SSL Sertifikası Zincir Hataları (Chain Issues) ve Çözümü

SSL sertifika zinciri hataları, web sitelerinin güvenilirliğini doğrudan etkileyen kritik sorunlardır. Bu hatalar, tarayıcıların sunucu sertifikasını doğrulayamaması nedeniyle oluşur ve kullanıcılara “güvenilmeyen bağlantı” uyarıları gösterir. Kurumsal web siteleri için bu durum, itibar kaybına ve trafik düşüşüne yol açabilir. Makalede, SSL zincirinin yapısını anlayarak yaygın hataları tespit etme ve pratik çözümleri adım adım ele alacağız. Bu rehber, sistem yöneticileri ve geliştiriciler için somut bir yol haritası sunmayı amaçlamaktadır.

SSL Sertifika Zincirinin Yapısı ve Önemi

SSL/TLS sertifika zinciri, kök sertifika yetkilisi (CA) ile uç kullanıcı sertifikası arasında güven köprüsü kuran bir hiyerarşidir. Zincir, kök CA sertifikası, ara (intermediate) CA sertifikaları ve son olarak domain sahibine ait sunucu sertifikasından oluşur. Tarayıcılar, sunucu sertifikasını doğrulamak için bu zinciri yukarıdan aşağıya doğru izler. Eksik veya hatalı bir halka, tüm zinciri bozar ve bağlantıyı kesintiye uğratır.

Zincirin önemi, modern web güvenliğinin temelinde yatar. Örneğin, Let’s Encrypt gibi ücretsiz sağlayıcılar otomatik yenileme sunsa da, ara sertifikaların manuel eklenmesi gerekebilir. Kurumsal ortamlarda, zincir hataları %30’a varan bağlantı reddine neden olabilir. Doğru yapılandırılmış bir zincir, HTTPS trafiğini sorunsuz kılar ve SEO puanlarını yükseltir.

Zincir Bileşenleri

Zincirdeki kök sertifika, güvenilir CA’lar tarafından imzalanır ve tarayıcı depolarında önceden yüklenir. Ara sertifikalar, kök ile sunucu arasında birden fazla seviye oluşturabilir; örneğin DigiCert zincirinde iki ara sertifika bulunur. Sunucu sertifikası ise private key ile eşleştirilir. Her bileşenin PEM veya CRT formatında tam zincir dosyası olarak sunulması şarttır.

Zincir Doğrulama Süreci

Tarayıcı, sunucudan gelen sertifikayı alır ve imza zincirini kontrol eder. Her sertifikanın public key’i ile bir üst sertifikayı doğrular. Süre aşımı, revocation listesi (CRL/OCSP) ve anahtar uyumsuzluğu gibi kontroller yapılır. Bu süreç milisaniyeler içinde tamamlanır, ancak bir hata tüm bağlantıyı bloke eder.

Yaygın Zincir Hataları ve Tespit Yöntemleri

Yaygın hatalar arasında eksik ara sertifika, yanlış sıralama ve süresi dolmuş sertifikalar yer alır. Eksik ara sertifika, tarayıcının “ERR_CERT_AUTHORITY_INVALID” hatası vermesine yol açar. Yanlış sıra, zinciri bozar ve “ERR_CERT_COMMON_NAME_INVALID” gibi uyarılar üretir. Bu sorunlar, özellikle çoklu domain sertifikalarında (SAN) sık görülür.

• Eksik Ara Sertifika: Sunucu sadece leaf sertifikayı gönderir, ara zinciri atlar.
• Sıralama Hatası: Sertifikalar leaf’ten köke doğru değil, ters sırada sunulur.
• Süre Dolma: Ara sertifikalar yenilenmez, zincir kırılır.

Tespit için SSL Labs’in online aracı veya komut satırı araçları kullanılabilir. OpenSSL ile openssl s_client -connect example.com:443 -showcerts komutu zinciri listeler. Tarayıcı geliştirici araçlarında (F12 > Security sekmesi) hatalar görüntülenir. Loglarda “certificate chain not trusted” ifadesi aranmalıdır.

Hata Loglarını Okuma

Apache/Nginx loglarında “AH01915: SSL input filter read failed” veya “SSL_do_handshake() failed” gibi mesajlar zincir sorununu işaret eder. Chrome’un net-internals/#hsts sekmesi detaylı zincir bilgisi verir. Bu loglar, hangi sertifikanın sorunlu olduğunu pinpoint eder.

Zincir Hatalarını Çözme Adımları

Çözüm, zinciri doğru oluşturup sunucuya yüklemekle başlar. Sertifika sağlayıcısından tam zincir dosyasını (chain.pem) indirin. Bu dosya, leaf sertifikadan başlayarak köke doğru sıralanmalıdır. Nginx için ssl_certificate ve ssl_certificate_key direktiflerine chain dosyasını atayın; Apache’te SSLCertificateFile ve SSLCertificateChainFile kullanın.

1. Tam zincir dosyasını sağlayıcıdan edinin (örneğin, Sectigo chain.crt).
2. Dosyayı metin editörüyle açın, her sertifikanın —–BEGIN CERTIFICATE—– ile başladığını doğrulayın.
3. Sunucu konfigürasyonuna yükleyin: Nginx’te ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem;
4. Sunucuyu yeniden başlatın ve test edin: openssl verify -CAfile chain.pem server.crt.
5. OCSP stapling’i etkinleştirin: ssl_trusted_certificate direktifiyle.

Pratik örnek: Let’s Encrypt ile certbot kullanıyorsanız, certbot certonly --nginx -d example.com tam zinciri otomatik üretir. Manuel durumlarda, chain’i fullchain.pem’e ekleyin. Değişiklik sonrası cache’i temizleyin (tarayıcı ve CDN seviyesinde). Bu adımlar, %99 oranında hatayı giderir.

SSL zincir hatalarını önlemek için düzenli denetimler şarttır. Otomatik yenileme script’leri (cron job) kurun ve haftalık SSL Labs taramaları yapın. Kurumsal ekipler, iç araçlarla (örneğin Zabbix) izleme entegre etmelidir. Bu yaklaşımla, web siteniz kesintisiz güvenilirlik sağlar ve kullanıcı deneyimini optimize eder.