Giriş — Neden alan adı ve sertifika kontrolü önemlidir?

Bir hizmetin resmi web adresini doğrulamak, yanlış siteye yönlendirilme ve kimlik amaçlı sahtecilik risklerini azaltır. Bu rehber Virabet resmi siteyi doğrulama sürecinde kullanabileceğiniz pratik adımları ve araçları açıklar. Rehber, resmi adresi doğrudan bildirmez; bunun yerine kendi doğrulamanızı yapabilmeniz için yöntemleri anlatır.

Hızlı doğrulama adımları (özet)

1. Adres çubuğunu dikkatle kontrol edin: yazım hataları, ekstra harfler, tire veya farklı uzantılar (ör. .net, .org).
2. Tarayıcıdaki kilit simgesine tıklayarak sertifika bilgilerini görüntüleyin ve alan adıyla eşleştiğini doğrulayın.
3. WHOIS kaydını kontrol ederek alanın kayıt tarihi ve kayıt kuruluşunu inceleyin.
4. CT (Certificate Transparency) kayıtlarını crt.sh üzerinden araştırın.
5. SSL/TLS yapılandırmasını Qualys SSL Labs gibi bir servisle test edin.
6. Sosyal medya ve resmi kanallardan paylaşılan URL ile sitenin adresini karşılaştırın.

1) Alan adı (URL) kontrolü: nelere bakmalısınız?

Adres çubuğunda görünen tam alan adını dikkatle inceleyin. Dikkat edilecek noktalar:

• Yazım ve karakter farkları: ekstra harfler, çift karakterler (ör. "virabett"), tire (-) kullanımı ya da sayı/benzer harf değişimleri.
• Farklı üst düzey alan adları (TLD): .com yerine .net, .org veya ülke uzantıları olabilir.
• Punycode (IDN) saldırıları: yabancı karakterler yerine xn-- ile başlayan görünümler olabilir; görsel olarak benzer olsa da teknik olarak farklıdır.
• HTTP vs HTTPS: Her zaman HTTPS ile başlayan adresleri tercih edin; ancak yalnızca kilit simgesi yeterli güvence değildir (aşağıda açıklanır).

2) Tarayıcıda sertifika kontrolü: adım adım

Çoğu modern tarayıcı, adres çubuğundaki kilit simgesine tıklayarak sertifika bilgilerini gösterir. Yapmanız gerekenler:

• Kilit simgesine tıklayın ve sertifika ayrıntılarını açın.
• Subject (veya Common Name) ve Subject Alternative Names (SAN) alanlarının ziyaret edilen alan adını içerdiğini doğrulayın.
• Sertifika süresinin geçerli olduğundan (başlangıç ve bitiş tarihleri) emin olun.
• Yayıncı (Issuer) kısmında tanınmış bir Sertifika Otoritesi (CA) görünmelidir (ör. DigiCert, Let's Encrypt gibi isimler sıkça görülür). CA ismi tek başına sitenin güvenilir olduğu anlamına gelmez, ama kontrol edilmesi gereken bir alandır.
• Tarayıcı uyarılarına dikkat edin: sertifika hatası veya sertifika ismi uyuşmazlığı gibi bildirimler varsa siteyi kullanmayın.

Sertifika detaylerini teknik komutlarla kontrol etmek

Komut satırı kullanıyorsanız sertifika bilgilerini görmek için OpenSSL komutu örneği:

openssl s_client -connect alanadi.com:443 -servername alanadi.com -showcerts

Bu çıktı, sertifika zincirini, geçerlilik tarihlerini ve CN/SAN içeriğini görmenizi sağlar. Ayrıca OCSP cevapları veya sertifikanın iptal durumunu kontrol etmek için ek araçlar kullanılabilir.

3) Certificate Transparency (CT) ve crt.sh ile geçmiş kontrolü

Yeni sertifikalar CT kayıtlarına eklenir. Bir alan adı için hangi sertifikaların çıkarıldığını görmek, beklenmeyen veya yetkisiz sertifikaları tespit etmenize yardımcı olur. Hızlı kontrol için https://crt.sh/ adresine gidip alan adını aratabilirsiniz.

4) WHOIS ve alan kayıt bilgileri

WHOIS kayıtları alan adının kim tarafından ve ne zaman kaydedildiği hakkında bilgi verir. Yeni, kısa süre önce kaydedilmiş veya gizlenen (WHOIS gizleme servisi kullanılan) kayıtlar ilgi çekebilir. WHOIS sorgusu için örnek kaynak: https://whois.icann.org/.

Kontrol edilecek alanlar: kayıt tarihi (creation), bitiş tarihi (expiry), kayıt kuruluşu (registrar) ve yetkilendirilmiş isim sunucuları (nameservers).

5) DNS ve yönlendirme davranışı

DNS kayıtları ve yönlendirmeler (redirect) sitenin gerçek altyapısı hakkında fikir verir. Basit kontroller:

• DNS çözümlemesi: dig +short A alanadi.com @8.8.8.8
• HTTP header kontrolü: curl -I https://alanadi.com (yönlendirmeleri ve Location başlığını kontrol edin)
• DNSSEC etkin mi? DNSSEC olmayan alanlar ekstra doğrulama gerektirebilir.

6) SSL/TLS yapılandırma testleri

Bir sitenin TLS yapılandırmasını otomatik olarak test etmek için Qualys SSL Labs gibi servisleri kullanabilirsiniz. Bu testler protokol destekleri, zayıf şifrelemeler ve zincir hataları hakkında ayrıntı sunar.

7) Resmi kanallarla çapraz kontrol

Web adresini resmi sosyal medya hesapları, mobil uygulama mağazası sayfaları veya hizmet sağlayıcının doğrulanmış iletişim kanalları ile karşılaştırın. Resmi hesaplarda verilen URL'ler genellikle doğrulanabilir; ancak hesapların da doğrulanmış (mavi onay gibi) olduğundan emin olun.

8) Şüpheli durumlarda atılacak adımlar

• Sitede tutulan kişisel veya finansal bilgileri girmeyin.
• Ekran görüntüsü ve adres çubuğu kaydı alın; teknik ayrıntılar gerekiyorsa paylaşmak üzere saklayın.
• Doğrulama için hizmet sağlayıcının resmi destek kanallarına başvurun.
• Resmi olmayan veya farklı görünen alanları ilgili kayıt kuruluşuna veya arama motoru güvenlik raporlarına bildirin (ör. Google Safe Browsing raporları için Google Safe Browsing).

9) Yaygın tuzaklar ve yanlış güven hissi

• Kilit simgesi yalnızca bağlantının şifreli olduğunu gösterir; site hakkında yasal veya ticari güvence vermez.
• Kısa süreli ve yeni kaydedilmiş alan adları daha fazla dikkat gerektirebilir.
• Punycode (xn--) ve görsel olarak benzeyen karakterler insan gözüyle kolayca karıştırılabilir.
• Sertifikanın yayıncısı tanınmış olabilir, ama sertifika yanlış kullanım amaçlı çıkarılmış olabilir; CT kayıtları ve WHOIS ile çakışma kontrolü önemlidir.

Hızlı kontrol listesi (printable)

• Adres çubuğunu tam yazım ve TLD ile kontrol ettim.
• Kilit simgesine tıklayarak CN/SAN ve son kullanma tarihini kontrol ettim.
• crt.sh ile CT kayıtlarını aradım.
• WHOIS ile kayıt tarihini ve registrar bilgisini kontrol ettim.
• curl/dig ile yönlendirme ve DNS kayıtlarını kontrol ettim.
• SSL Labs ile temel TLS yapılandırmasını test ettim.
• Resmi sosyal medya ve uygulama mağazası bağlantılarıyla kıyasladım.

Son not ve sorumluluk beyanı

Bu rehber, Virabet resmi siteyi doğrulama amaçlı genel teknik yöntemleri ve kontrol noktalarını açıklar. Burada verilen adımlar kendi kontrollerinizi yapabilmeniz içindir; tek başına tamamen güvenli olduğuna dair garanti vermez. Şüphe halinde resmi destek kanallarına danışın veya bir bilişim uzmanından yardım alın.