Sitenizi açtınız, adres çubuğunda kilit yerine kırmızı bir uyarı ya da "Bağlantınız gizli değil" ekranı çıktı. Bu görüntü çoğu site sahibinin gözünü korkutur: ziyaretçi kaçar, Google sıralaması düşer, müşteri güvenini yitirir. İyi haber şu ki bu uyarıların neredeyse tamamı, SSL sertifikası ile ilgili tanımlanabilir ve düzeltilebilir bir nedenden kaynaklanır. Bu rehberde "güvenli değil" uyarısının gerçek sebeplerini ayırt etmeyi, doğru SSL kurulumunu, mixed content (karışık içerik) sorununu temizlemeyi, HTTPS yönlendirmesini kurmayı ve süresi biten sertifikayı yenilemeyi adım adım göreceğiz.
Önce uyarının türünü doğru okuyun
Tarayıcılar farklı sorunlar için farklı mesajlar gösterir. Çözüme başlamadan önce hangisiyle karşı karşıya olduğunuzu bilmek, gereksiz uğraştan kurtarır.
| Uyarı / belirti | Olası neden | Hızlı çözüm yönü |
|---|---|---|
| Tam ekran "Bağlantınız gizli değil" | Sertifika yok, süresi dolmuş ya da alan adıyla uyuşmuyor | SSL kur / yenile / doğru alan adına çıkar |
| Kilit yerine "Güvenli değil" yazısı | Site HTTP üzerinden açılıyor, HTTPS'e yönlendirme yok | HTTPS yönlendirmesi kur |
| Kilit var ama "i" / sarı üçgen işareti | Mixed content: sayfa HTTPS ama içinde HTTP kaynak var | Karışık içeriği temizle |
| NET::ERR_CERT_DATE_INVALID | Sertifika süresi dolmuş | Sertifikayı yenile |
| NET::ERR_CERT_COMMON_NAME_INVALID | Sertifika başka alan adı için kesilmiş | Doğru alan adına / SAN'a sertifika al |
| NET::ERR_CERT_AUTHORITY_INVALID | Kendinden imzalı veya zincir eksik sertifika | Ara sertifikaları (CA bundle) ekle |
Hangi mesajı gördüğünüzü not edin; aşağıdaki bölümler bu sırayla ilerliyor.
Adım 1: SSL sertifikası kurulu mu, kontrol edin
En temel durum: sitede hiç SSL yoktur. Bunu hızlıca anlamak için adres çubuğuna https:// yazıp alan adınızı denemeniz yeterli. Eğer bağlantı tamamen reddediliyorsa ya da tam ekran uyarı çıkıyorsa, büyük ihtimalle sertifika kurulu değildir veya yanlış kurulmuştur.
Çoğu Türkiye merkezli barındırma ortamında, kontrol panelinden (DirectAdmin veya Plesk) ücretsiz Let's Encrypt sertifikası birkaç tıkla kurulur:
- DirectAdmin: SSL Sertifikaları bölümü → Let's Encrypt'ten ücretsiz sertifika al → hem ana alan adını hem
wwwsürümünü işaretleyip kaydedin. - Plesk: SSL/TLS Sertifikaları → Let's Encrypt ile yükle → "Alan adını koru" ve "www dahil et" seçeneklerini işaretleyin.
Sertifikanın hem ornek.com hem www.ornek.com için kapsayıcı olması önemlidir; yalnızca birine sertifika kesilirse, diğer sürüm açıldığında CERT_COMMON_NAME_INVALID hatası alırsınız.
Eğer ücretli bir sertifika (DV/OV/EV) kullanıyorsanız ve elinizde .crt ve .key dosyaları varsa, panelin "Sertifikayı manuel ekle" alanına yapıştırmanız gerekir. Burada en sık yapılan hata, ara sertifikaların (CA bundle) atlanmasıdır; bu da CERT_AUTHORITY_INVALID uyarısına yol açar. Sağlayıcınızın verdiği zincir dosyasını mutlaka ilgili alana ekleyin.
Adım 2: Mixed content (karışık içerik) sorununu temizleyin
Sertifikayı kurdunuz ama kilit hâlâ tam yeşil değil, yanında küçük bir "i" ya da sarı işaret var. Bu klasik mixed content durumudur: sayfanın kendisi https:// üzerinden yüklenir, fakat içindeki bazı kaynaklar (resim, CSS, JavaScript, font) hâlâ eski http:// adresleriyle çağrılır. Tarayıcı bu güvensiz kaynakları işaretler, bazılarını tamamen engeller.
Hangi kaynağın sorun çıkardığını bulmak için:
- Sorunlu sayfayı açın, klavyeden F12 ile geliştirici araçlarını açın.
- Console sekmesine bakın; "Mixed Content" uyarıları tam olarak hangi dosyanın HTTP üzerinden çağrıldığını listeler.
WordPress kullanıyorsanız çözümü genellikle iki adımda biter:
- Ayarlar → Genel kısmında "WordPress Adresi" ve "Site Adresi" alanlarını
http://yerinehttps://yapın. - Veritabanında eski HTTP bağlantılarını toplu değiştirmek için Better Search Replace gibi bir eklenti ile
http://ornek.comifadesinihttps://ornek.comile değiştirin. (Bu işlemden önce mutlaka yedek alın.)
WordPress dışı sitelerde, tema ve sayfa kodunuzdaki sabit kodlanmış http:// bağlantılarını gözden geçirin. Mümkünse kaynakları protokolsüz ya da göreli yolla çağırın; örneğin //cdn.ornek.com/dosya.js yazımı, sayfa hangi protokolde açılırsa onu kullanır.
İpucu: Tek tek elle aramak yerine, sayfanın güvenlik durumunu hızlıca görmek için ücretsiz bir SSL kontrol aracı kullanabilirsiniz. Hostmana'nın ücretsiz araçları içindeki SSL ve HTTP başlık denetimi, sertifika zincirini ve karışık içerik sinyallerini özetler.
Adım 3: HTTP'den HTTPS'e yönlendirme kurun
SSL kurulu olsa bile, ziyaretçi siteyi http://ornek.com olarak açtığında tarayıcı yine "Güvenli değil" gösterir; çünkü o anki bağlantı şifresiz HTTP üzerindedir. Çözüm, gelen tüm HTTP trafiğini otomatik olarak HTTPS'e yönlendirmektir. Bu hem güvenlik hem de SEO için kritiktir: Google, HTTPS sürümünü ayrı bir URL olarak görür, yönlendirme yoksa sıralama gücünüz ikiye bölünebilir.
Apache tabanlı sunucularda, sitenizin kök dizinindeki .htaccess dosyasının en üstüne şu kuralı ekleyebilirsiniz:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [L,R=301]
R=301 ifadesi kalıcı yönlendirme anlamına gelir ve arama motorlarına HTTPS adresinin asıl adres olduğunu söyler. WordPress'te aynı işi Really Simple SSL gibi bir eklenti tek tıkla halleder; eklenti hem yönlendirmeyi kurar hem de mixed content uyarılarının çoğunu otomatik düzeltir.
Yönlendirmeyi kurduktan sonra güvenliği bir adım ileri taşımak isterseniz HSTS başlığını ekleyebilirsiniz. Bu başlık, tarayıcıya "bu siteye her zaman HTTPS ile bağlan" talimatı verir. Ancak HSTS'i yalnızca SSL'in stabil çalıştığından emin olduktan sonra açın; sertifikanız aniden bozulursa, HSTS yüzünden ziyaretçiler siteye hiç giremeyebilir.
Adım 4: Süresi dolan sertifikayı yenileyin
En sinir bozucu senaryolardan biri: site aylardır sorunsuz çalışırken bir sabah aniden NET::ERR_CERT_DATE_INVALID vermeye başlar. Sebep neredeyse her zaman aynıdır: sertifikanın süresi dolmuştur.
Let's Encrypt sertifikaları 90 gün geçerlidir ve normalde otomatik yenilenir. Ücretli ticari sertifikalar ise genellikle bir yıllığına alınır. Yenileme süreci sertifika türüne göre değişir:
- Let's Encrypt (otomatik): Çoğu modern panelde yenileme arka planda çalışır. Eğer otomatik yenileme bir nedenle takılırsa, panelden sertifikayı manuel olarak "yeniden ver" diyerek tetikleyebilirsiniz. Otomatik yenilemenin takılmasının en yaygın nedeni, alan adının artık o sunucuya bakmaması (DNS değişikliği) ya da doğrulama dosyasına erişimi engelleyen bir yönlendirmedir.
- Ücretli sertifika (manuel): Sağlayıcınızdan yeni sertifikayı satın alıp/yenileyip dosyaları panele tekrar yükleyin. Süre dolmadan birkaç hafta önce hatırlatma kurmak iyi bir alışkanlıktır.
Yenilemeyi unutmamanın en pratik yolu, sertifika bitiş tarihini düzenli izlemektir. Bir araçla siteyi takibe alırsanız, süre dolmadan günler önce uyarı alıp panik anını tamamen önleyebilirsiniz.
Sık karşılaşılan ek durumlar
wwwvewwwolmayan sürüm farkı: Sertifika ikisini de kapsamıyorsa biri çalışır, diğeri uyarı verir. Mutlaka her iki sürümü de sertifikaya ve yönlendirmeye dahil edin.- Alt alan adları (subdomain):
blog.ornek.comgibi alt alanlar ayrı sertifika ister ya da bir wildcard (*.ornek.com) sertifikasıyla kapsanmalıdır. - Tarayıcı önbelleği: Düzeltmeyi yaptınız ama uyarı sürüyorsa, çoğu zaman tarayıcı eski durumu önbellekten gösterir. Gizli/Incognito sekmede veya önbelleği temizleyip tekrar deneyin.
- DNS yayılımı: Alan adını yeni taşıdıysanız ve sertifika doğrulaması başarısızsa, DNS değişikliklerinin yayılması birkaç saat sürebilir. Acele etmeyin.
- Sunucu saati yanlış: Nadir de olsa, sunucu saati hatalıysa geçerli bir sertifika bile "süresi dolmuş" görünebilir.
Türkiye'deki site sahipleri açısından bir not: .com.tr, .org.tr gibi .tr uzantılı alan adları için de SSL kurulumu birebir aynı mantıkla işler; uzantının "yerli" olması SSL açısından hiçbir ek engel çıkarmaz. Yurt içinde barındırılan sitelerde KVKK uyumu için zaten HTTPS pratik bir zorunluluk hâline geldiğinden, bu adımları tamamlamak hem yasal hem teknik açıdan sizi rahatlatır.
Sonuç
"Bağlantınız güvenli değil" uyarısı, ilk bakışta ürkütücü görünse de çözümü standart ve tekrarlanabilir bir süreçtir: önce uyarının türünü doğru okuyun, ardından sırasıyla SSL'i kurun, mixed content'i temizleyin, HTTPS yönlendirmesini kurun ve sertifikanızı zamanında yenileyin. Bu dört adımı bir kez doğru tamamladığınızda, adres çubuğundaki kilit hem ziyaretçinize hem de arama motorlarına güven verir.
Sertifika zincirinizi, karışık içerik sinyallerinizi ve bitiş tarihinizi tek bir yerden kontrol etmek isterseniz Hostmana'nın ücretsiz SSL ve site denetim araçlarını kullanabilir; takıldığınız bir noktada ise bilgi bankamızdan adım adım kurulum yazılarına ulaşabilirsiniz. Sitenizi otomatik Let's Encrypt destekli, HTTPS hazır bir altyapıya taşımak istiyorsanız hosting paketlerimizi inceleyebilirsiniz.