Önemli not: Bu içerik, bir internet sitesinin alan adı ve bağlantı güvenliğini doğrulamaya yönelik genel bilgilendirme amaçlıdır. Herhangi bir platformu “kesin güvenli” ilan etmez, hukuki tavsiye değildir. Bulunduğunuz ülke/bölge düzenlemelerini ayrıca kontrol edin.

“resmi site” aramaları genellikle aynı ihtiyaca işaret eder: Doğru alan adına mı girdim, bağlantı gerçekten ilgili platforma mı ait, yoksa benzer alan adları üzerinden yönlendirme mi var? Aşağıdaki kontrol listesi; SSL/TLS (HTTPS sertifikası), WHOIS alan adı kayıt bilgileri ve mümkünse dijital imza doğrulamasıyla bu sorulara daha sistemli yaklaşmanıza yardımcı olur.

1) Hızlı kontrol: URL ve tarayıcı sinyalleri

1.1 Alan adını harf harf kontrol edin

İlk adım basit ama etkilidir: Adres çubuğundaki alan adını (özellikle uzantı ve yazım) harf harf kontrol edin. Benzer karakterler (ör. “l” ve “I”) veya fazladan tire/alt alan adı gibi detaylar, yanlış bir adrese gitmenize neden olabilir.

• Alt alan adları: “ornek.com” ile “login.ornek.com” farklı olabilir; ancak “ornek.com.giris-ornek.net” gibi yapılar da görülebilir. Alan adının sağdan sola okunduğunu unutmayın.
• Kısaltma bağlantılar: Kısaltılmış URL’ler hedefi saklayabilir. Mümkünse doğrudan alan adını kullanın.
• Yer imleri: Doğru olduğundan emin olduğunuz resmi siteyi yer imlerinize kaydedin ve tekrar girişlerde oradan açın.

1.2 HTTPS ve sertifika göstergesini kontrol edin

HTTPS, tarayıcı ile site arasında şifreli bağlantı sağlar. Ancak tek başına “HTTPS var” demek her zaman yeterli değildir; sertifika detaylarına bakmak gerekir. Çoğu tarayıcıda kilit simgesine tıklayarak sertifika bilgilerine erişebilirsiniz.

• “Bağlantı güvenli” benzeri bir ifade görmelisiniz.
• Uyarı mesajı görürseniz (sertifika geçersiz, alan adı uyuşmuyor vb.), devam etmeyin.

2) SSL/TLS sertifikası ile doğrulama (detaylı)

Bir sitenin sertifikası; kime verildiği, hangi alan adlarını kapsadığı ve geçerlilik süresi gibi ipuçları taşır. Burada amaç, girdiğiniz alan adının sertifikasının o alan adıyla uyumlu olup olmadığını anlamaktır.

2.1 Sertifikada hangi alan adları kapsanıyor?

Sertifika ayrıntılarında genellikle Subject Alternative Name (SAN) alanı bulunur. Burada listelenen alan adları, sertifikanın hangi adresler için geçerli olduğunu gösterir.

• Adres çubuğunda gördüğünüz alan adı, SAN listesinde yer almalı.
• SAN listesi çok alakasız ve aşırı geniş görünüyorsa temkinli olun; bu tek başına kanıt değildir ama ek kontrol gerektirir.

2.2 Sertifikayı kim vermiş (CA/Issuer)?

Sertifikayı veren kurum (Certificate Authority / Issuer) tarayıcılar tarafından güvenilen bir otorite olmalıdır. Günümüzde yaygın CA’lar bulunur; önemli olan tarayıcınızın sertifikayı geçerli saymasıdır.

Not: Sertifikayı veren kurumun ismi tek başına “resmiyet” kanıtı değildir; asıl kritik olan alan adı uyumu ve tarayıcı doğrulamasıdır.

2.3 Geçerlilik tarihi ve “yenileme” davranışı

Birçok site sertifikalarını düzenli aralıklarla yeniler. Sertifikanın yeni olması tek başına şüphe veya güven anlamına gelmez; ancak bitmiş/geçersiz bir sertifika görüyorsanız bu doğrudan bir uyarıdır.

2.4 İleri kullanıcılar için örnek: SAN ve Issuer alanını tarayıcıda nerede görürsünüz?

• Chrome / Edge: Kilit simgesi > bağlantı/sertifika bilgileri > sertifika ayrıntıları. Burada Issuer ve Subject Alternative Name (SAN) alanlarını arayın.
• Firefox: Kilit simgesi > Bağlantı güvenli > Daha fazla bilgi > Sertifikayı görüntüle. Sertifika penceresinde SAN ve veren kurum bilgisi yer alır.
• Safari: Adres çubuğundaki kilit simgesi > Sertifikayı Göster. Ayrıntılarda veren kurum ve kapsanan adlar görülebilir.

Menü adları sürüme göre değişebilir; temel hedef, sertifikanın girdiğiniz alan adını kapsadığını ve tarayıcının sertifikayı geçerli saydığını doğrulamaktır.

2.5 Harici araçlarla SSL kontrolü (isteğe bağlı)

Tarayıcı kontrolüne ek olarak, alan adını bağımsız araçlarla test edebilirsiniz:

• https://www.ssllabs.com/ssltest/ (TLS yapılandırma analizi)
• https://crt.sh/ (Certificate Transparency kayıtlarında sertifika arama)

Nasıl kullanılır? Alan adını girin ve sonuçlarda sertifikanın kapsadığı isimler ile yayınlanma tarihlerini inceleyin. Bu kayıtlar, alan adının zaman içinde nasıl sertifikalandırıldığını görmenizi sağlayabilir; ancak tek bir göstergeyle kesin sonuca varmak yerine diğer kontrollerle birlikte değerlendirmek daha doğrudur.

3) WHOIS ile alan adı sahipliği ve geçmişi nasıl kontrol edilir?

WHOIS; bir alan adının hangi kayıt kuruluşu üzerinden yönetildiği, ne zaman oluşturulduğu ve hangi isim sunucularını kullandığı gibi bilgiler sunar. Bazı alan adlarında gizlilik nedeniyle kişi/kurum bilgileri maskelenebilir; bu tek başına olumsuz bir işaret değildir.

3.1 ICANN WHOIS sorgusu

Resmi ve nötr bir başlangıç noktası olarak ICANN arama aracını kullanabilirsiniz:

• https://lookup.icann.org/en

3.2 WHOIS’te hangi alanlar anlamlı?

• Creation Date (Oluşturulma tarihi): Alan adının çok yeni olması otomatik olarak “kötü” demek değildir; ancak yeni bir kayıt görüyorsanız, bunu diğer sinyallerle doğrulayın (SSL, duyuru kanalları vb.).
• Registrar (Kayıt kuruluşu): Tanınan bir kayıt kuruluşu üzerinden yönetilmesi normaldir.
• Name Servers (NS): İsim sunucuları altyapı sağlayıcısı hakkında ipucu verebilir. NS değişiklikleri zaman zaman olur; aniden ve sık değişim görüyorsanız ekstra kontrol yapın.
• Status kodları: “clientTransferProhibited” gibi kilitler alan adının transferinin kısıtlandığını gösterir ve yaygın bir güvenlik uygulamasıdır.

3.3 WHOIS ile doğrulama yaparken sık hata

WHOIS ekranında görülen “Registrant” bilgilerinin gizli olması (privacy/proxy) tek başına olumsuz bir işaret değildir. Bu yüzden WHOIS’i, alan adı + SSL + resmi duyuru üçlüsüyle birlikte değerlendirin.

4) Dijital imza ve “resmi duyuru” kontrolü (varsa güçlü yöntemlerden)

Bir platform, alan adı değişikliklerini veya güncel erişim adresini duyururken dijital imza (ör. PGP/GPG imzası) kullanıyorsa bu, doğrulama açısından değerlidir. İmza doğrulaması; duyurunun, ilgili anahtarın sahibi tarafından yayınlandığını matematiksel olarak test etmenizi sağlar.

Önemli: Her platform imzalı duyuru sunmayabilir. Aşağıdaki adımlar, sunuluyorsa nasıl kontrol edebileceğinizi anlatır.

4.1 PGP/GPG imzası nasıl doğrulanır? (yüksek seviye)

1. Resmi kanaldan paylaşılan public key (açık anahtar) parmak izini (fingerprint) not edin.
2. Duyuru metniyle birlikte paylaşılan imza dosyasını veya “signed message” formatını indirin/kopyalayın.
3. GPG ile imzayı doğrulayın.

Teknik detaylara girmek istemiyorsanız, en azından şunu hedefleyin: Resmi bir kanalda paylaşılan anahtar parmak izi ile elinizdeki anahtar eşleşiyor mu? Eşleşmiyorsa, duyuruya güvenmek için ek kanıt gerekir.

4.2 E-posta imzaları (DKIM/SPF) ve alan adı uyumu

Güncel adres e-posta ile paylaşılıyorsa, gönderen alan adının tutarlılığını ve e-posta başlıklarında doğrulama sonuçlarını (ör. DKIM/SPF/DMARC) incelemek faydalı olabilir. Bu kontrol ileri seviye olsa da, e-posta bütünlüğü açısından ek sinyal sağlar.

5) “Güvenilir mi?” sorusuna teknik açıdan yaklaşım

Bu rehberin sağladığı kontroller, öncelikle alan adı/sertifika tutarlılığı ve bağlantının bütünlüğü ile ilgilidir: yani “girdiğim site, hedeflediğim alan adı mı ve bağlantı düzgün doğrulanıyor mu?” sorusuna yardım eder.

Net sınır: SSL/WHOIS/duyuru doğrulaması, bir işletmenin lisanslı veya meşru olduğunu tek başına kanıtlamaz. Bu tür değerlendirmeler için yetkili kurum kayıtları, tüketici uyarıları ve resmi bilgilendirmeler gibi farklı kaynaklara ayrıca bakmanız gerekir.

6) Resmi siteyi doğrulamak için güvenli rutin

6.1 Tek seferlik “doğru” bulmak yetmez

Alan adı değişiklikleri, yönlendirmeler veya erişim sorunları gibi durumlarda kullanıcılar sık sık yeni adres arar. Bu da hataya açık bir süreçtir. En güvenli yaklaşım, bir kez doğruladıktan sonra tekrar tekrar aynı doğrulanmış yolu izlemektir.

6.2 Pratik kontrol listesi

• Yer imi kullanın: Doğruladığınız alan adını kaydedin ve arama motoru sonuçlarından tekrar tekrar girmeyin.
• Tarayıcı güncel olsun: Güncel tarayıcılar sertifika doğrulama ve güvenli bağlantı sinyallerinde daha tutarlıdır.
• Cihaz saatini kontrol edin: Yanlış tarih/saat, sertifika hatalarını tetikleyebilir.
• Çoklu doğrulama: Şüphede kaldığınızda aynı alan adını hem tarayıcıdan hem ICANN WHOIS’ten hem de CT kayıtlarından kontrol edin.
• Resmi destek kanalları: Platformun doğrulanabilir resmi kanallarından (site içi destek, doğrulanmış sosyal hesaplar vb.) alan adı duyurusu olup olmadığına bakın.

7) Sık karşılaşılan senaryolar ve ne yapmalı?

Senaryo A: Site açılıyor ama sertifika uyarısı veriyor

Bu durumda ilerlemeyin. Sertifika uyarıları, bağlantının doğrulanamadığını gösterir. Adres çubuğundaki alan adını tekrar kontrol edin; mümkünse farklı bir ağdan ve güncel tarayıcıyla yeniden deneyin. Sorun sürerse resmi kanallar üzerinden doğrulanmış alan adını görmeden işlem yapmayın.

Senaryo B: Alan adı doğru gibi ama sürekli farklı sayfalara yönlendiriyor

Yönlendirmeler bazen teknik altyapı nedeniyle olabilir; ancak aşırı ve beklenmedik yönlendirmeler doğrulamayı zorlaştırır. Bu durumda:

• Son ulaştığınız alan adını not edin ve sertifikasını ayrıca kontrol edin.
• WHOIS ile son alan adı kaydını da inceleyin.
• Mümkünse resmi duyurularla eşleştirin.

Senaryo C: Bir yerde “güncel adres” paylaşımı görüyorsunuz ama emin değilsiniz

Tek bir paylaşıma dayanmak yerine, alan adını SSL + WHOIS + (varsa) imzalı duyuru üzerinden doğrulayın. Ayrıca bağlantıyı açmadan önce URL’yi kopyalayıp alan adını metin olarak incelemek daha güvenli bir alışkanlıktır.

Sonuç: Doğrulama için pratik sıra

Doğrulama sürecini pratik bir sıraya koyarsak:

1. Alan adını kontrol et (yazım, uzantı, yönlendirme).
2. HTTPS sertifikasını incele (alan adı uyumu, geçerlilik, uyarı yok).
3. WHOIS ile kaydı doğrula (oluşturulma tarihi, registrar, NS tutarlılığı).
4. Varsa imzalı duyuruyu doğrula (en güçlü kanıtlardan biri olabilir).

Bu adımlar, “doğru siteye girdim mi?” sorusuna daha sağlam cevap vermenize yardımcı olur ve yanlış alan adı riskini azaltır.

References / Tools used

• ICANN Lookup: Alan adı kayıt/registrar bilgilerini (WHOIS/RDAP) görüntülemek için başlangıç noktası.
• SSL Labs SSL Test: Bir alan adının TLS/HTTPS yapılandırmasını dışarıdan analiz etmek için.
• crt.sh: Certificate Transparency kayıtlarında bir alan adıyla ilişkili sertifika kayıtlarını aramak için.