Cloud Kod İmzalama Sertifikası Satın Almadan Önce Bilmeniz Gerekenler

Cloud Kod İmzalama Sertifikası satın almak önemli bir yatırımdır ve doğru kararı vermek için bazı kritik bilgilere sahip olmanız gerekir. Bu rehberde, satın alma öncesi bilmeniz gereken 10 önemli noktayı, sık yapılan hataları ve doğru sertifika seçmenin ipuçlarını paylaşıyoruz.

1. Sertifika Türünü Doğru Seçin (OV vs EV)

İlk ve en önemli karar, OV (Organization Validation) mu yoksa EV (Extended Validation) mı alacağınızdır.

Tavsiyemiz: Yazılımınızı son kullanıcılara dağıtıyorsanız ve SmartScreen uyarısı almak istemiyorsanız, EV sertifika alın. İç kullanım veya sınırlı dağıtım için OV yeterli olabilir.

2. Gerekli Belgeleri Önceden Hazırlayın

EV sertifika başvurusu için gerekli belgeler:

• Ticaret Sicil Gazetesi veya e-Devlet şirket kaydı
• Vergi Levhası
• Şirket telefon numarası (doğrulama araması yapılacak)
• Yetkili kişi bilgileri (ad, soyad, e-posta, telefon)
• DUNS numarası (bazı CA için gerekli, Dun & Bradstreet üzerinden ücretsiz alınabilir)

Belgeleri önceden hazırlamak doğrulama sürecini önemli ölçüde kısaltır.

3. Sertifika Süresine Karar Verin

Çoğu sağlayıcı 1, 2 ve 3 yıllık seçenekler sunar. Çok yıllık alımlar yıllık maliyeti düşürür:

• 1 yıl: Başlangıç için ideal, düşük ön ödeme
• 2 yıl: Dengeli seçenek, %10-15 tasarruf
• 3 yıl: Maksimum tasarruf (%25-35), uzun vadeli kullanım

4. Platform Uyumluluğunu Kontrol Edin

İmzalama yapacağınız platformları belirleyin:

• Windows: Tüm sertifikalar destekler (Authenticode)
• macOS: Apple Developer ile Notarization gerektirebilir
• Java JAR: Jarsigner uyumluluğunu kontrol edin
• Linux/Docker: Cosign veya GPG uyumluluğunu kontrol edin

5. CI/CD Entegrasyon İhtiyacını Değerlendirin

Otomatik build sistemi kullanıyorsanız, sertifikanızın CI/CD entegrasyon yeteneklerini kontrol edin:

• REST API desteği var mı?
• CLI aracı sunuluyor mu?
• GitHub Actions, Jenkins, Azure DevOps desteği var mı?
• PKCS11 desteği var mı? (SignTool entegrasyonu için)

6. Timestamp Hizmetini Unutmayın

Timestamp (zaman damgası), imzalama sırasında kritik bir adımdır. Timestamp olmadan, sertifikanız süresi dolduğunda imzalarınız da geçersiz hale gelir. Timestamp ile imzalama zamanı kaydedilir ve sertifika süresi dolsa bile imzalar geçerli kalır.

Tüm büyük sertifika otoriteleri ücretsiz timestamp hizmeti sunar. İmzalama komutunuzda mutlaka timestamp parametresini ekleyin.

7. Yenileme Sürecini Planlayın

Sertifikanızın süresi dolmadan önce yenileme yapmalısınız. Dikkat edilmesi gerekenler:

• Sertifika bitiş tarihinden en az 30 gün önce yenileme sürecini başlatın
• EV doğrulama süresi yenileme için de geçerlidir (genellikle daha kısa)
• Bazı sağlayıcılarda erken yenileme kalan süreyi yeni sertifikaya aktarır

8. Destek Kalitesini Araştırın

Sertifika kurulumu veya imzalama sorunlarında teknik desteğe ihtiyaç duyabilirsiniz. Sağlayıcının destek kanallarını değerlendirin:

• Türkçe destek sunuyor mu?
• Canlı chat var mı?
• Teknik dokümantasyon kalitesi nasıl?
• Yanıt süreleri ne kadar?

KodImzalama.com üzerinden sertifika satın aldığınızda Türkçe teknik destek ve kurulum yardımı sağlanır.

9. Sık Yapılan Hatalar

• Yanlış sertifika türü: İhtiyaç duymadan enterprise paket almak veya ihtiyaç varken basic paket almak.
• Belgeleri hazırlamamak: EV doğrulama için gerekli belgeleri önceden hazırlamamak süreci uzatır.
• Timestamp atlamak: Timestamp olmadan imzalama yapmak, sertifika süresi dolduğunda tüm imzaları geçersiz kılar.
• Test yapmamak: Üretim ortamına geçmeden test imzalama yapmamanız sorunlara yol açabilir.
• Yedek plan yapmamak: Cloud hizmet kesintilerinde alternatif planınız olmalıdır.

10. Doğru Satın Alma Kanalını Seçin

Sertifikayı doğrudan CA sitesinden veya yetkili bayiden alabilirsiniz. Yetkili bayi avantajları:

• İndirimli fiyatlar (toplu alım avantajı)
• Türkçe destek ve yönlendirme
• Faturalandırma kolaylığı (TL cinsinden)
• Doğrulama sürecinde rehberlik

Sıkça Sorulan Sorular (FAQ)

Cloud kod imzalama sertifikası için şirket kurmak zorunlu mu?

EV sertifika için evet, şirket (tüzel kişilik) gereklidir. OV veya IV (Individual Validation) türü sertifikalar bireysel geliştiricilere de verilebilir. Türkiye ile bireysel geliştiriciler şahıs şirketi açarak EV sertifikaya başvurabilir.

Sertifika iptal edilebilir mi?

Evet, sertifikanızı revoke (iptal) edebilirsiniz. Ancak iptal durumunda genellikle iade yoktur. İptal edilen sertifika ile yapılmış mevcut imzalar, timestamp varsa geçerli kalır.

Farklı projeler için ayrı sertifika mı almam gerekir?

Hayır, tek bir kod imzalama sertifikasıyla sınırsız sayıda dosya ve proje imzalayabilirsiniz. Sertifika, dosya sayısı veya proje ile sınırlı değildir.

Cloud sertifika ile hangi dosya türlerini imzalayabilirim?

EXE, DLL, MSI, MSIX, CAB, SYS, OCX, PS1, JAR, APK ve daha birçok dosya türünü imzalayabilirsiniz. Sertifika, platform ve dosya formatından bağımsızdır; önemli olan imzalama aracının (SignTool, Jarsigner vb.) doğru kullanılmasıdır.