Let’s Encrypt’in 10. yılı

 (letsencrypt.org)
11 puan yazan GN⁺ 2025-12-10 | 1 yorum | WhatsApp'ta paylaş
  • 2015’te ilk genel sertifika yayımlanmasından sonra Let’s Encrypt, dünya genelinde en çok sertifika yayımlayan en büyük sertifika otoritesi (CA) haline geldi
  • Otomasyon tabanlı ölçeklenebilirliği merkeze alarak, günde 10 milyondan fazla sertifika yayımlıyor ve yaklaşık 1 milyar web sitesini koruma eşiğine yaklaşıyor
  • HTTPS şifreleme oranını dünya genelinde %30’un altından %80 seviyesine çıkararak web güvenliğinin artmasına katkı sağladı
  • Uluslararası alan adları, wildcard, kısa ömürlü ve IP sertifikaları gibi özellikleri sürekli ekleyerek altyapı performansını güçlendirdi
  • Kâr amacı gütmeyen ISRG’nin desteğiyle, ücretsiz ve otomatikleştirilmiş güvenlik altyapısı üzerinden internete erişim bariyerlerini düşürme misyonunu sürdürüyor

Let’s Encrypt’in 10 yıllık yolculuğu

  • 14 Eylül 2015’te ilk genel sertifikanın yayımlanmasından sonra, otomasyon yazılımı aracılığıyla çoğu istemcinin güvenebildiği sertifikalar sundu
    • Ardından milyarlarca sertifika yayımlayarak dünyanın en büyük sertifika otoritesine dönüştü
    • ACME protokolü sunucu ekosistemi genelinde entegre edildi ve sistem yöneticileri arasında standart haline geldi
  • 2023’te kâr amacı gütmeyen çatı kuruluş Internet Security Research Group (ISRG) de kuruluşunun 10. yılını kutladı
    • Let’s Encrypt ile birlikte kamu yararına altyapı projelerini işletmeyi sürdürdü

Büyüme ve ölçeklenme

  • Mart 2016’da 1 milyonuncu sertifika, Eylül 2018’de günde 1 milyon yayımlama, 2020’de ise toplam 1 milyar yayımlama eşiğine ulaşıldı
    • 2025 sonu itibarıyla günde 10 milyondan fazla sertifika yayımlanıyor
    • Aktif site sayısı yaklaşık 1 milyara yaklaşıyor
    Reklam
  • Yayımlama hacmindeki artış, mimarinin kararlılığını ve otomasyon vizyonunun başarısını kanıtlıyor
    • Sertifika yayımlama hacmi dolaylı bir gösterge; asıl önemli nokta HTTPS yaygınlığındaki artış
    • Firefox istatistiklerine göre HTTPS bağlantı oranı 5 yıl içinde %30’un altından → %80’in üzerine çıktı
    • ABD’de bu oran yaklaşık %95 seviyesinde korunuyor

Teknik evrim ve altyapı iyileştirmeleri

  • 2016’da uluslararası alan adı (IDN) desteği, 2018’de wildcard sertifikalar, 2025’te kısa ömürlü ve IP sertifikaları kullanıma sunuldu
  • 2021’de veritabanı sunucusu yükseltmesi ile büyük ölçekli veri işlemeye uyum sağlandı
    • İç ağ gigabit → 25 gigabit Ethernet yapısına geçirildi
  • 2025’te Certificate Transparency günlük yapısının iyileştirilmesi için deneyler yapıldı ve dağıtıma karar verildi
    • Sürekli büyümeye yanıt vermek için mimari yükseltmeler ilerletildi

Güven modeli ve standartlaşma çalışmaları

  • IdenTrust çapraz imzası sayesinde ilk genel sertifikalar yayımlanabildi
    • Sonrasında kendi kök CA sertifikasını oluşturup dağıttı
    Reklam
  • CA/B Forum, IETF, tarayıcı kök programları ve diğer paydaşlarla iş birliği yaparak web PKI’nin gelişimine katkı verdi
  • Sertifika zinciri yönetimi, anahtar seremonileri, dokümantasyon gibi PKI mühendisliği çalışmaları yürüttü

Otomasyon felsefesi ve toplumsal değer

  • Hedef, web PKI’nin tamamen otomatikleştirilmesi; site işletmecilerinin sertifikaları düşünmek zorunda kalmadığı bir ortam kurmak
    • Otomasyon ne kadar başarılı olursa, hizmetin ‘zaten var olması gereken’ bir şey gibi algılanma riski de o kadar artıyor
    • Bu nedenle farkındalığı sürdürmenin ve sponsorluk desteği sağlamanın önemi vurgulanıyor
  • Topluluk, her gün on milyonlarca sertifikayı kullanarak ve bağış desteği vererek projeyi destekliyor
  • Levchin Prize (2022), O’Reilly Open Source Award (2019), IEEE Cybersecurity Award (2025) gibi ödüller aldı
  • 2019’da yayımlanan ACM CCS konferans makalesi, projenin tarihini ve tasarımını akademik olarak kayıt altına aldı

Ortaklıklar ve gelecek vizyonu

  • İlk sponsorlar Mozilla, EFF, Cisco, Akamai, IdenTrust desteğiyle proje başladı
    • Özellikle IdenTrust, sağladığı çapraz imza ile genel sertifika hizmetinin hayata geçirilmesinde kritik rol oynadı
  • Önümüzdeki 10 yılda maddi, teknik ve bilgiye dayalı engelleri azaltarak daha güvenli ve gizlilik dostu bir internet kurmak hedefleniyor
  • Let’s Encrypt, kâr amacı gütmeyen ISRG bünyesindeki bir proje olarak bağış ve sponsorluklarla faaliyetini sürdürüyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-12-10
Hacker News görüşü

  • Let's Encrypt sayesinde artık TLS'siz bir web sitesi hayal etmek zor
    Eski şirketimdeki CEO, “ücretsiz sertifikalar müşterilere ucuz görünür” diyerek kullanılmasını reddetmişti; bu gerçekten tam bir saçmalıktı
    Dünyanın en büyük sertifika otoritesiydi ve müşterilerin sertifikayı hangi kurumun verdiğini umursadığı da hiç görülmemişti
    Acaba başkaları da Let's Encrypt kullanımı hakkında olumsuz geri bildirim aldı mı diye merak ediyorum

    • Bazı hosting sağlayıcıları, harici sertifika kullanımını engelleyip yalnızca kendi ücretli sertifikalarını satacak şekilde kısıtlama uyguluyor
      SSH veya container erişimini engelleyerek ücretsiz sertifika kurulumunu imkânsız hale getiriyor ve kendi sertifikalarına fahiş fiyat biçiyorlar
      Teknolojiden anlamayan siyaset kurumu bunu kavrasaydı, bu bir fiyat anlaşması skandalı olurdu
    • 2022'de bir CEO'nun bakış açısından, EV sertifikalarının ortadan kalkmasının üzerinden çok zaman geçmemişti; bu yüzden anlaşılır
      Chrome 77 ve Firefox 70'te (2019) EV görselleştirmesi kaldırıldı ve sonrasındaki değişime ayak uyduramayanlar oldu
      İlgili yazı: Extended Validation Certificates Are Really, Really Dead
    • Bir zamanlar Porsche web sitesindeki süresi dolmuş sertifikayı bildirmiştim; birkaç saat içinde Let's Encrypt'e geçmişlerdi
      O an gerçekten şaşırmıştım ve Let's Encrypt'in internetin SSD'si gibi olduğunu düşünüyorum — sanki bir üst seviyeye yükseltme gibi
    • Bir dönem EV sertifikalarına DV'den daha fazla güvenildiği zamanlar vardı
      Tarayıcılar EV sertifikalarına özel işaret gösteriyordu ama artık o dönem kapandı
      Yenileme süreci zahmetli olduğu için günlük kullanım açısından daha iyi oldu, ama sanki bir kayıp hissi de var
    • Yaklaşık 15 yıl önce EV sertifikalarının satış sürecinde bir anlamı vardı ama sonrasında kimse umursamaz oldu

  • Let's Encrypt öncesi TLS gerçekten berbattı
    Her host için para ödüyor, alan adını elle doğruluyor ve her yıl yenilemeyi takip etmek zorunda kalıyordunuz
    Şimdi bir kez ACME istemcisi kurmak yetiyor ve HTTPS oranı birkaç yıl içinde %30'dan %80~95'e çıktı
    Asıl yenilik, otomasyonun (ACME) ve kâr amacı gütmeyen yapının sayesinde mümkün oldu
    İleride sertifika ömrü 45 güne düşecek, bu yüzden manuel kurulum imkânsız hale gelecek
    Hâlâ IoT veya dahili dashboard gibi alanlarda otomasyon yetersiz

    • Eskiden sertifika geçerlilik süresi 3 yıldı ve 2 yıllık sertifikalar ancak 2018'de ortaya çıktı
      Let's Encrypt ise bundan çok önce kısa döngülü otomasyonun öncülüğünü yapıyordu
    • Eskiden 3 yıllık ücretsiz bir sertifika kurup unutabiliyordunuz ama artık süresi dolmuş siteler sık görülüyor ve bu can sıkıcı
      Bence ABD'deki BT sektörü iyi CA'leri piyasadan sildi
    • Şirket teknoloji yığınını değiştirirken geçici bir sertifika satın almamız gerekmişti ama onlarca wildcard alt alan adı yüzünden 1 yıllık sertifika 30 bin dolar tutuyordu
      Bu yüzden kendi CA'mızı kurup iç sunuculara yükledik ve sonunda tekrar Let's Encrypt'e döndük
      Artık böyle pahalı sertifikaların bir piyasasının hâlâ var olduğuna inanmak zor
    • IoT tarafında, Matter protokolüne ACME özelliği eklenip hub'ın kendi CA gibi davranması güzel olurdu diye düşünüyorum
      Gerçekte düşük maliyetli donanımda zor olabilir ama hayalini kuruyorum

  • 2007~2011 civarında sistem yöneticisiyken CSR'yi doğrudan openssl ile oluşturur, sertifikayı GoDaddy'den satın alır ve elle dağıtırdım
    Şimdi düşününce dünya tamamen değişmiş gibi geliyor
    Let's Encrypt, internet tarihindeki en muhteşem hizmetlerden biri

    • Keşke S/MIME için de böyle bir hizmet olsa
    • O dönem gerçekten sıkıcı ve zahmetli işlerin arka arkaya geldiği bir zamandı
    • Birkaç yıl öncesine kadar ben de her şeyi elle yapıyordum; bir arkadaşım Let's Encrypt'i gösterdiğinde adeta sihir gibi gelmişti

  • Snowden olayı da TLS'nin yaygınlaşmasında büyük bir etken oldu
    Ondan önce yalnızca para dönen sitelerin TLS'ye ihtiyacı olduğu düşünülüyordu ve trafiği kolayca sniff etmek mümkündü
    IRS'ten bir soruşturmacı, 2008 civarında verdiği bir sunumda yasa dışı kumarhaneleri yakalarken şifrelemenin hiç engel olmadığını söylemişti

    • Ama bu bir geriye dönük çarpıtma (retcon)
      Facebook 2011'de TLS'yi devreye aldı ve Google Mail 2010'da varsayılan olarak TLS kullanıyordu
      2010 civarında TLS kullanmayan siteler zaten güvenlik açığı olarak sınıflandırılacak durumdaydı
    • Aslında 2000'lerin sonlarından itibaren reklam enjekte eden HTTP yüzünden HTTPS zaten zorunlu hale gelmişti
      NSA'den çok reklam gelirini koruma motivasyonu daha güçlüydü

  • Web trafiğinin şifrelenmesinin varsayılan hale gelmesi güzel ama artık CA onayı olmadan temel işlevleri kullanamamak üzücü

    • “CA onayı” ifadesiyle ne kastedildiğini sormak isterim
      Let's Encrypt yalnızca alan adı sahipliğini doğrular; sitenin içeriğine karışmaz
      İlgili yazı: Phishing and Malware
    • Bu yeni bir sorun değil; Let's Encrypt'in çözemediği eski bir yapısal sorun
      Tüm yığında bunun gibi çok sayıda tek hata noktası var
    • DNS de fiilen zorunlu bir bileşen olduğundan benzer bir durum söz konusu
      Büyük sertifika otoriteleri ya da TLD'ler de sitenin niteliğini sormuyor

  • Let's Encrypt ilk duyurulduğunda, “İyi fikir ama tarayıcılar bunu kabul eder mi?” diye düşünmüştüm
    Şimdi bunu tüm self-hosting sitelerimde kullanıyorum ve şirket de otomatik yenilemeye geçecek
    Eski SSL/TLS acılarını düşününce, her yeni site kurduğumda LE sertifikası almak hâlâ yüzümde bir gülümseme oluşturuyor

  • Let's Encrypt'in bağımsızlığını korumasını ve Google gibi büyük şirketler tarafından satın alınmamasını umuyorum
    SSL dağıtımının sansür aracı olarak kötüye kullanıldığı bir dünya korkunç olurdu
    Günümüz tarayıcıları HTTP sitelerini neredeyse kötü amaçlıymış gibi gösteriyor

    • Google sansür uygulamak istese, SSL'den çok Safe Browsing kara listesi gibi daha güçlü araçları var
    • Let's Encrypt bir kâr amacı gütmeyen kuruluş, dolayısıyla sıradan bir şirket gibi satın alınamaz
      ABD vergi yasalarına göre kâr amacı gütmeyen varlıklar bu alan içinde kalmak zorunda; bu yüzden büyük bir şirketin bunu bozma riski yok

  • Her yıl yaptığım bağış listesine Let's Encrypt'i de ekliyorum
    Tüm tarayıcıların HTTPS istediği bir çağda, bu hizmet olmasa bağımsız geliştiricilerin ayakta kalması çok zor olurdu
    Gerçekten minnet duyulan bir proje

  • Geçen 10 yıl harikaydı
    Bundan sonra yayın altyapısının dağıtık hale gelmesi ve dayanıklılığın artırılması gerekiyor
    Ada bölgelerinde internet sık sık kesiliyor; sertifika ömrü kısaldıkça bu sorun yaratabilir
    ccTLD kayıt operatörleriyle iş birliği yapılarak bölgesel yayın sistemi kurulmasını umuyorum

  • 7 yıldır Let's Encrypt kullanıyorum
    Blogumu ve kişisel projelerimi HTTPS ile yayınlayabilmem sayesinde hayat çok daha iyi hale geldi
    Nextcloud gibi şeyler için her yıl 50 dolar öder miydim sanmıyorum ama güvenlikteki iyileşme muazzam
    Dünyayı biraz daha iyi bir yer haline getiren herkese teşekkürler