SSL Sertifikasında SAN Limitleri
SSL sertifikaları, web sitelerinin güvenliğini sağlamak için kritik bir unsurdur ve özellikle birden fazla alan adı veya alt alan adı kullanan kurumsal yapılar için
SSL sertifikaları, web sitelerinin güvenliğini sağlamak için kritik bir unsurdur ve özellikle birden fazla alan adı veya alt alan adı kullanan kurumsal yapılar için Subject Alternative Names (SAN) özelliği vazgeçilmezdir. SAN, bir SSL sertifikasının birden fazla hostname’i (alan adı, alt alan adı veya IP adresi) kapsamasına olanak tanır. Ancak, SAN limitleri sertifika sağlayıcılarına ve türlerine göre değişiklik gösterir; bu limitler, maliyet, yönetim karmaşıklığı ve güvenlik kapsamını doğrudan etkiler. Bu makalede, SAN limitlerini anlamak, yönetmek ve optimize etmek için pratik bilgiler sunacağız. Kurumsal düzeyde web altyapılarını yöneten IT ekipleri için bu bilgiler, sertifika seçiminde bilinçli kararlar almayı sağlar.
SAN Kavramı ve Standart Limitler
SAN, X.509 standartlarında tanımlanan bir özelliktir ve sertifikanın Subject alanının ötesinde ek kimlik doğrulamaları ekler. Temel olarak, tek bir sertifika ile www.example.com, mail.example.com ve api.example.com gibi birden fazla etkiyi koruyabilirsiniz. Bu, özellikle e-ticaret platformları veya bulut tabanlı hizmetler için verimlidir. Ancak, ücretsiz sertifika otoriteleri gibi Let’s Encrypt’te SAN limiti 100 ile sınırlıyken, ticari sağlayıcılar (örneğin, DigiCert veya Sectigo) başlangıçta 10-250 arasında değişen limitler sunar. Limit aşıldığında, ek ücretle genişletme seçenekleri devreye girer.
SAN limitlerini belirleyen faktörler arasında sertifika türü (DV, OV, EV), sağlayıcı politikaları ve geçerlilik süresi yer alır. Örneğin, bir OV sertifikasında standart 25 SAN hakkı varken, EV sertifikalarda bu sayı 100’e çıkabilir. Limitler, sertifikanın yayınlanması sırasında Certificate Signing Request (CSR) dosyasında belirtilir ve sonradan değiştirilemez. Bu nedenle, planlama aşamasında tüm subdomain’leri listelemek esastır.
SAN Türleri ve Uygulama Örnekleri
SAN’lar DNS adı, IP adresi, URI veya email gibi formatlarda olabilir; en yaygını DNS tipidir. Pratik bir örnek: Bir kurumsal site için *.company.com wildcard ile kombine edilerek 5 spesifik SAN (örneğin, shop.company.com) eklenebilir. Bu yaklaşım, 500’den fazla subdomain’e sahip büyük ağlar için idealdir. CSR oluştururken OpenSSL ile şöyle yapılabilir: openssl req -new -key private.key -out csr.csr -subj “/CN=primary.com” -addext “subjectAltName=DNS:alt1.com,DNS:alt2.com”. Bu komut, limit içinde birden fazla girişi tanımlar ve sertifika talebini güçlendirir.
Limit Aşımının Teknik Sonuçları
Limit aşıldığında sertifika reddedilir veya kısmi kapsama sağlanır, bu da tarayıcı uyarılarına yol açar. Kurumsal senaryolarda, bu downtime’a neden olur. Çözüm için, sertifika sağlayıcısının konsolunda SAN sayısını kontrol edin ve gerekirse upgrade talebi gönderin. Örneğin, Comodo PositiveSSL Multi-Domain sertifikası 100 SAN’a kadar destekler ve yıllık yenilemede limit korunur. Bu detaylar, bütçe planlamasında %20-30 maliyet artışı öngörmeyi gerektirir.
SAN Limitlerini Etkin Yönetme Yöntemleri
SAN limitlerini yönetmek, altyapı ölçeklenebilirliğini artırır. İlk adım, mevcut domain envanterinizi listeleyin: Tüm subdomain’leri Excel veya bir CMDB aracıyla kataloglayın. Ardından, wildcard sertifikaları değerlendirin; bunlar sınırsız alt alan adı kapsar ancak spesifik hostlar için SAN ile desteklenmelidir. Ticari sağlayıcılarda, premium planlarla limit 500’e çıkarılabilir. Bu strateji, AWS veya Azure gibi bulut ortamlarında otomatik sertifika yenileme (ACME protokolü) ile entegre edildiğinde bakım yükünü minimize eder.
- CSR dosyasını SAN’larla zenginleştirin: Her girişi virgülle ayırarak maksimum limite yaklaşın.
- Sertifika sağlayıcısının dashboard’undan limit sorgulayın ve batch upload özelliği kullanın.
- Wildcard + SAN hibrit modelini benimseyin: %80 kapsama wildcard, kalan spesifikler SAN ile.
Pratik bir uygulama için, NGINX veya Apache sunucularında sertifika yüklerken server block’larda multiple name SAN’ları belirtin. Bu, tek sertifika ile çoklu virtual host yönetimini sağlar ve konfigürasyon hatalarını önler.
Wildcard Sertifikaların Rolü
Wildcard (*.example.com), SAN limitini bypass eder ve sonsuz alt alan adı kapsar. Ancak, root domain (example.com) için ayrı SAN gereklidir. Maliyet etkin bir çözüm: Yıllık 100 USD civarı bir wildcard sertifika ile 1000+ subdomain korunur. Limit sorunu yaşayanlar için, bu geçişi test ortamında validate edin: openssl s_client -connect test.example.com:443 -servername test.example.com komutuyla doğrulama yapın.
Multi-Domain Sertifikalarla Ölçekleme
Multi-Domain (UCC/SAN) sertifikalar, farklı root domain’leri (example.com ve partner.com) tek çatı altında toplar. Standart limit 10 olsa da, extended versiyonlarda 250’ye ulaşır. Kurumsal geçişte, mevcut sertifikaları export edip yeni CSR’ye entegre edin. Bu, federated identity sistemlerinde (SAML/OAuth) kritik öneme sahiptir ve uyumluluk maliyetlerini %40 düşürür.
En İyi Uygulamalar ve Gelecek Odaklı Planlama
SAN yönetiminde en iyi uygulamalar, otomasyonu ön plana çıkarır. Certbot veya ACME.sh gibi araçlarla otomatik yenileme kurun; bu, limit değişikliklerini dinamik yönetir. Düzenli audit yapın: Aylık olarak SAN listesini gözden geçirip gereksizleri temizleyin. EV sertifikalara geçiş, yüksek limitlerle birlikte extended validation sağlar ve kurumsal itibarınızı güçlendirir. Ayrıca, HSM (Hardware Security Module) entegrasyonuyla private key’leri koruyun.
Pratik adımlar şöyle sıralanabilir:
- Domain listesini toplayın ve gruplandırın (wildcard uygunluk testi).
- CSR oluşturun ve SAN’ları maksimize edin.
- Sertifika sağlayıcısıyla limit müzakeresi yapın (volume discount için).
- Deployment sonrası CRL/OCSP stapling etkinleştirin.
Bu yaklaşımlar, SSL altyapınızı geleceğe hazırlar. SAN limitlerini proaktif yönetmek, güvenlik açıklarını kapatır ve operasyonel verimliliği artırır. Kurumsal ekipler, bu stratejileri uygulayarak sertifika yönetiminde tam kontrol sağlar ve ölçeklenebilir bir yapı kurar.
