Giriş: Neden site doğrulama önemli?

Site doğrulama, bir web sitesinin gerçekten iddia ettiği kurum veya alan adına ait olup olmadığını teknik ve belgesel yöntemlerle kontrol etme sürecidir. Özellikle çevrimiçi bahis, casino ve ödeme işlemlerinin olduğu ortamlarda temel doğrulama adımlarını bilmek; yanlış yönlendirmeleri azaltmak, iletişim kanallarının gerçekliğini teyit etmek ve işlem öncesi güveni artırmak için faydalıdır.

Hızlı kontrol listesi (ilk 1–2 dakika)

• Tarayıcı adres çubuğundaki kilit simgesine bakın: sertifika bilgilerini görüntüleyin.
• Alan adının yazımı ve alt alan adlarını (subdomain) kontrol edin.
• WHOIS alan adı sorgusu ile kayıt tarihi ve yetkili bilgilerini gözden geçirin.
• Site üzerindeki iletişim bilgileri ve resmi duyuruları karşılaştırın.
• Ödeme ve destek kanallarının şirketin resmi alanıyla uyumlu olup olmadığına bakın.

Alan adı ve WHOIS alan adı sorgusu

WHOIS sorgusu, bir alan adının kime kayıtlı olduğunu, kayıt kuruluşunu, oluşturulma ve sonlanma tarihlerinin ne olduğunu gösterir. Bu bilgiler doğrudan bir garanti sunmaz ama çelişkili veya yeni açılmış kayıtlar gibi işaretler inceleme gerektirebilir.

• Hangi alanları kontrol edin: Registrar (kayıt kuruluşu), creation/creation date (oluşturulma tarihi), expiration (sonlanma), name server bilgileri, kayıt sahibi veya gizlilik/protection bilgisi.
• Örnek komut: Bilgisayarda whois aracı yüklüyse: whois ornek-site.com — bu komut WHOIS çıktısını getirir.
• Gizlilik koruması: Birçok kayıt sahibi, kişisel bilgilerini gizlemek için koruma hizmeti kullanır. Bu durum tek başına olumsuz bir işaret değildir; doğrulama için diğer adımlarla birleştirilmelidir.
• Uyumluluk kontrolü: Kayıt sahibi adı ve iletişim bilgileri, site içindeki "Hakkımızda" veya şirket bilgileriyle tutarlı mı diye bakın.

SSL sertifika kontrolü (SSL sertifika kontrolü)

SSL/TLS sertifikası, tarayıcı ile sunucu arasındaki trafiği şifreler. Sertifika bilgileri size sitenin hangi alan adı için alındığını, sertifikayı veren yetkili kuruluşu ve geçerlilik tarihlerini gösterir. Ancak, şifreleme varlığı web sitesinin tüm yönleriyle güvenli olduğu anlamına gelmez; yine de kritik bir ilk kontroldür.

• Tarayıcıdan kontrol: Adres çubuğundaki kilit işaretine tıklayın → Sertifika bilgilerini görüntüle. Burada "Subject" (sahip), "Issuer" (veren kuruluş) ve geçerlilik tarihleri görünür.
• CN ve SAN alanları: Sertifikada Common Name (CN) veya Subject Alternative Names (SAN) listesinde ziyaret ettiğiniz alan adının yer aldığından emin olun.
• Geçerlilik: Sertifikanın bitiş tarihine bakın; süresi dolmuş sertifikalar uyarı verir.
• Yayıncı (CA): Sertifikayı veren kuruluş güvenilir bir sertifika otoritesi mi diye kontrol edin. Tarayıcı genellikle bilinen kök sertifika otoritelerini tanır.
• Komut satırı örneği (ileriyse): openssl s_client -connect ornek-site.com:443 -servername ornek-site.com -showcerts — elde edilen sertifikayı openssl x509 ile inceleyebilirsiniz.
• Revocation (iptal) kontrolleri: Sertifikanın iptal edilip edilmediğini OCSP veya CRL yollarıyla kontrol edebilirsiniz; tarayıcı bazı durumlarda bu kontrolleri otomatik yapar.

Resmi duyuru doğrulama (resmi duyuru doğrulama)

Bir site veya hizmet hakkında yapılan duyuruların gerçekten kurum tarafından yayımlandığını doğrulamak için belgesel kanıtları ve kanal tutarlılığını kontrol edin.

• Kaynak kanalı: Duyuru doğrudan şirketin kendi alan adındaki "Duyurular" veya "Haberler" bölümünde mi yer alıyor?
• Zaman ve içerik uyumu: Aynı duyuru, şirketin doğrulanmış sosyal medya hesaplarında veya kurumsal basın bültenlerinde de bulunuyor mu?
• İletişim bilgileri: Duyuruda verilen e-posta ve telefon numaraları kurumun resmi iletişim bilgilerinden mi? Kurumsal e-posta adresleri genellikle şirket alan adını içerir.
• Üçüncü taraf doğrulama: Güvenilir haber ajansları veya sektör kaynaklarının aynı bilgiyi paylaşıp paylaşmadığına bakın. Tek kaynaktan gelen duyurular daha fazla dikkat gerektirir.

DNS, IP ve ek teknik kontroller

DNS kayıtları ve IP bilgileri, bir sitenin altyapısı hakkında ek ipuçları sağlar. Bu kontroller daha teknik olup kısa komutlar veya çevrimiçi hizmetlerle yapılabilir.

• A kaydı ve ters DNS: dig ornek-site.com A veya nslookup ile IP adresini görün; ters DNS (PTR) kaydı IP adresinin beklenen sunucu adına dönüp dönmediğini gösterir.
• MX/TXT kayıtları: E-posta altyapısı hakkında bilgi verir; kurumsal e-posta sunucusu beklenen sağlayıcıya yönlendiriliyor mu diye bakın (örneğin şirketin kendi alan adı üzerinden MX varsa bu olumlu bir işarettir).
• CDN ve barındırma: Site büyük bir içerik dağıtım ağı (CDN) kullanıyorsa, içerik sağlayıcılar farklı coğrafi IP adresleri gösterebilir; bu tek başına bir sorun değildir ama beklenen konumla uyuşmazsa not alın.

İleri adımlar: Sertifika geçmişi ve kayıt logları

Sertifika Şeffaflığı kayıtları (Certificate Transparency) ve geçmiş sertifika aramaları, aynı alan adı için daha önce çıkarılmış sertifikaları görmenizi sağlar. Eğer alan adı için çok sayıda farklı sertifika bulunuyorsa, bu kayıtlardan elde edilen bilgiler ilave soru işaretleri veya doğrulama kanıtı sağlayabilir.

Pratik örnek: Adım adım doğrulama akışı

1. Tarayıcıda siteyi açın, adresi doğrulayın ve kilit simgesine tıklayarak sertifika özetine bakın.
2. WHOIS alan adı sorgusu yapın: kayıt kuruluşu, oluşturulma tarihi ve kayıt sahibi bilgilerini not edin.
3. DNS A/MX/TXT kayıtlarını kontrol edin; e-posta alanları ve name server'ların tutarlılığını inceleyin.
4. Sertifika detaylarını komut satırıyla doğrulamak isterseniz openssl kullanın ve sertifika parmak izini (SHA256 fingerprint) karşılaştırın.
5. Site üzerindeki "Duyurular" veya kurumsal haber sayfasını bulun; sosyal medya doğrulanmış hesaplarıyla zaman uyumunu kontrol edin.
6. Gerekirse kurumun resmi iletişim kanallarından (kurumsal e-posta veya bilinen telefon numarası) doğrulama isteyin ve yaptığınız kontrollerin ekran görüntülerini saklayın.

Yazdırılabilir kısa kontrol listesi

• Adres çubuğu ve kilit simgesi kontrolü
• Alan adı yazım doğruluğu
• WHOIS: oluşturulma / sonlanma / registrar
• SSL: CN/SAN, issuer, geçerlilik
• DNS: A, MX, TXT, NS
• Resmi duyurular: kurum sitesi ve doğrulanmış sosyal medya
• İletişim kanallarının kurumla uyumu

Sınırlamalar ve son söz

Bu rehber teknik ve gözlemsel doğrulama adımlarını açıklar ancak tek başına mutlak güvence vermez. Hukuki ve düzenleyici konular bölgesel farklılıklar gösterir; yüksek-riskli işlemler veya büyük miktarlı para transferleri öncesinde profesyonel rehberlik almanız uygun olabilir. Yaptığınız kontrollerin sonuçlarına göre resmi kurumlarla veya yetkili servislerle iletişime geçmeniz gerekebilir.

Sıkça sorulan sorular

S1: SSL sertifikası varsa site kesinlikle güvenlidir mi?

Hayır. SSL sertifikası bağlantının şifrelendiğini gösterir ancak site içeriğinin veya iddiaların doğruluğunu tek başına kanıtlamaz. Sertifika kontrolü, doğrulama sürecinin önemli bir parçasıdır ama diğer adımlarla desteklenmelidir.

S2: WHOIS gizliliği varsa ne yapmalıyım?

Birçok şirket kişisel veya kurumsal bilgilerini gizlilik hizmetleri aracılığıyla korur. Gizlilik koruması tek başına olumsuz bir işaret oluşturmaz; bunun yerine duyurular, kurumsal iletişim kanalları ve ödeme yöntemleri gibi ek göstergelerle doğrulama yapın.

S3: Resmi duyurunun doğruluğunu nasıl kesinleştiririm?

Duyurunun hem kurumun kendi alan adında hem de doğrulanmış sosyal medya hesaplarında veya güvenilir üçüncü taraf haber kaynaklarında yer alıp almadığını kontrol edin. Gerekirse kurumun resmi iletişim numarası veya kurumsal e‑posta adresi üzerinden teyit isteyin.

Bu rehber, site doğrulama sürecine pratik bir yaklaşım sağlar. Adımları düzenli ve belgelenmiş olarak uygularsanız, karar verme süreciniz daha sağlam kanıtlara dayanır.