SSL Sertifika SNI Nedir?

SSL sertifika SNI, modern web güvenliğinin vazgeçilmez bir parçasıdır. Server Name Indication (SNI) olarak bilinen bu teknoloji, tek bir IP adresi üzerinde birden fazla alan adını barındırmayı mümkün kılar. Özellikle paylaşımlı hosting ortamlarında ve çoklu domain yönetimi gereken kurumsal yapılarda kritik rol oynar. SNI, TLS protokolünün bir uzantısı olarak çalışır ve SSL/TLS el sıkışma sürecinde sunucunun hangi domain için sertifika sağlayacağını önceden belirtir. Bu sayede, işletmeler maliyetleri düşürürken güvenlik standartlarını yükseltebilir. Makalede, SNI’nin teknik yapısını, çalışma prensibini ve pratik uygulamalarını detaylı inceleyeceğiz.

SNI Nedir ve Neden Gerekli?

SNI, TLS 1.0 ve üzeri protokollerde tanımlanmış bir uzantıdır. Geleneksel SSL/TLS bağlantılarında, sunucu tek bir IP’ye bağlı sertifika ile sınırlı kalırken, SNI bu kısıtı aşar. 2004 yılında RFC 3546 ile standartlaştırılan SNI, istemcinin (tarayıcı) bağlantı kurarken hedef domain adını sunucuya iletmesini sağlar. Bu, özellikle IPv4 adres kıtlığının yaşandığı günümüzde hayati öneme sahiptir.

Kurumsal düzeyde, SNI paylaşımlı sunucularda subdomain’ler veya farklı markalar için ayrı sertifikaları etkinleştirir. Örneğin, bir e-ticaret şirketi ana domaini shop.com.tr ve blog alt domaini için tek IP kullanabilir. SNI olmadan, her domain için ayrı IP ve sertifika gereklidir ki bu maliyetli ve yönetim açısından karmaşıktır. SNI desteği olmayan eski tarayıcılar (örneğin Internet Explorer 6) sınırlı olsa da, modern istemcilerin %99’undan fazlası uyumludur.

• SNI, wildcard sertifikaları ile birleştiğinde sınırsız subdomain kapsar.
• Ücretsiz Let’s Encrypt gibi servislerle kolay entegrasyon sağlar.
• CDN’lerde (Content Delivery Network) çoklu tenant desteği verir.

SNI Nasıl Çalışır?

TLS el sıkışma sürecinde SNI, Client Hello mesajına eklenir. İstemci, bağlanmak istediği domain adını (örneğin example.com) sunucuya bildirir. Sunucu bu bilgiyi alır ve ilgili sertifikayı yükler. Süreç şu adımlarla ilerler: İstemci Hello’da SNI uzantısı gönderilir, sunucu domain’e göre sertifika seçer, Certificate mesajı ile yanıt verir ve el sıkışma tamamlanır. Bu, gecikmeyi minimuma indirir.

Teknik El Sıkışma Adımları

1. İstemci, TCP bağlantısı kurar ve Client Hello paketi gönderir; burada SNI ile domain belirtilir. 2. Sunucu, SNI bilgisini okur ve domain’e eşleşen sertifika zincirini hazırlar. 3. Server Hello ile protokol versiyonu ve şifreleme algoritmaları paylaşılır. 4. Certificate mesajında SNI’ye göre sertifika sunulur. 5. İstemci sertifikayı doğrular ve anahtar değişimini tamamlar. Bu akış, saniyeler içinde gerçekleşir ve şifreleme sağlar.

SNI Destekli Sunucu Konfigürasyonu

Apache’de VirtualHost bloklarında ServerName ile SNI etkinleşir; Nginx’te server blokları SNI’yi otomatik tanır. Örnek Nginx konfigürasyonu: server { listen 443 ssl; server_name domain1.com; ssl_certificate /path/to/cert1.pem; } ve benzeri bloklar eklenir. Sunucu yeniden başlatılır ve log’lar ile SNI isabetleri izlenir. Hata durumunda, OpenSSL s_client komutu ile test edilir: openssl s_client -servername domain.com -connect ip:443.

SNI Uygulamasında Pratik Adımlar ve Dikkat Edilecekler

SNI entegrasyonu için öncelikle sunucunuzun TLS 1.2+ desteklediğinden emin olun. Sertifika sağlayıcınızdan (örneğin Sectigo veya DigiCert) SNI uyumlu sertifika alın. Ardından, hosting panelinizde (cPanel, Plesk) SNI’yi etkinleştirin. Kurumsal ortamlarda, load balancer’lar (HAProxy) SNI tabanlı yönlendirme yapar.

Adım Adım Uygulama Rehberi

1. Domain DNS’ini sunucu IP’sine yönlendirin (A kaydı). 2. Sertifika CSR’sini oluşturun: openssl req -new -key private.key -out request.csr. 3. Sertifikayı yükleyin ve konfigürasyonda SNI ile eşleştirin. 4. SSL Labs gibi araçlarla test edin (puan 90+ hedefleyin). 5. Log rotasyonunu ayarlayarak hataları takip edin. Örnek: Bir banka sitesi için production öncesi staging’de SNI test edilir.

Olası Sorunlar ve Çözümler

Eski mobil cihazlarda SNI hatası çıkarsa, fallback sertifika kullanın. IPv6 ile çakışma için dual-stack konfigürasyon yapın. Performans için sertifika zincirini optimize edin (intermediate CA ekleyin). Günlük izleme ile uptime %99.9’a ulaşın. SNI, HSTS ile birleştiğinde tam güvenlik sağlar.

SNI teknolojisi, web altyapılarınızı verimli ve güvenli hale getirmenin anahtarıdır. Kurumsal ekipler, düzenli sertifika yenileme ve uyumluluk denetimleriyle bu avantajı maksimize edebilir. Uygulama sonrası, kullanıcı deneyimini iyileştirmek için hız testleri yapın ve gerektiğinde uzman desteğe başvurun. SNI ile geleceğe hazır olun.