28 Mart 2026 kapsamında FortiGate SSL Inspection, HTTPS ve diğer SSL/TLS ile korunan trafiği görmeden güvenlik uygulamaya çalışmanın yarattığı kör noktayı kapatmak için kullanılan kritik bir kontrol katmanıdır. Kısa cevap şudur: FortiGate SSL Inspection doğru planlandığında certificate inspection ile görünürlük, deep inspection ile ise gerçek içerik denetimi sağlar; ancak kurum içi CA dağıtımı, doğru bypass listesi, kullanıcı mahremiyeti ve performans kapasitesi birlikte ele alınmazsa üretimde ciddi operasyonel sorunlar çıkarır. Bu rehber, SSL inspection'ı ilk kez devreye alacak veya mevcut kurulumunu olgunlaştırmak isteyen ekipler için hazırlandı.
Bu rehber özellikle şu ekipler içindir:
- ağ ve güvenlik ekipleri
- FortiGate yöneticileri
- SOC ve operasyon ekipleri
- SSL inspection politikasını güvenli biçimde standartlaştırmak isteyen BT yöneticileri
Hızlı Özet
- FortiGate'te SSL inspection için iki ana yaklaşım vardır: certificate inspection ve deep inspection.
- Certificate inspection yalnız SSL/TLS katmanına kadar başlıkları inceler; içerik çözülmez.
- Deep inspection, FortiGate'in trafiği çözüp incelemesi ve yeniden şifrelemesi anlamına gelir.
- Deep inspection için istemci cihazların güveneceği bir CA tasarımı şarttır.
- Fortinet dokümantasyonu, kurum içi CA kullanımını ve finans/sağlık/kişisel gizlilik gibi kategoriler için istisna tasarımını açıkça önerir.
- Non-standard HTTPS port'lar ve flow/proxy inspection modu gözden kaçarsa politika etkisi eksik kalabilir.
- En doğru yaklaşım, herkes için tam inspection açmak değil; risk temelli kapsama, bypass ve loglama modelini birlikte tasarlamaktır.
İçindekiler
- FortiGate SSL Inspection Tam Olarak Ne Yapar?
- Certificate Inspection ile Deep Inspection Arasındaki Fark Nedir?
- Deep Inspection İçin Hangi Önkoşullar Gerekir?
- Hangi Trafik Mutlaka İstisna Olarak Ele Alınmalı?
- En Sık Yapılan Tasarım Hataları Nelerdir?
- İlk Uygulama Kontrol Listesi
- Sık Sorulan Sorular
Görsel: Wikimedia Commons - Rack001.
FortiGate SSL Inspection Tam Olarak Ne Yapar?
Modern tehditlerin büyük bölümü şifreli trafik içinde taşındığı için yalnız port ve IP bazlı güvenlik artık yeterli değildir. Fortinet dokümanları da bu yüzden SSL/TLS inspection'ı, şifreli trafiği güvenlik kontrollerinin dışına kaçmaktan çıkaran temel mekanizma olarak konumlandırıyor.
Pratikte SSL inspection şu alanlarda kritik hale gelir:
- HTTPS içindeki zararlı dosya ve exploit denetimi
- application control görünürlüğü
- URL filtering doğruluğu
- veri sızıntısı veya policy ihlali görünürlüğü
- outbound kullanıcı trafiğinin güvenli şekilde sınıflandırılması
Buradaki temel karar, trafiğe ne kadar derinlikte bakılacağıdır.
Certificate Inspection ile Deep Inspection Arasındaki Fark Nedir?
Fortinet'in resmi administration guide'ı bu ayrımı çok net yapıyor.
Certificate inspection
Certificate inspection kullanıldığında FortiGate yalnız SSL/TLS katmanına kadar başlıkları inceler. Yani:
- sertifika bilgileri
- SNI ve bağlantı bağlamı
- URL/category bazlı bazı kontrol senaryoları
gibi görünürlük kazanılır; ama içerik çözülmediği için gerçek payload denetimi yapılmaz.
Bu model şu durumlarda anlamlıdır:
- mahremiyet nedeniyle tam çözme yapmak istemiyorsanız
- temel web erişim kontrolü yeterliyse
- kullanıcı cihazlarına CA dağıtımı henüz hazır değilse
Fortinet ayrıca built-in certificate inspection profilinin varsayılan olarak yalnız 443 portunu dinlediğini, farklı portlar için profil klonlayıp 8443 gibi ek portların açıkça tanımlanması veya Inspect All Ports yaklaşımının düşünülmesi gerektiğini belirtir.
Deep inspection
Deep inspection ise FortiGate'in hedef sunucuyu taklit ederek SSL oturumunu sonlandırması, trafiği çözmesi, incelemesi ve yeniden şifrelemesi anlamına gelir. Bu sayede:
- HTTPS içindeki tehditler
- application signatures
- daha doğru URL ve kategori denetimi
- veri akışı içindeki güvenlik kontrolleri
daha etkili çalışır.
Ama bu modelin bedeli de vardır:
- istemci tarafında güvenilen CA ihtiyacı
- daha yüksek işlem yükü
- daha dikkatli istisna politikası
- kullanıcı deneyimi ve mahremiyet etkisi
Deep Inspection İçin Hangi Önkoşullar Gerekir?
1. Güvenilir CA tasarımı
Fortinet'in best practices ve administration guide içerikleri, kesintisiz deep inspection için istemci cihazların FortiGate tarafından kullanılan sertifika zincirine güvenmesi gerektiğini açıkça söyler. Aksi halde kullanıcılar sürekli sertifika uyarısı alır.
En sağlıklı yaklaşım:
- kurum içinde güvenilen bir CA kullanmak
- bu CA'yı MDM, GPO veya benzeri merkezi yöntemlerle dağıtmak
- lab ve üretim için ayrı rollout planı yapmak
Fortinet ayrıca Fortinet_CA_Untrusted sertifikasının istemciye güvenilir root olarak yüklenmemesi gerektiğini de belirtir.
2. Proxy tabanlı mı, flow tabanlı mı çalışacağınızı bilmek
Fortinet dokümantasyonunda önemli bir not var: flow-based inspection modunda certificate inspection, untrusted certificate validation ve server certificate SNI kontrollerini tam yapmaz. Bu yeteneklere ihtiyaç varsa proxy-based yaklaşım düşünülmelidir.
Bu ayrım, özellikle şu ortamlarda kritik hale gelir:
- sıkı sertifika doğrulama isteyen kurumlar
- daha hassas web access policy'leri
- denetim izi ve güven seviyesi yüksek ortamlar
3. Performans kapasitesini önceden planlamak
Deep inspection, TLS oturumunu açıp yeniden kapattığı için CPU ve session davranışı üzerinde doğrudan etki yaratır. Bu yüzden rollout öncesi şu alanlar gözden geçirilmelidir:
- kullanıcı sayısı
- eş zamanlı HTTPS trafiği
- aktif güvenlik profilleri kombinasyonu
- cihaz modeli ve SSL offload kapasitesi
SSL inspection “policy’de açtım, bitti” yaklaşımıyla değil, kapasite planı ile ele alınmalıdır.
İlgili içerikler:
- Siber Güvenlik Danışmanlığı: KOBİ’ler İçin 2026 Kontrol Listesi
- VMware VLAN Konfigürasyonu Nasıl Yapılır?
- VMware Network Yapısı Nasıl Çalışır?
Hangi Trafik Mutlaka İstisna Olarak Ele Alınmalı?
Fortinet dokümanları, tam deep inspection uygulanırken mahremiyet ve hukuki hassasiyet taşıyan kategoriler için istisna tanımlanmasını açıkça ele alır. Özellikle finance and banking, health and wellness ve personal privacy kategorileri birçok örnekte varsayılan olarak inspection dışı tutulur.
Bu şu anlama gelir:
- her HTTPS trafiği aynı derinlikte çözümlenmemelidir
- kullanıcı mahremiyeti ile tehdit görünürlüğü dengelenmelidir
- HR, sağlık, bankacılık veya kişisel kullanım politikaları ayrı düşünülmelidir
En doğru model, güvenlik ekibi ile hukuk/uyum ekibinin birlikte onayladığı yazılı bypass listesidir.
En Sık Yapılan Tasarım Hataları Nelerdir?
Her şeyi deep inspection'a zorlamak
Bu yaklaşım kısa vadede görünürlük sağlar; ama sertifika uyarıları, uygulama bozulmaları ve kullanıcı şikayetleri yaratır.
Kurum içi CA yerine dağınık sertifika yönetimi kullanmak
Elle dağıtılan ve izlenmeyen sertifika modeli, kısa sürede yönetilemez hale gelir.
Proxy ve flow inspection farkını atlamak
Bu hata, beklenen güvenlik davranışı ile gerçek davranış arasında sessiz boşluk oluşturur.
Non-standard port'ları unutmak
Sadece 443 portunu düşünmek, 8443 veya başka HTTPS portları kullanan uygulamalarda görünürlük kaybı yaratır.
İstisna politikasını yazılı hale getirmemek
Bankacılık, sağlık ve kişisel gizlilik akışlarında kimlerin neden exempt edildiği kayıt altına alınmazsa yönetişim zayıf kalır.
İlk Uygulama Kontrol Listesi
- SSL inspection ihtiyacı certificate inspection mı deep inspection mı karar seviyesinde netleştirildi.
- Kullanılacak CA modeli belirlendi ve istemci dağıtım planı hazırlandı.
- Proxy-based mi flow-based mi kullanılacağı doğrulandı.
- Non-standard HTTPS port ihtiyacı kontrol edildi.
- Bypass listesi hukuk ve güvenlik ekipleriyle birlikte onaylandı.
- Pilot kullanıcı grubunda sertifika ve uygulama uyumluluk testi yapıldı.
- CPU/session etkisi ve log görünürlüğü ölçüldü.
- Üretim rollout planı kademeli olarak hazırlandı.
LeonX ile Sonraki Adım
FortiGate SSL Inspection, ağ güvenlik politikasını yalnız cihaz konfigürasyonu olarak değil; yönetişim, sertifika yaşam döngüsü ve kullanıcı deneyimiyle birlikte ele almayı gerektirir. LeonX, FortiGate inspection tasarımınızı kademeli rollout, doğru bypass mantığı ve izlenebilir politika yapısıyla üretime taşımanıza yardımcı olur.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Ağ Güvenlik Politika Yönetimi
- Donanım & Yazılım Hizmetleri
- Router, Switch ve Firewall Kurulum Hizmeti
- İletişim
Sık Sorulan Sorular
FortiGate SSL Inspection ile certificate inspection aynı şey midir?
Hayır. Certificate inspection yalnız SSL/TLS başlık seviyesinde inceleme yapar. Deep inspection ise trafiği çözüp içerik seviyesinde denetler.
Deep inspection için istemcilere sertifika yüklemek gerekir mi?
Evet, sorunsuz kullanıcı deneyimi için FortiGate'in kullandığı güvenilir CA zinciri istemci cihazlarda tanımlanmalıdır.
Her kullanıcı trafiği deep inspection'a girmeli mi?
Hayır. Mahremiyet, hukuki gereklilik ve uygulama uyumluluğu nedeniyle bazı kategori ve servisler istisna olarak ele alınmalıdır.
Flow-based mod ile proxy-based mod fark yaratır mı?
Evet. Fortinet dokümantasyonuna göre bazı sertifika doğrulama ve SNI kontrolleri için proxy-based yaklaşım gerekebilir.
İlk rollout nasıl yapılmalı?
Önce pilot grup, sonra kontrollü sertifika dağıtımı, ardından CPU/session etkisi ve uygulama davranışı gözlenerek kademeli geçiş yapılmalıdır.
Sonuç
FortiGate SSL Inspection, HTTPS trafiğini görünür kılmanın en güçlü yollarından biridir; ancak yalnız deep inspection açmakla başarıya ulaşılmaz. 28 Mart 2026 kapsamında en doğru model, certificate inspection ve deep inspection farkını netleştirmek, CA dağıtımını kurumsal ölçekte çözmek, istisna politikasını yazılı hale getirmek ve rollout'u performans ile kullanıcı etkisini ölçerek yönetmektir.
Kaynaklar
- Fortinet Document Library - SSL/TLS deep inspection (FortiGate / FortiOS 7.4.0 Best Practices)
- Fortinet Document Library - Deep inspection (FortiGate / FortiOS 7.0.2 Administration Guide)
- Fortinet Document Library - Certificate inspection (FortiGate / FortiOS 7.0.13 Administration Guide)
- Fortinet Document Library - Deep packet inspection (FortiGate / FortiOS 7.4.4 NGFW ATP Deployment Guide)
- Fortinet Document Library - Preventing certificate warnings (FortiGate / FortiOS Cookbook)
- Wikimedia Commons - Rack001
