Haber

TLS/SSL Sertifika Ömrü 47 Güne Düşüyor: DigiCert 24 Şubat’ta 199 Gün Sınırına Geçiyor

Yazı Özetini Göster

Web güvenliğinin temel bileşenlerinden olan TLS/SSL sertifikalarının maksimum geçerlilik süreleri, sektörün en köklü değişikliklerinden biriyle karşı karşıya. CA/Browser Forum’un oybirliğiyle kabul ettiği SC-081v3 kararı uyarınca, şu an 398 gün olan üst sınır kademeli olarak düşürülecek ve 2029’da yalnızca 47 güne inecek. DigiCert ise bu geçişin ilk adımını 24 Şubat 2026’da atarak maksimum sertifika geçerliliğini 199 güne indiriyor.

SC-081v3 Kararı Neyi Öngörüyor?

CA/Browser Forum’un Nisan 2025’te onayladığı SC-081v3 kararı, Apple tarafından önerildi ve Sectigo tarafından desteklendi. Oylama sürecinde 25 sertifika otoritesi (CA) ve 4 tarayıcı üreticisi (Google, Apple, Mozilla, Microsoft) lehte oy kullandı. 5 sertifika otoritesi çekimser kalırken, aleyhte tek bir oy bile çıkmadı. Bu oybirliği, değişikliğin sektör genelinde kabul gördüğünün en somut göstergesi.

Karar, iki temel alanda kademeli sıkılaştırma getiriyor: sertifika geçerlilik süreleri ve doğrulama verilerinin yeniden kullanım süreleri. Her iki alan da birbiriyle bağlantılı şekilde kısaltılarak web güvenliği ekosisteminin daha sık doğrulama ve yenileme döngüsüne geçmesi hedefleniyor.

Kademeli Geçiş Takvimi

Değişiklik tek seferde değil, üç aşamalı bir takvimle hayata geçiriliyor. Her aşama bir önceki süreyi kabaca yarıya indiren bir mantık izliyor. Sertifika geçerlilik süreleri için CA/Browser Forum’un belirlediği resmi takvim şu şekilde:

15 Mart 2026 öncesinde düzenlenen sertifikalar mevcut 398 günlük üst sınıra tabi. 15 Mart 2026 ile 15 Mart 2027 arasında düzenlenen sertifikalar en fazla 200 gün geçerli olabilecek. 15 Mart 2027 ile 15 Mart 2029 arasında bu süre 100 güne düşecek. 15 Mart 2029 sonrasında ise maksimum geçerlilik 47 gün olarak belirlenmiş durumda. Kararın teknik dili de bir ayrıntı içeriyor: Sertifikalar 199 günü “aşmamalı” (SHOULD NOT), 200 günü ise “kesinlikle aşmamalı” (MUST NOT). Bu iki ifade arasındaki fark, 199 güne kadar güçlü bir tavsiye, 200 güne kadar ise kesin bir yasak anlamına geliyor.

IMG_1803-300x145 TLS/SSL Sertifika Ömrü 47 Güne Düşüyor: DigiCert 24 Şubat’ta 199 Gün Sınırına Geçiyor — TLS/SSL Sertifika Ömrü 47 Güne Düşüyor: DigiCert 24 Şubat’ta 199 Gün Sınırına Geçiyor

DigiCert Ne Zaman Geçiş Yapıyor?

DigiCert, sektör genelindeki 15 Mart 2026 tarihinden yaklaşık üç hafta önce, 24 Şubat 2026 itibarıyla kendi sistemlerinde değişikliği uygulamaya başlıyor. Bu tarihten itibaren DigiCert’in düzenlediği tüm genel TLS sertifikalarının maksimum geçerliliği 199 gün olacak. DigiCert, CA/Browser Forum’un belirlediği 200 günlük üst sınırı aşmamak için kendi limitini kasıtlı olarak 1 gün kısa tuttuğunu açıkça belirtiyor.

Değişiklik DigiCert’in tüm genel TLS ürünlerini kapsıyor: DV (Alan Adı Doğrulamalı), OV (Kuruluş Doğrulamalı), EV (Genişletilmiş Doğrulamalı) TLS sertifikaları ile AB Nitelikli Web Kimlik Doğrulama Sertifikaları (QWAC ve QWAC PSD2). CertCentral platformunda 24 Şubat’tan itibaren üç seçenek sunulacak: 199 gün, özel son kullanma tarihi (199 gün sınırıyla) ve özel süre (199 güne kadar).

Alan Adı ve Kuruluş Doğrulama Süreleri de Kısalıyor

SC-081v3 kararı yalnızca sertifika ömrünü değil, doğrulama verilerinin yeniden kullanım sürelerini de etkiliyor. Alan adı doğrulama (DCV) verilerinin yeniden kullanım takvimi şöyle belirlendi: 15 Mart 2026’dan itibaren 200 gün, 15 Mart 2027’den itibaren 100 gün ve 15 Mart 2029’dan itibaren yalnızca 10 gün. DigiCert, kendi takviminde bu süreyi 24 Şubat 2026 itibarıyla 199 güne indiriyor. Bu tarihten sonra doğrulanan alan adlarının yeniden kullanım süresi de 199 gün olacak ve mevcut doğrulamaların süreleri de buna göre kısaltılacak.

OV ve EV sertifikalarda kullanılan Konu Kimlik Bilgileri (Subject Identity Information – SII) doğrulaması için de ayrı bir kısalma var. SII yeniden kullanım süresi 15 Mart 2026 itibarıyla 825 günden 398 güne düşecek. DigiCert bu değişikliği de 24 Şubat 2026’da uygulamaya alıyor. Bu, OV ve EV sertifika kullanıcılarının kuruluş doğrulamalarını eskiye kıyasla çok daha sık yaptırması gerektiği anlamına geliyor.

API Kullanıcıları İçin Otomatik Uyarlama

DigiCert, CertCentral Services API üzerinden gelen taleplerde kesinti yaşanmaması için otomatik bir uyarlama mekanizması devreye alıyor. 24 Şubat 2026’dan itibaren API üzerinden gönderilen 1 yıllık sertifika talepleri otomatik olarak 199 güne dönüştürülecek. 199 günden uzun süre belirtilen talepler de otomatik olarak 199 güne indirilecek. Bu davranış, beklenmedik hataları önlemek ve mevcut entegrasyonların kesintisiz çalışmaya devam etmesini sağlamak amacıyla tasarlanmış.

Çok Yıllık Plan (Multi-year Plan – MyP) kullanan müşteriler için sipariş geçerliliği 1-3 yıl arasında kalabiliyor; ancak bu süre içinde düzenlenen her sertifika 199 günlük sınıra tabi olacak. MyP sahipleri plan süreleri dolana kadar ek ücret ödemeden sertifikalarını yeniden düzenleyebilecek. MyP kullanmayan müşteriler için ise hem sipariş hem sertifika geçerliliği 199 günle sınırlı olacak.

Mevcut Sertifikalar ve Yenileme Süreci

24 Şubat 2026 öncesinde düzenlenmiş aktif sertifikalar bu değişiklikten etkilenmiyor. Bu sertifikalar, orijinal son kullanma tarihlerine kadar güvenilir kalmaya devam edecek. Ancak bu tarihten sonra yapılacak yeniden düzenleme (reissue) ve kopya (duplicate) işlemlerinde yeni 199 günlük üst sınır uygulanacak. Yani 24 Şubat öncesinde alınmış 397 günlük bir sertifikanın yeniden düzenlenmesi gerektiğinde, yeni sertifika en fazla 199 gün geçerli olabilecek.

Sertifika yenileme işlemleri son kullanma tarihinden 90 gün öncesine kadar başlatılabiliyor; bu süreç değişmiyor. Ancak 24 Şubat 2026 sonrasında düzenlenen yenileme sertifikaları da 199 günlük üst sınıra tabi olacak. Son 397 günlük sertifikasını almak isteyen kuruluşların hem siparişi hem de gerekli alan adı ve kuruluş doğrulamalarını bu tarihten önce tamamlaması gerekiyor; çünkü üst sınır siparişin verildiği tarihe değil, sertifikanın düzenlendiği tarihe göre belirleniyor.

IMG_1804-300x189 TLS/SSL Sertifika Ömrü 47 Güne Düşüyor: DigiCert 24 Şubat’ta 199 Gün Sınırına Geçiyor — TLS sertifika geçerlilik süresi

Hangi Sertifikalar Etkileniyor, Hangileri Etkilenmiyor?

Kapsam konusundaki en önemli ayrıntı, bu kuralların yalnızca tarayıcı kök programlarına dahil sertifika otoritelerinden alınan genel olarak güvenilen (publicly-trusted) TLS sertifikalarını etkilediğidir. Kuruluşların kendi özel PKI altyapılarıyla düzenledikleri dahili sertifikalar CA/Browser Forum kurallarının kapsamı dışında kalıyor. Dahili ağlarda 1 yıllık, 2 yıllık hatta daha uzun süreli sertifika kullanımına devam edilebilir.

Benzer şekilde S/MIME e-posta şifreleme sertifikaları, kod imzalama sertifikaları, belge imzalama sertifikaları ve IoT cihaz sertifikaları farklı temel gereksinimlere (Baseline Requirements) tabi olduğundan bu karardan doğrudan etkilenmiyor. Değişiklik, internet üzerinden erişilebilen sunucuların kimlik doğrulaması için kullanılan sertifikalarla sınırlı.

Otomasyon Neden Zorunlu Hale Geliyor?

2029’da 47 günlük sertifika ömrüne geçildiğinde, her sertifikanın yılda 8 kereden fazla yenilenmesi gerekecek. 1.000 sertifika yöneten bir kuruluş, bugünkü yılda yaklaşık 1.000 yenileme işlemi yerine yılda 8.000’den fazla yenileme operasyonu yürütmek zorunda kalacak. Manuel süreçlerle bu hacmi yönetmek hem operasyonel açıdan sürdürülemez hem de insan hatası riski nedeniyle güvenlik zafiyeti yaratır.

ACME (Automatic Certificate Management Environment) protokolü, bu geçişin temel otomasyon aracı olarak öne çıkıyor. DigiCert, CertCentral üzerindeki ACME desteği ve Trust Lifecycle Manager çözümüyle otomasyona hazırlık sürecini destekliyor. Let’s Encrypt gibi ücretsiz sertifika otoriteleri zaten ACME tabanlı otomasyon üzerine kurulu olduğundan bu geçişe en hazırlıklı ekosistemlerden birini oluşturuyor. Kuruluşların henüz otomasyon altyapısı kurmamış olsalar bile 2026’nın ilk aşamasını bir fırsat penceresi olarak değerlendirmeleri ve 2027’deki 100 günlük aşamadan önce otomasyon yatırımlarını tamamlamaları tavsiye ediliyor.

SC-081v3 kararı, TLS sertifika yönetimini “yılda bir kez hatırlanan rutin bir işlem” olmaktan çıkarıp sürekli izlenen, otomatikleştirilmiş stratejik bir operasyona dönüştürüyor. İlk aşama olan 200 günlük sınır birkaç hafta içinde yürürlüğe girerken, DigiCert’in 24 Şubat 2026 tarihli erken geçişi sektörün geri kalanına da sinyal veriyor. Kuantum sonrası kriptografi geçişine hazırlık, sertifika iptal mekanizmalarının yetersizliği ve alan adı sahipliğinin daha sık doğrulanması ihtiyacı, bu kararın ardındaki temel motivasyonlar. Sertifika envanterini çıkarmak, otomasyon araçlarını değerlendirmek ve net bir geçiş planı oluşturmak için en doğru zaman şimdi.

Sıkça Sorulan Sorular

CA/Browser Forum takvimine göre 15 Mart 2026’da maksimum 200 güne, 15 Mart 2027’de 100 güne ve 15 Mart 2029’da 47 güne düşüyor. DigiCert ise kendi takviminde bu geçişi 24 Şubat 2026’da 199 günle başlatıyor.

DigiCert, CA/Browser Forum’un belirlediği 200 günlük kesin üst sınırı (MUST NOT) hiçbir koşulda aşmamak için kendi limitini kasıtlı olarak 1 gün kısa tutuyor. Bu, sınır aşımı riskini tamamen ortadan kaldırmaya yönelik bir önlem.

Hayır. 24 Şubat 2026 öncesinde düzenlenmiş sertifikalar orijinal son kullanma tarihlerine kadar geçerli kalacak. Ancak bu tarihten sonra yapılacak yeniden düzenleme, kopya veya yenileme işlemlerinde 199 günlük üst sınır uygulanacak.

Hayır. SC-081v3 kararı yalnızca tarayıcı kök programlarına dahil CA’lardan alınan genel güvenilir TLS sertifikalarını kapsıyor. Kuruluşların kendi dahili PKI altyapılarıyla düzenlediği sertifikalar, S/MIME, kod imzalama ve IoT sertifikaları bu kapsamın dışında.

Evet. DCV yeniden kullanım süresi 15 Mart 2026’da 200 güne, 2027’de 100 güne ve 2029’da yalnızca 10 güne düşüyor. OV/EV sertifikalardaki kuruluş doğrulama (SII) yeniden kullanım süresi ise 2026’da 825 günden 398 güne inecek.

Etiketler :