Blog

Tarayıcıda karşılıklı TLS: istemci sertifikaları CORS ile etkileşir ama yerine geçmez

TLS katmanı kanal kimliğini kanıtlar; hangi JavaScript origin’lerinin yanıtı okuyabileceğini yine CORS belirler.

Yayın: 2026-02-20Güncelleme: 2026-02-221 dk okuma

mtlstlssecuritycors

API tasarımı

mTLS el sıkışmasından sonra kısa ömürlü erişim jetonları tercih edin; tekrarlayan sertifika seçici UX’inden kaçının.

Access-Control-Expose-Headers’a ham DN dizgilerini redaksiyonsuz yansıtmayın.

Süresi dolmuş istemci sertifikaları HTTP’den önce başarısız olur; kullanıcılar CORS’u suçlayabilir—durum sayfasında net TLS hatası verin.

Kurumsal vekil sunucular bazen istemci sertifikası el sıkışmasını keser—split-tunnel gereksinimlerini belgeleyin.