; siz bunu sunucunuzda belirli bir yola (/.well-known/acme-challenge/) dosya olarak koyarsınız. Let's Encrypt bu dosyayı HTTP üzerinden okuyarak alan adının kontrolünüzde olduğunu doğrular.
  • DNS-01: Size verilen değeri DNS bölgenize bir TXT kaydı olarak eklersiniz. Let's Encrypt bu kaydı sorgulayarak doğrulama yapar. Bu yöntem, sunucuya dosya koyamadığınız durumlarda ve wildcard sertifikalar için zorunludur.

Doğrulama başarılı olunca Let's Encrypt sertifikayı imzalar ve teslim eder. Tipik bir ACME akışı şöyle ilerler:

1. Hesap oluştur / anahtar üret
2. Sertifika talebi (order) gönder
3. Doğrulama: HTTP-01 dosyası veya DNS-01 TXT kaydı
4. Let's Encrypt doğrular
5. Sertifika imzalanır ve indirilir

Tüm bu adımları elle yapmak isteyenler için ücretsiz SSL sihirbazımız süreci dakikalar içinde tamamlar; siz yalnızca alan adınızı girip doğrulamayı onaylarsınız.

Neden 90 gün

Let's Encrypt sertifikaları yalnızca 90 gün geçerlidir. İlk bakışta kısa görünse de bu bilinçli bir güvenlik tercihidir:

  1. Otomasyonu teşvik eder: Kısa ömür, yenilemeyi elle yapmayı pratik olmaktan çıkarır ve herkesi otomasyona yöneltir. Otomatik yenilenen bir sertifika, unutulup süresi dolan bir sertifikadan çok daha güvenlidir.
  2. Sızan anahtarın etkisini sınırlar: Özel anahtarınız bir şekilde ele geçerse, hasar en fazla 90 gün sürer. Yıllık sertifikalarda bu risk penceresi çok daha geniştir.
Kısa ömürlü sertifikalar, internetin sağlığı için bir özellik değil bir zaaf değildir; tam tersine modern güvenliğin temel taşıdır.

Güvenilir mi

Evet. Let's Encrypt sertifikaları tüm büyük tarayıcılar (Chrome, Firefox, Safari, Edge) ve işletim sistemleri tarafından güvenilir kabul edilir. Bunun nedeni, Let's Encrypt'in kök sertifikalarının bu platformların güven mağazalarına (trust store) dâhil edilmiş olmasıdır. Ücretli bir sertifikayla aynı şifreleme gücünü (genelde aynı TLS standartları) sunar; tarayıcı çubuğunda kilit simgesi aynı şekilde görünür.

Sınırları (DV, wildcard, OV/EV yok)

Let's Encrypt güçlüdür ama her şeyi yapmaz. Sınırlarını bilmek önemlidir:

  • Yalnızca DV sertifikası verir; OV veya EV (kurumsal/genişletilmiş doğrulama) sunmaz. Tarayıcıda firma adı göstermek isteyenler ticari CA'lara yönelmelidir.
  • Wildcard sertifikalar (*.alanadi.com) yalnızca DNS-01 doğrulamasıyla alınabilir; HTTP-01 wildcard için çalışmaz.
  • Sigorta, garanti veya yeşil adres çubuğu gibi ticari ek özellikler içermez.

Özet

Let's Encrypt, ISRG tarafından işletilen, ACME protokolüyle tamamen otomatikleşmiş, ücretsiz bir DV sertifika otoritesidir. HTTP-01 ve DNS-01 yöntemleriyle alan adı sahipliğini doğrular, 90 günlük kısa ömürlü sertifikalarla güvenliği artırır ve tüm büyük tarayıcılarca güvenilir sayılır. Tek dezavantajı, komut satırı araçlarının yeni başlayanlara karmaşık gelebilmesidir. İşte tam bu noktada ücretsiz SSL sihirbazımız devreye girer: üyelik gerekmez, alan adınızı girersiniz, doğrulamayı tamamlarsınız ve CRT, KEY, CA Bundle, fullchain ile PFX dosyalarını tek bir ZIP içinde indirirsiniz. Let's Encrypt'in tüm gücünü, dakikalar içinde ve hiçbir teknik bilgi gerektirmeden kullanın.