Wildcard SSL ile Tekil SSL Arasındaki Farklar

CSR Oluştururken Dikkat Edilecekler

Asıl fark satın alma anında değil, CSR üretirken Common Name alanına ne yazdığınızda belirginleşir. Wildcard için bu alana joker biçimini girmeniz şarttır:

openssl req -new -newkey rsa:2048 -nodes \
  -keyout ornek.com.key \
  -out ornek.com.csr \
  -subj "/C=TR/ST=Istanbul/O=Ornek A.S./CN=*.ornek.com"

Tekil bir sertifika için ise CN=www.ornek.com yazmanız yeterlidir. Üretilen CSR'yi CA'ya gönderdikten sonra DV doğrulamasını genellikle DNS TXT kaydı ya da HTTP dosya yöntemiyle tamamlarsınız. Wildcard'larda HTTP tabanlı doğrulama çoğu CA'da kabul edilmez; joker bir alan adının sahipliğini kanıtlamak için DNS-01 yöntemiyle _acme-challenge.ornek.com altına bir TXT kaydı eklemeniz beklenir. Bu nedenle Wildcard yenilemesini otomatikleştirecekseniz DNS sağlayıcınızın API erişimi sunması işinizi ciddi biçimde kolaylaştırır.

Sunucu Tarafında Kurulum

Sertifika türü ne olursa olsun web sunucusu yapılandırması benzerdir; Wildcard'ı yöneten kişi olarak farkı, tek bir vhost bloğunun çok sayıda alt alan adına hizmet edebilmesinde görürsünüz. Apache için tipik bir blok şöyledir:

<VirtualHost *:443>
    ServerName ornek.com
    ServerAlias *.ornek.com
    SSLEngine on
    SSLCertificateFile      /etc/ssl/certs/ornek.com.crt
    SSLCertificateKeyFile   /etc/ssl/private/ornek.com.key
    SSLCertificateChainFile /etc/ssl/certs/ornek.com-ca-bundle.crt
</VirtualHost>

cPanel kullanan bir paylaşımlı web hosting paketinde bu adımların çoğu "SSL/TLS" arayüzünden otomatik tamamlanır; AutoSSL devredeyse tekil alt alan adları için sertifikalar arka planda yenilenir. Wildcard'ı manuel kurarken özel anahtar, sertifika ve CA bundle alanlarını doğru sıralamaya dikkat etmeniz gerekir.

Hangi Senaryoda Hangisi?

Karar verirken altyapınızın büyüme yönüne bakın. Sık sık yeni alt alan adı açan SaaS, çoklu mağaza veya müşteri başına subdomain üreten platformlarda Wildcard yönetimi kökten sadeleştirir. Buna karşılık tek bir kurumsal site veya tek bir uygulama yayınlıyorsanız tekil sertifika hem daha ucuz hem de saldırı yüzeyi açısından daha kontrollüdür.

• Wildcard seçin: Alt alan adı sayınız değişken ve artıyorsa, tek noktadan yenileme istiyorsanız.
• Tekil seçin: Tek bir adres yayınlıyorsanız ya da her alt alan için ayrı anahtar izolasyonu istiyorsanız.
• Güvenlik notu: Wildcard'ın özel anahtarı sızarsa tüm alt alan adları etkilenir; bu anahtarı sınırlı sayıda sunucuda tutmak iyi bir pratiktir.

Bogahost Önerisi: Wildcard'ın özel anahtarını her sunucuya kopyalamak yerine merkezi bir reverse proxy ya da yük dengeleyici üzerinde sonlandırın; böylece anahtarın bulunduğu makine sayısını azaltıp olası bir sızıntının etki alanını daraltırsınız.

Maliyet ve Yenileme Yönetimi

Tek bir adres için tekil DV sertifika neredeyse her zaman en uygun seçenektir. Ancak beş, on veya daha fazla alt alan adınız olduğunda ayrı ayrı tekil sertifikaların toplamı genellikle bir Wildcard'ın üzerine çıkar; üstelik her birinin ayrı yenileme tarihini takip etmek operasyonel bir yük doğurur. İhtiyacınıza uygun seçenekleri ve fiyatlandırmayı SSL sertifikaları sayfamız üzerinden karşılaştırabilirsiniz.

Yenileme tarafında her iki türde de geçerlilik süresi sektör kurallarıyla sınırlıdır ve otomasyon önerilir. ACME istemcileriyle (örneğin certbot veya acme.sh) DNS-01 doğrulaması üzerinden Wildcard yenilemeyi de planlı görevlere bağlayabilirsiniz.

Özetle

Tekil sertifika tek bir adresi en sade biçimde güvene alır; Wildcard ise büyüyen alt alan adı yapılarını tek dosyada toplayarak yönetimi rahatlatır. Şifreleme gücü ikisinde de aynı olduğundan tercih, kapsam ihtiyacınıza ve anahtar yönetimi disiplininize indirgenir. Altyapınızın bir yıl sonra nereye evrileceğini düşünerek seçim yaparsanız, gereksiz sertifika kalabalığından da baştan kurtulmuş olursunuz.