Sosyal Medya

Ne? Nasıl yapılır?

SSL Sertifikaları Hakkında Bilmeniz Gereken Her Şey!

SSL Tarihçesi, SSL Nedir? SSL Güvenlik Sertifikası Ne İşe Yarar? SSL Sertifikası Neden Önemlidir? Web Siteme Nasıl SSL Sertifikası Eklerim?

SSL Sertifikaları Hakkında Bilmeniz Gereken Her Şey!

Bir web geliştiricisi veya mimarı olarak her gün SSL sertifikalarıyla çalışıyorsunuz. Bu sertifikaları yöneten siz olmasanız bile, birlikte çalıştığınız internete yönelik herhangi bir uygulama büyük bir çoğunlukla SSL şifreli bir bağlantı üzerinden sunulur. SSL standardı zamanla Aktarım Katmanı Güvenliği’ne (TLS) dönüşmüştür ve bu nedenle modern tarayıcılar, güvenliği yanlış olan bir web sitesine bağlanmayı muhtemelen reddedecektir.

Sanal dolandırıcılığın arttığı günümüzde, SSL’in ideal kullanım alanlarının genellikle bankacılık ve e-ticaret siteleri olduğu düşünülürken gerçekte bununda ötesinde, genel internet üzerinden iletişim kuran çeşitli uygulamalar ve iş yükü türleri için de temel düzeyde bir iletişim güvenliği sağladığının da bilinmesi gerekir.

Örneğin,

  • Bir mobil uygulamanın kullanıcı girişi varsa, SSL/TLS kesinlikle kullanmalı.
  • Bir web sitesinde ise “müşteri desteğiyle iletişim kurun” formu varsa, formlar veya “gönder” düğmesi olan her şeyde olduğu gibi SSL/TLS kullanmalı.
  • Yine bir web sitesine veya API’ye geri akış yukarı veri gönderen internete bağlı hemen hemen her şey SSL/TLS kesinlikle kullanmalı ki her şey güvenli olsun…

Buna ek olarak, WSS (WebSocket Secure) protokolü, şifreli çift yönlü WebSocket bağlantıları kurmak için SSL/TLS sertifikalarını kullanıyor bu nedenle, SSL yalnızca HTTP isteklerini güvence altına almanın ötesinde bir değere sahiptir.

Bugüne kadar SSL ile ilgili herhangi bir şey bilmiyorsanız da lütfen üzülmeyin, SSL ile ilgili bir çok bilgiyi önemli başlıklar altında kalema aldım. İşte SSL ile ilgili detaylar…

Önce SSL Tarihçesi!

SSL Ivan Ristić tarafından geliştirdi ve Netscape, 1994’te ilk ticari web tarayıcısı olan Navigator için bu teknolojiyi kullandı.

SSL yaratıcıları, hızla gelişmekte olan internetin, tüketicilerin çevrimiçi ticarete güvenmesi için güvenli protokollere ihtiyaç duyduğunu fark ettiler. Bunu sağlamak için yarattıkları SSL standardı zamanla giderek gelişti. Önceleri SHA1’den SHA2’ye geçiş dahil olmak üzere şifreleme algoritmalarını değiştirildi. Daha sonra ise bu algoritmaların kullandığı bit sayısını 256’dan 2048’e yükselterek gelişimini sürdürdü.

Günümüzde ise SSL artık TLS olarak adlandırılıyor. Yıllar içinde güvenlik açıklarının kapatılmasıyla birçok teknik detayda değişti. Temelleri ise aslında hep aynı kaldı ve hala Ortak Anahtar Altyapısına (PKI) dayanıyor. Bu nedenle PKI’da kullanılan sertifikalar doğrulanabilir ve güvenli olabilir kabul ediliyor.

SSL Nedir? SSL Güvenlik Sertifikası Ne İşe Yarar?

SSL’in tarihçesinde belirttiğim gibi kötü niyetli saldırılara karşı web sitenizin güvenliğini artırmanın yüzlerce yol olsa da, güvenli bir platformun temellerini atmak için yapabileceğiniz en temel bir şey:  bir SSL sertifikası almak.

SSL Nedir?

SSL yani Secure Sockets Layer, bir web tarayıcısı ile web sunucusu arasında şifreli ve kimliği doğrulanmış bağlantı kuran bir protokoldür. Amaç, web tarayıcısı ile sunucu arasında alınıp verilen tüm verileri güvenli ve özel tutmaktır. Bu, harici tarafların gelen trafikten anlamlı bilgileri almasını zorlaştırır veya imkansız kılar. Bir site, ödeme bilgileri veya e-posta adresi gibi bir kullanıcının kişisel bilgilerini istediğinde, bir SSL sertifikasına sahip olmalıdır.

Örneğin, bir e-ticaret sitesinde HTTPS yerine HTTP varsa, bu, tarayıcının tüm bilgileri sunucuya düz metin olarak göndereceği anlamına gelir. Böyle bir durumda, web trafiğinizi izleyen biri varsa, bu bilgileri görebilir ve çalabilir. Oysa web sitenizde geçerli bir SSL sertifikası varsa, bu, web sitenizin trafiğini şifreli tutacaktır. Bir SSL sertifikası yükledikten sonra, web sitenizde asma kilit işareti görüntülenir ve sayfanın tam URL’si başında ve “https: //” harfleri bulunur.

Ancak tüm bu gerçekliklere rağmen, birçok web yöneticisi hala SSL’nin nasıl çalıştığı ve neden önemli olduğu konusunda tam bir bilgiye sahip değildir.

SSL Sertifikası Ne İşe Yarar?

Bir SSL sertifikası öncelikle kullanıcılara, web sitenizin güvenli olduğunu ve saldırılara karşı şifreleme uygulandığını gösterir. Bu durum web sitesi ziyaretçilerinizle aranızda güven oluşturmanıza yardımcı olur. Bir kullanıcı özellikle kişisel bilgilerini girmesini gerektiren bir işlem sürecindeyse, SSL sertifikası kullandığınızı görmek isteyecektir.

Özetle SSL sertifikaları, web siteniz ile ziyaretçiler arasında ek bir güvenlik düzeyi ekler.

Bu, iki koruma katmanı sağlar:

Şifreleme: Çevrimiçi bilgi paylaşmak riskli olabilir, birçok kişi yalnızca bildikleri ve güvendikleri işletmelerle işlem yapmayı tercih eder. SSL sertifikası ile müşteriler, hassas verilerinin şifreli ve güvenli olduğunu bilir. SSL sertifikalarının farklı şifreleme seviyeleri olabilir, ancak standart SSL sertifikası başlamak için yeterlidir.

Kimlik doğrulama: SSL sertifikaları, web sitesi sahibini tanımlar ve çevrimiçi işletmeler için ek bir güven düzeyi oluşturur.

SSL Sertifikası Neden Önemlidir?

Müşteri güveni, herhangi bir işletmenin temelidir. Bu durum internet tabanlı işletmeler için de geçerlidir. İşletmenizin güvensizlik veya sahtekârlıkla ilgili bir itibarı varsa, ürün veya hizmetlerinizi satarken zorlanabilirsiniz. Tersine, güvenilir, güvenli ve dürüst bir marka olarak bilinmek müşteri çekmenize yardımcı olacaktır. SSL sertifikası, mevcut ve potansiyel müşterilere güvenliklerini önemsediğinizi göstermenin bir yoludur.

Müşterileriniz SSL / TLS’nin temelini oluşturan mekanizmayı anlamasalar da, hassas bilgilerini koruduğunuzu anlar (kredi kartı numaraları, şifreler, telefon numaraları ve son kullanıcılarınızın ifşa edilmesini istemediği diğer kişisel bilgiler vb.).

SSL Sertifikaları Nasıl Çalışır?

SSL, ziyaretçinizin tarayıcısı ile web siteniz veya uygulamanız arasında çalışır. Verilerin sunucuya aktarılmasını ve sunucudan güvenli bir şekilde iletilmesini sağlayan, bilgisayar korsanlarının saldırılarını ve gizli dinlemeyi önleyen bir endüstri standardıdır.

Ayrıca, saldırganların kendi şifrelemelerini kullanarak trafiği kendi sitelerine (yazım hatası veya başka yollarla) yönlendirebilmelerinin ve müşteri verilerini bu şekilde çalmalarını da önler.

SSL, doğrudan iletim kontrol protokolünün (TCP) üzerinde çalışır ve güvenli bir bağlantı sağlarken daha yüksek protokol katmanlarının değişmeden kalmasına izin verir.

Bir SSL sertifikası doğru yapılandırılırsa, saldırganlar yalnızca bağlı olduğunuz alan adını, bağlantı noktasını ve ne kadar veri aktarıldığını görebilir. Bağlantıyı sonlandırabilirler, ancak sunucu ve kullanıcı, bağlantının bir üçüncü tarafça kesildiğini görebilir.

Alan adınızda SSL’yi etkinleştirmek için, sunucunuza bir SSL sertifikası yüklemeniz gerekir. Bir müşteri web sitenizi ziyaret ettiğinde, tarayıcısı sunucunuza bağlanacak, geçerli bir SSL sertifikası olup olmadığını kontrol edecek ve SSL bağlantısını başlatacaktır. Tüm veriler daha sonra tarayıcıları ile sunucunuz arasında geçirilmeden önce şifrelenecektir.

SSL süreci dört adıma ayrılabilir:

  • SSL anlaşması: Web tarayıcısı, sunucunuzda bir SSL sertifikasının varlığını doğrular.
  • Sunucu sertifika gönderir: SSL sertifikasının türü, şifreleme seviyesi vb. dahil olmak üzere gerekli bilgiler tarayıcıya gönderilir.
  • Kullanıcı sertifika geçerliliğini onaylar: Web tarayıcısı, sertifikanın güvenilir bir sertifika yetkilisinden olup olmadığını kontrol eder ve her iki tarafça desteklenen en yüksek şifreleme düzeyini kullanır.
  • Garantili bütünlük ve özgünlük: SSL ve TLS protokolleri, veri bütünlüğünü ve özgünlüğünü sağlamak için ileti kimlik doğrulama kodlarını (MAC) kullanır.

SSL Sertifikası Türleri Nelerdir?

Doğrulama düzeyine ve güvence altına aldıkları alan adlarının sayısına bağlı olarak bugün kullanılabilen birden fazla SSL sertifikası türü vardır.

Doğrulama düzeyine göre SSL sertifikaları aşağıdaki şekildedir:

1. Domain Validated SSL

Domain Validated (DV) SSL sertifikası, en düşük doğrulama düzeyini gerektirir. DV sertifikalarının temel amacı, alanın web sunucusu ile tarayıcısı arasındaki iletişimi güvence altına almaktır. CA, yalnızca sahibin alan adı üzerinde denetime sahip olduğunu doğrular.

2. Organization Validated SSL

Organization Validated (OV) SSL sertifikası, CA’nın bir kuruluşun alanı ve kuruluşun bilgilerini kullanma haklarını kontrol ettiği orta düzeyde bir doğrulama gerektirir. OV sertifikası, kuruluşun ve alan adının güven düzeyini artırır.

3. Extended Validated

Extended Validated (EV) SSL sertifikası, CA’nın kuruluş üzerinde yönergelere göre sıkı arka plan kontrolleri gerçekleştirdiği yüksek düzeyde bir doğrulama gerektirir. Bu, kuruluşun yasal, fiziksel ve operasyonel varlığının doğrulanmasını içerir.

Alan adına göre SSL sertifikaları aşağıdaki şekildedir:

1. Single Domain SSL (Standart SSL Sertifikaları)

  • Standart SSL Sertifikaları, bir tam nitelikli alan adını veya alt alan adını güvence altına alır.

2. Wildcard SSL Sertifikası

3. Multi-Domain SSL Sertifikası

  • Multi-Domain SSL sertifikası, SAN uzantısı yardımıyla aynı sertifikayı kullanarak birden fazla alan adını güvence altına alır. Özellikle Microsoft Exchange ve Office İletişimi ortamlarının güvenliğini sağlamak için tasarlanmıştır.

Web Siteme Nasıl SSL Sertifikası Eklerim?

Bir SSL sertifikası yüklemek, web sitenizin nasıl ve nerede barındırıldığına bağlıdır. Sunucunuza bir SSL sertifikası eklemenin genellikle çeşitli yolları vardır. Bunlardan birisi de SSL2BUY.

Çoğu durumdaise hosting sağlayıcınız web sitenize otomatik olarak bir tür SSL sertifikası ekleyecektir (muhtemelen alan adı onaylı (DV) sertifika). Kuruluşunuzun daha güvenli bir SSL sertifikasına ihtiyacı varsa, hosting sağlayıcınız veya BT güvenlik ekibinizle görüşebilirsiniz.

SSL Sertifikalarının Kullanım Durumları

Milyonlarca web sitesi (bloglar ve sosyal medya siteleri dahil); kredi kartı işlemlerini, veri aktarımını ve giriş sayfalarında güvenli gezinmeyi güvence altına almak için SSL kullanır. HTTPS’yi etkinleştirerek tüketicilere web sitesinin meşru olduğunu ve işlem yapmanın güvenli olduğunu söylersiniz.

SSL aynı zamanda Google Chrome gibi önde gelen tarayıcılar tarafından da zorunlu kılınmıştır. Sertifikasız siteler, adres çubuğunda ”Güvenli Değil” uyarısına maruz kalır.

Küresel web sitelerinin, mobil ve internete bağlı cihazların büyümesi, SSL kullanımını e-ticaretin çok ötesine genişletti. Bu yüzden internet üzerinden cihazlar arasında güvenli bir şekilde veri paylaşması gereken herkes bir SSL sertifikasına ihtiyaç duyar.

SSL en çok aşağıdakileri güvence altına almak için kullanılır:

  • Online kredi kartı işlemleri
  • Web formları ve müşteri girişleri
  • E-posta ve web posta uygulamaları
  • İntranetler, dosya paylaşımı, extranetler ve dahili sunucular aracılığıyla kurumsal iletişim
  • Bulut tabanlı platformlar ve sanallaştırılmış uygulamalar
  • FTP üzerinden dosya aktarımı
  • Mobil cihazlara ve mobil cihazlardan veri aktarımı