SSL Sertifikası Nedir, Ne İşe Yarar?
SSL sertifikaları, şifreli bir bağlantı oluşturarak güven oluşturur. İnternet üzerinden ticaret yapmanın en önemli unsurlarından biri, potansiyel müşterilerin satın alma yaparken güven duyduğu bir ortam yaratmaktır. SSL sertifikaları, güvenli bir bağlantı kurarak bu güvenin temellerini atar. Ziyaretçilere bağlantılarının güvenli olduğunu temin etmek için, tarayıcılar özel görsel ipuçları sunar; bu ipuçları yeşil bir kilit simgesi veya markalı bir URL çubuğu gibi unsurları içerir.
SSL Sertifikası ve Anahtar Çifti
SSL sertifikaları, bir genel anahtar ve bir de özel anahtar içeren bir anahtar çifti kullanır. Bu anahtarlar, şifreli bir bağlantı kurmak için birlikte çalışır. Sertifika ayrıca, sertifika veya web sitesi sahibinin kimliğini belirten “konu” bilgilerini de içerir.
Sertifika Alma Süreci
Bir SSL sertifikası almak için, sunucunuzda bir Sertifika İmzalama Talebi (CSR) oluşturmalısınız. Bu işlem, sunucunuzda bir özel anahtar ve genel anahtar oluşturur. CSR veri dosyası, SSL sertifika sağlayıcısına (Sertifika Otoritesi veya CA) gönderilir ve bu dosya genel anahtarı içerir. CA, CSR veri dosyasını kullanarak, özel anahtarınızı tehlikeye atmadan ona uygun bir veri yapısı oluşturur. CA, özel anahtarınızı asla görmez.
SSL sertifikasını aldıktan sonra, bunu sunucunuza kurmalısınız. Ayrıca, SSL sertifikanızın güvenilirliğini sağlamak için, CA’nın kök sertifikasına bağlanarak ara bir sertifika da kurmalısınız. Sertifikanızı kurma ve test etme talimatları sunucunuza göre farklılık gösterebilir.
Sertifika Zinciri
Aşağıdaki görselde, sertifika zinciri olarak adlandırılan yapı gösterilmektedir. Bu yapı, sunucu sertifikanızı CA’nın kök sertifikasıyla (bu örnekte DigiCert) bir ara sertifika aracılığıyla bağlar.
Güvenilir Bir CA Tarafından İmzalanma
Bir SSL sertifikasının en önemli kısmı, güvenilir bir CA tarafından dijital olarak imzalanmış olmasıdır. Herkes bir sertifika oluşturabilir, ancak tarayıcılar yalnızca güvenilir CA’lar listesindeki kuruluşlardan gelen sertifikalara güvenir. Tarayıcılar, önceden yüklenmiş bir güvenilir CA listesine sahiptir. Bir şirket, Trusted Root CA deposuna eklenmek ve dolayısıyla Sertifika Otoritesi olabilmek için tarayıcılar tarafından belirlenen güvenlik ve kimlik doğrulama standartlarına uymalı ve denetlenmelidir.
Bir CA tarafından bir kuruluşa ve onun alan adı/web sitesine verilen bir SSL sertifikası, güvenilir bir üçüncü tarafın o kuruluşun kimliğini doğruladığını gösterir. Tarayıcı CA’ya güvendiği için, o kuruluşun kimliğine de güvenmektedir. Tarayıcı, kullanıcının siteyi güvenli bir şekilde gezebildiğini ve gizli bilgilerini girmesinin güvenli olduğunu bildirir.
SSL Nedir?
Güvenli Soketler Katmanı (SSL), bir sunucu ile bir istemci (genellikle bir web sunucusu ve bir tarayıcı veya bir mail sunucusu ve bir mail istemcisi, örneğin Outlook) arasında şifrelenmiş bir bağlantı kurmak için standart bir güvenlik teknolojisidir. SSL, halef teknolojisi olan Taşıma Katmanı Güvenliği (TLS) kadar yaygın bilinmektedir.
Hassas Bilgilerin Güvenli İletimi
SSL, kredi kartı numaraları, sosyal güvenlik numaraları ve giriş bilgileri gibi hassas bilgilerin güvenli bir şekilde iletilmesine olanak tanır. Normalde, tarayıcılar ile web sunucuları arasında gönderilen veriler düz metin olarak iletilir; bu da dinlemelere açık olma riski taşır. Eğer bir saldırgan, tarayıcı ile web sunucusu arasındaki tüm verileri yakalayabilirse, bu bilgileri görebilir ve kullanabilir.
Daha spesifik olarak, SSL bir güvenlik protokolüdür. Protokoller, algoritmaların nasıl kullanılacağını tanımlar. Bu durumda, SSL protokolü, hem bağlantının hem de iletilen verinin şifrelenmesi için değişkenleri belirler.
SSL Bağlantısı Kurma Süreci
Tarayıcı, SSL ile güvenli hale getirilmiş bir web sitesine erişmeye çalıştığında, tarayıcı ve web sunucusu, “SSL El Sıkışması” olarak adlandırılan bir süreç kullanarak SSL bağlantısı kurar. SSL El Sıkışması, kullanıcı tarafından görünmez ve anında gerçekleşir.
Esasen, SSL bağlantısını kurmak için üç anahtar kullanılır: genel, özel ve oturum anahtarları. Genel anahtar ile şifrelenen her şey yalnızca özel anahtar ile deşifre edilebilir ve tersine.
El Sıkışması Süreci
- Tarayıcı, SSL ile güvence altına alınmış bir web sunucusuna bağlanır (https).
- Sunucu, SSL sertifikasının bir kopyasını, sunucunun genel anahtarını içerecek şekilde gönderir.
- Tarayıcı, sertifika kökünü güvenilir CA listesiyle kontrol eder ve sertifikanın geçerli olup olmadığını, iptal edilmediğini ve genel adının bağlandığı web sitesi için geçerli olup olmadığını denetler. Tarayıcı sertifikaya güvendiğinde, sunucunun genel anahtarıyla şifreli bir oturum anahtarı oluşturur ve geri gönderir.
- Sunucu, bu oturum anahtarını özel anahtarı ile deşifre eder ve oturum anahtarı ile şifrelenmiş bir onay gönderir.
- Artık sunucu ve tarayıcı, iletilen tüm verileri oturum anahtarı ile şifreler.
SSL ve TLS Arasındaki Fark
SSL protokolü her zaman iletilen verileri şifrelemek ve güvence altına almak için kullanılmıştır. Yeni ve daha güvenli bir versiyon piyasaya sürüldüğünde, yalnızca versiyon numarası değiştirilmiştir (örneğin, SSLv2.0). Ancak SSLv3.0’dan güncellemeye geçildiğinde, yeni versiyonun adı SSLv4.0 yerine TLSv1.0 olarak değiştirilmiştir. Şu anda TLSv1.3 sürümündeyiz.
SSL hala daha tanınan ve yaygın olarak kullanılan bir terim olduğundan, DigiCert sertifikalarından bahsederken TLS/SSL terimini kullanmaktadır. Bizden bir SSL Sertifikası satın aldığınızda (örneğin, Standart SSL, Genişletilmiş Doğrulama SSL vb.), aslında bir TLS Sertifikası (RSA veya ECC) alıyorsunuz.
SSL Sertifikası Türleri ve Kullanım Alanları
Bilgilendirme Siteleri ve Bloglar
Hassas bilgi toplama amacı gütmeyen web sitelerinin HTTPS kullanması önemlidir; bu, kullanıcı etkinliğini özel tutar.
Giriş Panelleri ve Formlar
TLS/SSL, kullanıcı adları ve şifrelerin yanı sıra, kişisel bilgilerin, belgelerin veya görsellerin gönderilmesi için kullanılan formları da şifreleyerek korur.
Ödeme Sayfaları
Müşteriler, ödeme alanının (ve paylaştıkları kredi kartı bilgilerinin) güvenli olduğunu bildiklerinde satın alma işlemini tamamlama olasılıkları artar.
Tavsiye Edilen TLS/SSL Sertifika Türleri
- OV (Kuruluş Doğrulamalı) TLS/SSL Sertifikaları: İkinci en yüksek güvenilirlik düzeyine sahip olup, en titiz kuruluş denetimlerini gerektirir.
- EV (Genişletilmiş Doğrulama) TLS/SSL Sertifikaları: En yüksek güvenilirlik düzeyine sahip ve en titiz kimlik denetimlerini gerektirir.
Sonuç
Kilidi görmek, artık adres çubuğunda yeterli değil. URL çubuğundaki kilit simgesine tıklayarak, web sitesi sahibinin kimliğini doğrulayabilirsiniz. Ancak günümüzde birçok phishing sitesi, bir kilit ve DV sertifikasına sahip olabilir. Bu nedenle, URL çubuğundaki kilidin ötesine bakmak önemlidir. Eğer bir web sitesi, kimliğini sertifikaya koymaya istekliyse, o zaman siz de onlarla tanımlayıcı bilgilerinizi paylaşma konusunda isteklisiniz demektir. Kuruluşun adını gördüğünüzde, kime güveneceğiniz konusunda daha iyi bir karar verebilirsiniz.
Kaynak: 1 (Son Erişim Tarihi: 28.09.2024)
