Ne Oluyor?
Mayıs 2026’dan itibaren, Let’s Encrypt, DigiCert, Sectigo gibi tüm büyük public sertifika otoriteleri, TLS client authentication için sertifika imzalamayı durduracak. Bu değişiklik, Google Chrome’un yeni kök program gereksinimlerinden kaynaklanıyor ve sektör genelinde zorunlu bir geçişi tetikliyor.
Kritik Tarihler
2025 Ekim: Çoğu CA, varsayılan olarak client authentication EKU’sunu kaldırmaya başlayacak
2026 Mayıs: Hiçbir public CA’dan client authentication sertifikası alınamayacak
2026 Haziran: Chrome, TLS server authentication için özel olarak ayrılmış root certificate hierarchy’lerini kabul edecek (client auth ve server auth farklı root’lardan gelecek)
Kimler Etkileniyor?
Etkilenmiyorsunuz
Sertifikalarınızı sadece web sitelerini güvenli hale getirmek (HTTPS) için kullanıyorsanız, hiçbir şey yapmanıza gerek yok.
Dikkat: Bu Senaryolardan Biri Varsa
- VPN ve uzaktan erişim: Çalışan cihazlarına sertifika ile kimlik doğrulama yapıyorsanız
- Kurumsal Wi-Fi (802.1X): Cihaz bazlı network authentication kullanıyorsanız
- Mutual TLS (mTLS): API’ler ve mikroservisler arası güvenlik sağlıyorsanız
- Kubernetes/Service Mesh: Pod-to-pod authentication için sertifika kullanıyorsanız
- IoT/M2M: Cihazlar arası kimlik doğrulama yapıyorsanız
- Kurumsal uygulamalar: Client certificate tabanlı SSO kullanıyorsanız
Public CA’lardan alınan ve client authentication için kullanılan her sertifika, 2026’dan sonra yenilenemeyecek.
Çözüm: Private PKI’a Geçiş
Artık client authentication için tek geçerli çözüm, organizasyonların kendi private PKI altyapılarını kurması. İyi haber şu ki, modern araçlar sayesinde bu geçiş eskisi kadar karmaşık değil.
Private PKI’nın Avantajları
- Tam kontrol: Sertifika profillerini, yaşam döngüsünü ve politikaları siz belirlersiniz
- Esneklik: İç kullanımlarınıza özel sertifikalar oluşturabilirsiniz
- Bağımsızlık: Dış politika değişikliklerinden etkilenmezsiniz
- Maliyet: Büyük ölçekte daha ekonomik
- Hız: Daha hızlı iptal, yenileme ve dağıtım
Başarılı Geçiş İçin Gerekenler
1. Sertifika Envanteri
İlk adım, mevcut durumu anlamak. Hangi sertifikaların client authentication için kullanıldığını, hangi sistemlerin etkileneceğini ve öncelik sıralamasını belirlemek kritik.
2. Private CA Altyapısı
Modern çözümler, root CA ve intermediate CA hiyerarşisi kurmanızı, farklı kullanım durumları için özel sertifika profilleri oluşturmanızı ve ACME, EST, SCEP gibi standart protokollerle entegrasyon yapmanızı sağlıyor.
3. Certificate Lifecycle Management (CLM)
Artan sertifika sayısı ve daha sık renewal gereksinimleri göz önüne alındığında, manuel yönetim artık sürdürülebilir değil. Başarılı bir geçiş için ihtiyaç duyduğunuz yetenekler:
- Otomatik keşif: Organizasyondaki tüm sertifikaları bulma
- Merkezi yönetim: Public ve private sertifikaları tek yerden izleme
- Otomatik imzalama: Private CA ile entegre sertifika üretimi
- Akıllı dağıtım: İmzalanan sertifikaları hedef sistemlere otomatik deploy etme
- Yaşam döngüsü otomasyonu: Yenileme, iptal ve rotation süreçleri
- Uyumluluk kontrolü: Politika ihlallerini önleme
Geçiş Stratejisi
Aşama 1: Değerlendirme (Hemen)
- Mevcut sertifika envanterini çıkarın
- Client authentication kullanan sertifikaları belirleyin
- Etkilenecek sistemleri ve kritiklik seviyelerini listeleyin
- Geçiş için gereken kaynakları planlayın
Aşama 2: Pilot (2025 Q4)
- Kritik olmayan bir sistemde private PKI’ı test edin
- CLM platformu ile otomasyon süreçlerini kurun
- Renewal ve dağıtım senaryolarını doğrulayın
Aşama 3: Üretim Geçişi (2026 Q1-Q2)
- VPN sistemleri ve kullanıcı sertifikalarını geçirin
- mTLS API’ler ve mikroservisleri güncelleyin
- IoT ve embedded cihazları yapılandırın
- Eski public CA sertifikalarını planlı şekilde iptal edin
- Kritik: Mayıs 2026’dan önce tüm sistemlerin private PKI’a geçmiş olması gerekiyor.
Teknoloji Seçimi: Nelere Dikkat Etmeli?
Must-have Özellikler
Seçeceğiniz platformun mutlaka sunması gerekenler:
- Kapsamlı keşif ve envanter yönetimi
- Private CA entegrasyonu ve sertifika imzalama yetenegi
- Hedef sistemlere otomatik dağıtım (Kubernetes, load balancer, web server vb.)
- ACME/EST/SCEP protokol desteği
- RESTful API ve webhook entegrasyonu
- Detaylı audit log ve raporlama
Entegrasyon Ekosistemi
Platform, mevcut altyapınızla uyumlu olmalı:
- Microsoft ADCS, OpenSSL, EJBCA gibi CA’lar
- Kubernetes, Docker, OpenShift gibi container platformları
- Nginx, Apache, IIS gibi web sunucuları
- F5, HAProxy, Citrix gibi load balancer’lar
Pratik Öneriler
Güvenlik
- Kök CA’yı offline tutun, intermediate CA’lar kullanın
- HSM ile private key’leri koruyun
- Minimum RSA 2048 veya ECC P-256 kullanın
- Düzenli denetim ve uyumluluk kontrolü yapın
Otomasyon
- Manuel süreçlerden tamamen kaçının
- Kısa ömürlü sertifikalar + otomatik renewal
- Pre/post deployment script’leri yapılandırın
- Health check ve validation otomasyonu
Organizasyon
- Merkezi yönetim uygulayın
- Role-based access control tanımlayın
- Ekip eğitimi ve dokümantasyon hazırlayın
- Disaster recovery planı oluşturun
Araç Seçerken Karşılaştırma Kriterleri
| Kriter | Neden Önemli | Kontrol Edilmesi Gerekenler |
| Keşif kapasitesi | Gizli sertifikaları bulma | Multi-platform scan, agent/agentless, scheduling |
| İmzalama esnekliği | Özel kullanım durumları | Custom profiles, EKU kontrolü, CA agnostic |
| Dağıtım otomasyonu | Operasyonel yük | Platform desteği sayısı, API/webhook, rollback |
| Protokol desteği | Cihaz/sistem uyumluluğu | ACME, EST, SCEP, RESTful API |
| Ölçeklenebilirlik | Büyüme ve yük | Sertifika sayısı limiti, performance, high availability |
Sonuç
Public CA’ların 2026’da client authentication desteğini sonlandırması, sadece bir politika değişikliği değil – organizasyonları daha kontrollü ve güvenli bir PKI modeline geçmeye zorlayan yapısal bir dönüşüm.
Son uyarı: Mayıs 2026’dan sonra public CA’lardan client authentication sertifikası almak imkansız hale gelecek. Sürprizlerle karşılaşmamak için geçiş planınızı bugün oluşturun.
Modern CLM platformları, bu geçişi hem kolay hem de değer yaratan bir fırsata dönüştürebilir. Doğru araç seçimi ve iyi bir planlama ile, bu zorunlu geçiş organizasyonunuz için uzun vadeli bir kazanıma dönüşecektir.
SecTrail CM, sertifika yaşam döngüsü yönetimi için kapsamlı bir platform sunuyor. Sertifika envanteri çıkarma, otomasyondan, hedef sistemlere sertifika dağıtımına kadar tüm süreçlerde destek sağlıyoruz. Daha fazla bilgi için bizlere ulaşın.