Ücretsiz SSL vs Ücretli SSL: Hangisini Seçmeli?

Site sahiplerinin en sık sorduğu sorulardan biri şu: ücretsiz SSL mi yoksa para verdiğim bir sertifika mı daha iyi koruma sağlar? Pazarlama mesajları çoğu zaman ücretli sertifikaların "daha güvenli" olduğunu ima eder, ama teknik gerçek bambaşkadır. Bu rehberde Let's Encrypt tabanlı ücretsiz DV sertifikalar ile ticari CA'ların sattığı OV/EV sertifikaları yan yana koyuyor, paranı nereye verip nereye vermemen gerektiğini net biçimde anlatıyoruz.

Şifreleme aynı, fark nerede

Önce en kritik yanlış anlamayı düzeltelim: ücretli bir sertifika sana daha güçlü bir şifreleme sağlamaz. Tarayıcı ile sunucu arasındaki bağlantıyı kuran TLS el sıkışması (handshake) ve kullanılan şifreleme algoritmaları sertifikanın türüne değil, sunucunun yapılandırmasına bağlıdır. Bir DV sertifikası da, 1.000 dolarlık bir EV sertifikası da aynı modern TLS 1.3 oturumunu, aynı anahtar uzunluğunu ve aynı güçlü şifre paketlerini kullanabilir. Adres çubuğundaki kilit ikonu her ikisinde de aynı görünür.

O zaman fark nerede? Üç başlıkta toplanır:

  • Doğrulama derinliği: DV (Domain Validation) sadece alan adına sahip olduğunu doğrular. OV (Organization Validation) ve EV (Extended Validation) ise şirketin yasal kaydını, adresini ve varlığını da kontrol eder.
  • Garanti / sigorta: Ticari CA'lar, sertifika hatalı düzenlenirse devreye giren bir mali garanti sunar. Pratikte bu garantiyi kullanan son kullanıcı neredeyse yoktur, ama kurumsal satın alma süreçlerinde aranır.
  • Destek ve geçerlilik süresi: Ücretli sertifikalar genelde telefon desteği ve 1 yıllık geçerlilik sunar. Let's Encrypt sertifikaları 90 gün geçerlidir ve otomatik yenilenecek şekilde tasarlanmıştır.

Ücretsiz SSL (DV) kimler için yeterli

İşin özü: ziyaretçinin verisini şifrelemek istiyorsan DV sertifikası tam olarak bu işi yapar. Aşağıdaki siteler için ücretsiz DV fazlasıyla yeterlidir:

  • Bloglar, kişisel siteler ve portföyler
  • Kurumsal tanıtım siteleri ve KOBİ web siteleri
  • Çoğu küçük ve orta ölçekli e-ticaret sitesi (ödeme işlemi zaten bankanın/ödeme sağlayıcısının altyapısında yapılıyorsa)
  • API uçları, alt alan adları, geliştirme ve test ortamları
  • İletişim formu, üyelik, giriş paneli barındıran her tür site

Bu noktayı vurgulamak gerekir: Google, Mozilla ve Apple dahil tüm büyük tarayıcılar Let's Encrypt'i köklü bir sertifika otoritesi olarak tanır. Yani ziyaretçi hiçbir uyarı görmez, kilit ikonu eksiksiz çıkar ve SEO açısından HTTPS avantajını birebir alırsın.

Ücretli SSL ne zaman mantıklı (OV/EV)

Ücretli sertifikalar değersiz değildir; sadece çoğu sitenin ihtiyacının dışında bir katmana hitap eder: kurumsal kimliğin vitrine çıkması. Şu durumlarda OV/EV düşünmek mantıklıdır:

  • Bankalar ve finans kuruluşları: Hukuki kimliğin sertifika içinde doğrulanmış olması güven ve uyum gereksinimidir.
  • Büyük e-ticaret ve marketplace'ler: Müşteri sertifika detayında şirket adını görmek isteyebilir; tedarikçi/kurumsal denetimler bunu şart koşabilir.
  • Kurumsal güven ve sigorta beklentisi: İhale, denetim veya sözleşme şartnameleri ticari bir CA'nın garantisini gerektiriyorsa.

Burada da bir uyarı şart: EV sertifikaların eskiden adres çubuğunda gösterdiği yeşil şirket adı, modern tarayıcıların çoğunda artık görünmez. Yani "müşteri şirket adını görsün" beklentisi büyük ölçüde geçerliliğini yitirdi. Karar verirken bunu hesaba kat.

"Ücretsiz SSL güvenli/kalıcı mı?"

En yaygın iki endişeyi tek tek yanıtlayalım.

Güvenli mi?

Evet. Ücretsiz SSL ile ücretli SSL aynı kriptografik standartları kullanır. Let's Encrypt, internetin büyük bölümünü şifreleyen, milyarlarca sertifika düzenlemiş, bağımsız denetimlerden geçen bir otoritedir. "Ücretsiz olduğu için zayıftır" algısı teknik olarak yanlıştır.

Kalıcı mı?

Sertifika 90 gün geçerlidir, bu "kısa ömürlü" değil tasarım gereği böyledir. Kısa süre, çalınan bir anahtarın istismar penceresini daraltır ve güvenliği artırır. Otomatik yenileme kurulduğunda bu süre senin için tamamen görünmez hale gelir; el ile yenileyenler içinse 90 günde bir birkaç dakikalık iştir. Sertifikayı istediğin kadar kez, sınırsız süre boyunca ücretsiz yenileyebilirsin.

Maliyet karşılaştırması

Sayılara bakalım. Tipik bir ticari DV/OV sertifikası yılda 50-200 dolar, EV ise 150-1.000 dolar bandında seyreder. Çok alan adı (wildcard) veya çoklu alan (SAN) seçenekleri bu rakamı daha da yukarı çeker.

  1. Ücretsiz DV: 0 TL, sınırsız yenileme, dakikalar içinde kurulum.
  2. Ücretli DV: Aynı şifreleme, aynı güven, yılda onlarca dolar fark — çoğu site için bu farkın karşılığı yok.
  3. OV/EV: Yüksek maliyet; yalnızca kurumsal kimlik doğrulaması gerçekten gerekliyse anlamlı.

Yani çoğu site için ücretli sertifikaya ödenen para, teknik olarak hiçbir ek koruma getirmeyen bir kalem olarak bütçeye girer.

Özet

Şifreleme her iki tarafta aynıdır; ücretli sertifika "daha güvenli bağlantı" satmaz. Fark doğrulama derinliği, garanti ve destekte yatar. Blog, kişisel site, KOBİ ve çoğu kurumsal/e-ticaret sitesi için ücretsiz SSL fazlasıyla yeterlidir; OV/EV yalnızca banka ve büyük kurumsal vitrin ihtiyacı olanlar için mantıklıdır. Karar verdiysen vakit kaybetme: ücretsiz SSL sihirbazımız ile dakikalar içinde DV sertifikanı oluştur, CRT, KEY, CA Bundle, fullchain ve PFX dosyalarını tek ZIP olarak indir. Süre dolmadan e-posta hatırlatması bile gönderiyoruz — hemen başla ve sitendeki kilidi bugün etkinleştir.