Let''s Encrypt, 2015''ten bu yana web''in HTTPS''ye geçişini hızlandıran ücretsiz bir sertifika otoritesidir. Bugün tüm yeni web sitelerinin en az %85''i Let''s Encrypt sertifikası kullanıyor. Bu rehber Certbot ile sıfırdan SSL kurulumu, otomatik yenileme, wildcard sertifika ve yaygın sorunların çözümünü kapsar.
Certbot Kurulumu
İlgili rehberler: DNS nedir, ayarları değiştirme · Domain adı ve WHOIS sorgulama · Hosting türleri rehberi · Nginx yapılandırma · Plesk panel yönetimi
# Ubuntu / Debian
sudo apt update && sudo apt install certbot python3-certbot-nginx
# Alternatif: snap ile (en güncel sürüm)
sudo snap install core; sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbotStandart HTTP-01 Challenge
En yaygın yöntem. Let''s Encrypt, domain''inize bağlanıp özel bir dosya okur; böylece domain''in kontrolünün sizde olduğunu doğrular. Port 80''in açık olması ve domain''in sunucuya yönelmiş olması zorunludur.
# Nginx için otomatik kurulum
sudo certbot --nginx -d example.com -d www.example.com -m admin@example.com --agree-tos --no-eff-email
# Apache için
sudo certbot --apache -d example.com -d www.example.com
# Sadece sertifika al, manuel yapılandır
sudo certbot certonly --webroot -w /var/www/html -d example.com/etc/letsencrypt/ altına tüm sertifikaları yerleştirir ve nginx/apache config''ine otomatik ssl_certificate direktiflerini ekler.Wildcard Sertifika (DNS-01 Challenge)
*.example.com gibi tüm subdomain''leri kapsayan wildcard sertifikası için HTTP challenge yetmez, DNS-01 kullanılır. Sağlayıcınızda bir TXT kaydı oluşturarak domain sahipliğini kanıtlarsınız.
sudo certbot certonly --manual --preferred-challenges dns \
-d example.com -d '*.example.com' \
-m admin@example.com --agree-tos
# Certbot size _acme-challenge.example.com için TXT kaydı değeri verir
# DNS''e ekleyip 'dig _acme-challenge.example.com TXT' ile doğrulayın
# Ardından Enter''a basınOtomatik Yenileme
Let''s Encrypt sertifikaları 90 gün geçerlidir. Certbot kurulumuyla birlikte gelen systemd timer veya cron otomatik yenileme yapar. Yenileme 60 gün öncesinden denenmeye başlar, başarısız olursa günde 2 kere tekrar denenir.
# Timer'ı doğrula
systemctl list-timers | grep certbot
# Manuel test (kuru çalıştırma)
sudo certbot renew --dry-run
# Yenileme sonrası nginx reload için hook
sudo mkdir -p /etc/letsencrypt/renewal-hooks/deploy
echo '#!/bin/bash
systemctl reload nginx' | sudo tee /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh
sudo chmod +x /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.shNginx SSL Yapılandırma
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
# HTTP → HTTPS redirect
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}Yaygın Sorunlar
- Rate limit — haftalık 50 sertifika limiti var, test için
--stagingbayrağını kullanın - Port 80 kapalı — HTTP challenge çalışmaz, firewall kuralını kontrol edin
- DNS henüz yayılmamış — TTL''i düşürüp 5-10 dk bekleyin
- CAA kaydı yanlış —
dig example.com CAAile doğrulayın, Let''s Encrypt içinletsencrypt.orgizinli olmalı
ssllabs.com/ssltest/) sitenizi test edin. A+ derecesi için ssl_protocols TLSv1.2 TLSv1.3;, HSTS, DHE/ECDHE cipher''lar ve OCSP stapling gerekir.Modern Web Hosting ve Sunucu Altyapısı
Performanslı bir web hosting hizmeti üç temel altyapı kararına dayanır: NVMe SSD diskler (klasik SATA SSD'ye göre 4-6 kat IOPS), LiteSpeed Web Server veya Nginx + LSCache kombinasyonu (Apache'ye göre 9 kat istek kapasitesi) ve CloudLinux + Imunify360 izolasyonu. Hosting sağlayıcısının kontrol paneli (cPanel, Plesk, DirectAdmin), günlük yedek politikası, veri merkezi konumu ve destek ekibi yanıt süresi de büyük fark yaratır. Türkiye lokasyonu yerli ziyaretçilere düşük gecikme verirken; Hetzner Frankfurt veya OVH Roubaix gibi Avrupa lokasyonları global trafik için daha uygundur. Site büyüdükçe paylaşımlı hosting'ten VPS, ardından dedicated server'a geçiş; CPU/RAM/disk kaynaklarının web sitemizin ihtiyaçlarına göre ölçeklenmesini sağlar.
Çoklu domain, wildcard veya özel CA gereksinimi için iletişime geçin