Giriş — Neden site doğrulama gerekiyor?

İnternette bir siteye veri girerken veya ödeme yaparken önce sitenin gerçekten beklediğiniz site olup olmadığını doğrulamak önemlidir. URL ve SSL/TLS sertifikası kontrolleri, temel ama etkili ilk kontrollerdir: bunlar iletişimin şifrelenip şifrelenmediğini ve tarayıcınızın sertifika zincirini tanıyıp tanımadığını gösterir. Bu rehber pratik adımlar, kontrol listeleri ve kullanışlı araçlar sunar.

Temel kavramlar: URL, alan adı ve TLS

Önce terimleri kısa ve net biçimde tanımlayalım:

• URL (Adres): Tarayıcı çubuğunda gördüğünüz tam adres. Örnek: https://example.com/shop — burada protokol (https), alan adı (example.com) ve yol (/shop) bulunur.
• Alan adı ve alt alan: example.com ana alan adıdır; shop.example.com gibi ifadeler alt alandır. Markaya benzeyen farklı alt alanlar dikkati hak eder.
• TLS (eski adıyla SSL): Tarayıcı ile site arasındaki trafiği şifreleyen teknolojidir. Modern tarayıcılar genellikle TLS kullanır; sertifikalar ise bu şifrelemenin doğrulanmasına yardımcı olur.

URL kontrolü: Adım adım pratik yöntem

1. Adresin tamamını dikkatle inceleyin.

   Alan adının doğru yazıldığından emin olun; harflerin yer değiştirmesi, ekstra tire veya beklenmeyen bir alt alan (ör. giris-example.com yerine example.com) gözden kaçabilir. Benzer görünen karakterler (Uluslararası Alan Adları nedeniyle) bazen yanıltıcı olabilir; şüphe varsa alan adını kopyalayıp güvenli bir metin düzenleyicide kontrol edin.

2. Protokolü kontrol edin.

   Adresin https:// ile başlayıp başlamadığını doğrulayın. HTTPS, verinin iletim sırasında şifrelenmesini sağlar; ancak yalnızca HTTPS olması sitenin tüm yönlerden güvenli olduğu anlamına gelmez. HTTPS eksikse hassas bilgi girmemek en doğru yaklaşımdır.

3. Tarayıcı kilit simgesine bakın.

   Adres çubuğunda görünen kilit simgesi, tarayıcının site ile güvenli bir bağlantı kurduğunu gösterir. Kilit simgesi tek başına sitenin meşruiyetini garantilemez; yine de ilk göstergelerden biridir.

4. Yönlendirmeleri gözlemleyin.

   Sitenin sizi farklı bir domaine hızla yönlendirip yönlendirmediğine dikkat edin. Beklenmeyen yönlendirmeler, ekstra inceleme gerektirir.

5. İletişim ve yasal bilgiler.

   Site üzerinde açık iletişim kanalları, adres ve şirket bilgileri olup olmadığını kontrol edin. Şüpheli eksiklikler varsa temkinli olun.

6. WHOIS kaydına bakın.

   Alan adının kayıt bilgileri ve kayıt tarihi hakkında genel bilgi almak için WHOIS sorgulaması yapılabilir. Yeni kayıtlı alan adları daha dikkat gerektirebilir; bununla birlikte tek başına kayıt tarihi kötü niyeti kanıtlamaz.

SSL/TLS sertifikası kontrolü: Nelere bakmalısınız?

Sertifika kontrolleri teknik görünse de temel olarak şu noktalara bakmak yeterli olur:

• Geçerlilik tarihleri: Sertifika henüz başlamış mı ve süresi dolmamış mı? Süresi geçmiş sertifikalar tarayıcı uyarısı verir ve dikkat gerektirir.
• Sertifika veren kuruluş (CA): Sertifika güvenilir bir sertifika yetkilisi tarafından mı verilmiş? Tanınmış kuruluşlar tarafından verilen sertifikalar daha yaygındır.
• Alan adı eşleşmesi: Sertifikadaki ortak ad (CN) veya Subject Alternative Names (SAN) alan adınızla eşleşiyor mu? Örneğin example.com için düzenlenmiş bir sertifika example.com veya www.example.com öğelerini içermelidir.
• Sertifika zinciri: Tarayıcı ara ve kök sertifikalara giden güven zincirini doğrular. Tarayıcılar bunu otomatik kontrol eder; tarayıcı uyarısı alıyorsanız daha fazla inceleyin.

DV, OV ve EV sertifikaları: kısaca farklar

Genel sınıflandırma üç ana tiptir: Domain-Validated (DV), Organization-Validated (OV) ve Extended Validation (EV). DV sertifikalar yalnızca alan adının kontrolünü doğrular; OV ve EV daha fazla kuruluş doğrulaması içerir. Ancak modern tarayıcıların hepsi EV bilgilerini eskisi kadar belirgin göstermeyebilir; bu nedenle sertifika türüne bakarken tarayıcının sunduğu bilgileri bir arada değerlendirin.

Tarayıcıda sertifika bilgilerini görüntüleme (genel yöntem)

Tarayıcınızın sürümüne göre detaylar farklı görünse de çoğu durumda izlenecek adımlar benzerdir:

• Adres çubuğundaki kilit simgesine tıklayın veya dokunun.
• Bağlantı/sertifika bilgisi gibi bir seçenek arayın.
• Sertifika ayrıntılarını görüntüleyin ve Geçerlilik süresi, Veren kuruluş ve CN/SAN alanlarını kontrol edin.

Eğer tarayıcı uyarı veriyorsa (örneğin kırmızı uyarı veya sayfa engellendi bildirimi), uyarıyı geçmeden önce nedenini araştırın. Gerektiğinde resmi destek kanallarına başvurun.

Yararlı çevrimiçi araçlar

• SSL Labs - SSL/TLS testi: Sertifika zincirini, yapılandırma ve güvenlik skorlarını analiz eder.
• Let’s Encrypt: Ücretsiz sertifika veren tanınmış bir kuruluş hakkında bilgi alabilirsiniz.
• ICANN WHOIS: Alan adı kayıt bilgilerini sorgulamak için resmi kaynak.
• Google Developers - HTTPS rehberi: HTTPS ve en iyi uygulamalar hakkında teknik bilgi sağlar.

Pratik kontrol listesi (hızlı)

• Adres çubuğundaki alan adıyla beklediğiniz marka/alan adının eşleştiğinden emin olun.
• HTTPS ve kilit simgesi var mı? Varsa sertifika ayrıntılarını açın.
• Sertifika süresi geçerli mi? Veren kuruluş tanınıyor mu?
• Sertifikadaki CN veya SAN alanı ziyaret ettiğiniz alanı kapsıyor mu?
• Site sizi beklenmeyen bir domaine yönlendiriyor mu?
• Hakkında/İletişim/yasal bilgiler açık ve tutarlı mı?

Sınırlar ve uyarılar

Bu kontroller, bir sitenin teknik olarak şifrelenmiş olup olmadığını ve sertifika bilgisini doğrulamanıza yardımcı olur, ancak tek başına sitenin tüm yönlerden meşru olduğunu kanıtlamaz. Ödeme veya kişisel veri paylaşmadan önce birden fazla işaretleyici (kullanıcı yorumları, yasal bilgiler, güvenilir üçüncü taraf referansları) kullanmak en doğrusudur. Kesin güvenlik değerlendirmesi gerekiyorsa konuyla ilgilenen bir güvenlik uzmanına başvurun.

Ne yapmalısınız — şüphe durumunda adımlar

• Kişisel veya finansal bilgileri girmeyin.
• Tarayıcı uyarısı alıyorsanız sayfayı kapatın ve resmi kanallardan doğrulama yapın.
• Güvenilir destek kanallarını (resmi telefon numarası veya kayıtlı e-posta adresi) kullanarak siteyi doğrulayın.
• Gözlemlediğiniz teknik ayrıntıları (alan adı, yönlendirme, sertifika veren kuruluş) not edin; gerekiyorsa kayıt kuruluşuna veya ilgili mercilere bildiriniz.

Sonuç

URL ve SSL/TLS sertifika kontrolleri, web sitelerinin temel doğrulaması için hızlı ve etkili araçlardır. Bu kontrolleri günlük alışkanlık haline getirirseniz, çevrimiçi işlemler sırasında daha bilinçli kararlar alabilirsiniz. Ancak unutmayın ki bu adımlar tek başına her durumu kapsamaz; şüphede çok yönlü doğrulama ve gerektiğinde profesyonel destek en güvenli yaklaşımdır.