SSL/TLS Protokolü ve Sertifikalar

Her gün internette dolaşırken adını sıkça duyduğumuz web sitesi sahibi olanların hiç de yabancı olmadığı bir ifade türüdür. Kredi kartı numarası, şifre ve kimlik bilgisi dahil pek çok kişisel verinin gizliliğini ve bütünlüğünü koruyan bir güvenlik protokolü olan SSL/TLS, o zamanlar Netscape’de çalışan Dr. Taher Elgamal tarafından geliştirilen bir algoritmadır.

 

SSL’in açılımı Secure Socket Layer’dır. Türkçe anlamıysa Güvenli Giriş Katmanı’dır. SSL site adreslerinin doğruluğunu kontrol eden iki nokta arasındaki veri iletişimini şifreli kanal üzerinden güvenli bir şekilde iletilmesini sağlayan bir protokoldür.

 

TLS protokolü kullanıcıların gizli dinlenilmesini ve kullanıcıların onayı olmadan değişiklik yapılmasını önler ve ağ üzerinden istemci ile sunucu arasındaki uygulamaların haberleşmelerine olanak sağlar.

 

 

 

SSL Sertifikası Neden Gereklidir?

 

Kullanıcı verilerinin güvende olmasını sağlamak, web sitesinin sahipliğini doğrulamak, saldırganların sitenin sahte bir sürümünü oluşturmasını engellemek ve kullanıcılara güven vermek için web sitelerinin SSL sertifikasına sahip olması gerekir.

 

Web sitenize bir SSL sertifikası eklediğiniz zaman tüm verileriniz şifrelenerek koruma altına alınır. Dolayısıyla internet siteniz için SSL almak, kullanıcılarınızdan size iletilen pek çok bilgiyi çeşitli siber saldırılara maruz kalmadan güvenli bir şekilde sunucunuza aktarılmasını sağlar.

 

Özellikle e-ticaret siteniz varsa müşterilerinizin kredi kartı ve kişisel bilgilerini korumanız için etkili bir çözüm sunan SSL sertifikaları, güven ve itibar kaybı kaybının önüne geçerek web sitenizin prestijini artırır. Her ne kadar ekstradan bir maliyet gerektirse de e-ticaret şirketleri ziyaretçilerine güvenli bir alışveriş deneyimi sunmadan varlıklarını sorunsuz bir şekilde sürdüremez.

 

SSL sertifikası, aşağıdaki gibi bilgilerin güvende olmasını sağlamaya yardımcı olur:

 

• Oturum açma bilgileri
• Kredi kartı işlemleri veya banka hesabı bilgileri
• Kişiyi tanımlayabilecek bilgiler (tam ad, adres, doğum tarihi, telefon numarası vb.)
• Yasal belgeler ve sözleşmeler
• Tıbbi kayıtlar
• Tescilli bilgiler

 

SSL Genel Özellikleri Nelerdir?

 

1. Bağlantı gizlidir.
2. Bağlantı güvenilirdir.
3. Gelen verinin kodlaması ve şifreyi çözmesi esnasında güvenlik ve gizliliği sağlar.
4. Haberleşen uçların kimlikleri doğrulanabilir.
5. Mesaj akışı, mesajın bütünlüğünün kontrolünü içerir.
6. Veriyi gönderen ve alanın doğru yerler olduğunu garanti eder.
7. İletilen dokümanların tarih ve zamanını doğrular.

 

 

 

SSL Çalışma Mantığı Nedir?

 

Gizli (Private) ve Açık (Public) anahtarlar protokolün temelini oluşturur. Anahtarlar birbirleriyle uyum içerisinde çalışırlar. Anahtarlardan bir tanesinin şifrelediği veriyi ancak diğer anahtar açabilmektedir.

 

SSL tarafından yaratılan bu anahtarların yani diğer bir deyişle şifrelerin bir tanesi her daim sizde kalmalıdır. Diğeri ise tarafınızdan sizinle bağlantı kuracak olan kişilere gönderilmelidir. Bu sayede çift yönlü bir koruma altında olmanız planlanmıştır.

 

Web sitelerine girdiğimizde aşağıdaki gibi çalışır.

 

1. Bir tarayıcı ya da sunucu, SSL ile güvenli hale getirilmiş bir web sitesine (yani bir web sunucusuna) bağlanma girişiminde bulunur.
2. Tarayıcı ya da sunucu, web sunucusundan kendisini tanımlamasını ister.
3. Web sunucusu, yanıt olarak tarayıcı ya da sunucuya SSL sertifikasının bir kopyasını gönderir.
4. Tarayıcı ya da sunucu, SSL sertifikasına güvenip güvenmediğine karar vermek için sertifikayı kontrol eder. Sertifikaya güvenirse web sunucusuna bu doğrultuda bir sinyal gönderir.
5. Ardından web sunucusu, SSL şifreli oturum başlatmak için dijital olarak imzalanmış bir onay ile yanıt verir.
6. Şifreli veriler, tarayıcı veya sunucu ile web sunucusu arasında paylaşılır.

 

 

SSL Sertifikası Türleri Nelerdir?

 

a. Standart SSL

 

Standart SSL sertifikası yalnızca alan adını kapsayan bir SSL sertifikasıdır. Bir network üzerinde bulunan verilerin güvenliğini sağlamak amacıyla kullanılan standart SSL sertifikası için başvuru sırasında bir belgeye ihtiyaç duyulmamaktadır.

 

b. Wildcard SSL

 

Web sitesine ait alan adıyla beraber sınırsız sayıdaki alt alan adının korunmasını sağlayan Wildcard SSL, subdomain destekli SSL olarak da adlandırılır. Alan adı dışında diğer alt alan adlarını da korurken ek masraf yapılmamasını sağladığından ekonomiktir.

 

c. Rapid SSL

 

Belgesiz olarak servis sağlayan güvenli giriş katmanlarından biri olarak bilinir. RapidSSL daha çok düşük bütçeli kullanıcıların tercih ettiği SSL sertifika sağlayıcılarından biridir. Pek çok tarayıcı tarafından desteklenir. Genellikle kişisel sitelerde kullanılmaktadır.

 

d. Genişletilmiş Doğrulama sertifikaları (EV SSL)

 

Genelde veri toplayan ve çevrimiçi ödeme içeren yüksek profilli web siteleri için kullanılır. Güvenlik seviyesi en yüksek olan sertifikadır. Ticari, resmi ya da hukuki varlığını belirtir.

 

e. Birleşik İletişim Sertifikası (UCC)

 

SSL kimlik doğrulamasında kullanılan birçok alanlı sertifika türüdür. Bir sertifikaya bir etki alanına birden çok etki alanı adı ve ana bilgisayar adı eklenmesine izin verir. Birleşik İletişim Sertifikası, Depolama Alanı Ağı (SAN) Sertifikası olarak da bilinir.

 

Bir Sitenin SSL Sertifikası Olup Olmadığı Nasıl Anlaşılır?

 

Sitenin SSL sertifikasına sahip olup olmadığını anlamanın en kolay yolu tarayıcınızdaki adres çubuğuna bakmaktır. URL'nin HTTP yerine HTTPS ile başlaması, sitenin bir SSL sertifikasıyla güvenli hale getirilmiş olduğunu göstermektedir.

 

Güvenli sitelerde kapalı bir asma kilit simgesi gösterilir. Bu simgeye tıklayarak güvenlik ayrıntılarını görebilirsiniz. En güvenilir siteler için adres çubuğunda yeşil asma kilit gösterilir. Bağlantı güvenli olmadığında tarayıcılar da çeşitli uyarı işaretleri gösterir. Bunlar arasında kırmızı asma kilit, açık asma kilit, web sitesi adresinin üzerine çekilmiş bir çizgi ya da asma kilit simgesinin üzerinde bir uyarı üçgeni gibi işaretler bulunur.

 

SSL/TLS Başka Nerede Kullanılır?

 

SSL/TLS karşımıza yaygın olarak tarayıcılarda çıksa bile tek kullanım alanları burası değildir. Şifreleme teknolojisinin kuruluşların bilgi güvenliğine doğrudan katkı sağlayabileceği diğer alanlar şunlar olur.

 

FTP: Dosya paylaşımı için kullanılan File Transfer Protocol (FTP) şifresiz çalışır. Bu durumda trafiği dinleyebilen herhangi bir saldırgan gönderilen veriyi görebilir. Bunu engellemek için FTPS (File Transfer Protocol Secure) kullanılmalıdır.

 

E-postalar: E-postaların sertifika ile imzalanması mesajların şifrelenmesini ve gönderici kimliğinin doğrulanmasını sağlar. Sizin ve iş yaptığınız paydaşların imzalı e-posta mesajları kullanmaları son zamanlarda sıkça karşılaştığımız Business Email Compromise saldırılarını da önleyebilecek etkili bir çözümdür.

 

İstemci Güvenliği: Yerel ağdaki istemcilerin kimliğini sunucuda doğrulamak için ve LDAP benzeri şifresiz yapılara bir şifreleme katmanı kazandırmak için kullanılabilir.

 

Kablosuz Ağlar: Kablosuz ağ erişim noktalarının kimliklerinin doğrulanması için kullanılabilir. Bu sayede kuruluş bünyesinde bulunan kablosuz ağ altyapısı daha güvenli ve güvenilir hale gelir.

 

SSL VPN: Genele açık bir ağ olan internet üzerinde güvenli bir haberleşme tüneli oluşturmak için IPSec dışında, özellikle TCP çalışan protokoller için geçerli bir alternatif sunar.

 

Sunucular Arası İletişim: Yerel ağa sızması muhtemel bir saldırgan veya zararlı yazılımın sunucular arasındaki iletişimi görememesini ve müdahale edememesini sağlar.