Secure Sockets Layer
Merhabalar! Bu yazımda sizlere secure sockets layer (SSL) ‘ı farklı konu başlıklarıyla anlatacağım. SSL nedir , nasıl çalışır, neden önemlidir, biz SSL sertifikası olan siteleri nasıl anlarız, eğer SSL sertifikası expire olursa ne olur ve atak türleri nelerdir gibi konu başlıklarıyla sizlere bilgi vereceğim. İlk olarak SSL nedir, inceleyelim.
SSL Nedir?
SSL (Secure Sockets Layer), hassas bilgi göndermek ve almak için şifreleme yöntemi kullanarak internet üzerinden güvenli bir iletişim sağlayan protokoldür. Bu protokol verileri şifrelemek için genel ve özel şifreleme anahtarlarına dayalı şifreleme yöntemleri kullanır. TLS, SSL ’in bir gelişmiş sürümüdür ve SSL her ikisini de kapsar.
SSL Sertifikası Nedir?
SSL sertifikası; kullanıcılar , web siteleri ya da iki sistem arasında aktarılan verilerin hiçbir şekilde okunamamasını ve değiştirilmemesini sağlar. Peki bu güvenli bağlantıyı kuran ve verilerin okunmasını engelleyen SSL sertifikası nasıl çalışır, şimdi onu inceleyelim.
SSL Sertifikası Nasıl Çalışır ?
SSL sertifikası, açık anahtarlı şifreleme adı verilen bir yöntem kullanır. Bu yöntemde her iki taraf da birer anahtar sahibidir. Bu anahtarlar rastgele oluşturulmuş uzun sayı dizileridir. Web sitesi, kullanıcının bilgisayarına açık anahtarını gönderir. Kullanıcı, bu anahtarla verilerini şifreler ve web sitesine geri gönderir. Web sitesi, verileri kendi özel anahtarıyla çözer. Bu şekilde, veriler sadece web sitesi ve kullanıcı arasında anlaşılabilir hale gelir.
SSL Sertifika Türleri Nelerdir ?
SSL sertifikaları, doğrulama seviyesi ve alan adı sayısına göre farklı türler içerir.
Doğrulama seviyesi, web sitesinin kimliğinin ne kadar detaylı bir şekilde kontrol edildiğini belirtirken Alan adı sayısı, SSL sertifikasının kaç farklı web sitesine uygulanabileceğini gösterir.
En yaygın kullanılan SSL sertifika türleri ise şunlardır :
DV SSL: Alan adının sahipliğini doğrulamak için kullanılan bir SSL sertifikasıdır. En düşük maliyetli ve en temel SSL sertifikası türüdür. Bu sertifikaya sahip kişilerin firmalarının adres çubuğunda HTTPS ve asma kilit simgesi bulunur.
OV SSL: Web sitelerinin güvenliğini sağlayan bir sertifika türüdür. Web sitesi sahibinin gerçek bir işletme olduğunu gösterir. Bu sertifikaya sahip kişilerin veya firmaların bilgilerini asma kilit simgesiyle sembolize eder.
EV SSL: Web sitelerinin güvenliğini sağlamak için kullanılan en yüksek düzeydeki sertifika türüdür. Sertifika sağlayıcısı bu sertifikayı talep eden kişinin bilgilerini detaylı bir şekilde inceler ve doğrular. Bu sertifikaya sahip kişilerin ve firmaların bilgileri tarayıcıda yeşil renkte bir çubukta gösterilir.
Wildcard SSL: Temelde DV SSL ile benzer olan Wildcard SSL , birden fazla alan adını tek bir sertifikayla korumak için kullanılan bir SSL sertifikası türüdür. Örnek olarak *dpusec.com olarak bir Wildcard SSL sertifikası , blog.dpusec.com , site.dpusec.com gibi alt alan adlarını korur. Ancak blog.tugfe.dpusec.org gibi alt alan adlarını korumaz.
Multi-Domain SSL: Bu SSL sertifikası tek bir IP üzerinden birden fazla alan adını kapsar. Yaklaşık 250’ye kadar alan adını korur. Ve bu sayede zaman ve maliyetten tasarruf sağlar.
Neden Önemlidir ? Eklenmez İse Ne Olur ?
SSL kullanmanın birçok faydası vardır . Gelin biraz bunları inceleyelim .
- SSL sertifikası, web sitesi ziyaretçilerinin verilerinin güvenliğini artırır ve bu sayede verilerin çalınması riski en aza iner.
- SSL sertifikası kullanıcılara sitenin güvenilir olduğunu gösterir ve sitenin itibarını arttırır.
- SSL sertifikası web sitenizin arama motorundaki sıralamasını daha iyi hale getirir ve bu sayede sitenizin görünürlüğü artar.
- Arama motorları HTTPS protokolü kullanan web sitelerini tercih eder. HTTPS ’in SSL sertifikası yüklemiş olan web sitelerinin kullandığı güvenli bir protokol olduğunu önceki paragraflarda belirtmiştik.
- SSL, çevrimiçi ödeme almak için gerekli olan PCI/DSS standartlarına uymanıza yardımcı olur. PCI/DSS, banka ve kredi kartlarıyla ödeme almak için gereken güvenlik standartlarıdır.
Ve bunlar gibi birçok faydası olan SSL sertifikası kullanıcıların birinci önceliği olan güvenliği sağlamada önemli bir rol oynar.
SSL sertifikası eklenmeyen bir web sitesi, kullanıcıların bilgilerini çalma riskini artırır. Kullanıcının tarayıcısı ile sunucu arasında değiş tokuş edilen veriler düz metin olarak iletilir ve bu da siteyi veri hırsızlığı ve diğer güvenlik ihlallerine karşı savunmasız hale getirir. Ayrıca kullanıcı güvenini de etkiler ve tarayıcılardan güvenli olmayan bağlantılar hakkında uyarılar gelmesine neden olur.
Peki biz SSL sertifikası olan siteleri nasıl anlayabiliriz hadi gelin inceleyelim.
SSL Sertifikası Olan Web Sitelerini Nasıl Anlarız ?
SSL sertifikasının ne derece önemli olduğunu sizlere anlatmıştım. Şimdi de bir web sitesinde SSL sertifikasının olup olmadığını nasıl anlayacağımızı inceleyeceğiz.
Öncelikli olarak eğer bir web sitesinde kilit simgesi varsa ve web adresinin başında “HTTPS://“ yazıyorsa SSL sertifikası var demektir.
SSL sertifikası olan bir web sitesinde tarayıcının adres çubuğunda veya web sitesinin alt kısımlarında SSL sertifikası hakkında detaylı bilgiler olur.
Bu yöntemlerle bir sitede SSL sertifikası olup olmadığını kolayca anlayabilir ve güvenle kullanabilirsiniz.
SSL Seçiminde Dikkat Edilmesi Gerekenler Nelerdir ?
SSL sertifikası seçiminde dikkat edilmesi gerekenler arasında sertifika türü, güvenilirlik, fiyat, şifreleme gücü , cihazlar ve tarayıcılarla uyumluluk , sunulan garanti faktörleri , kuruluşun itibari ve müşteri desteği gibi etkenleri göz önünde bulundurmak gerekir.
Öncelikle, web sitenizin kaç farklı alan adı veya alt alan adı kullandığını belirlemeniz gerekir. Eğer tek bir alan adı kullanıyorsanız, tekil (single) SSL sertifikası yeterli olacaktır. Eğer birden fazla farklı alan adı veya alt alan adı kullanıyorsanız multi-domain SSL veya wildcard SSL sertifikalarından birini seçmeniz gerekir. Sonrasında web sitenizin doğrulama seviyesine karar vermeniz gerekir.
Doğrulama seviyesi, web sitenizin kimliğinin ne kadar detaylı bir şekilde kontrol edildiğini belirtir. Eğer web siteniz kişisel amaçlıysa veya basit bir blog ise, DV SSL sertifikası yeterli olur. DV SSL sertifikası sadece web sitenizin alan adının sahibi olduğunuzu doğrular. En hızlı ve en ucuz SSL sertifikasıdır. Eğer web siteniz küçük bir işletme veya kuruluş ise, OV SSL sertifikası uygun olur. OV SSL sertifikası web sitenizin alan adının yanı sıra sahibinin de kimliğini doğrular. Orta seviyede bir güvenlik ve maliyet sunar. Eğer web siteniz büyük bir işletme veya ajans ise, EV SSL sertifikası tercih edilir. EV SSL sertifikası web sitenizin alan adı ve sahibi hakkında en detaylı doğrulamayı yapar. En yüksek güvenlik ve maliyet sunar. Adres çubuğunda web sitenizin adını yeşil renkle gösterir.
Son olarak, SSL sertifikanızın en az 2048-bit anahtarlı olmasına dikkat etmeniz gerekir. Bu, Google’ın SSL kullanımı için belirttiği bir standarttır. 2048-bit anahtarlı SSL sertifikaları daha güvenli ve daha performanslıdır.
SSL Sertifikası Expire Olursa Ne Olur?
SSL sertifikası expire olursa web sitenizin güvenli bağlantısını kurması engellenir ve şifreli bağlantıyı kesintiye uğratarak kullanıcının güveninin sarsılmasına neden olur. Bu durumda ziyaretçileriniz uyarılar alır ve siteye erişemezler. Bu uyarı mesajı web sitesi ziyaretçilerinin güveninin sarsılmasına neden olur. Ayrıca SSL sertifikası olmayan ya da expire olan web siteleri arama motorunda alt sıralara düşerler.
Bu yüzden, SSL sertifikası süresi dolmadan önce yenilenmesi çok önemlidir. SSL sertifikası sağlayıcılarının çoğu, sertifikanızın süresi dolmak üzereyken size bildirim gönderir. Bu bildirimleri takip ederek SSL sertifikanızı kolayca yenileyebilirsiniz. Bazı SSL sertifikası sağlayıcıları, otomatik yenileme seçeneği de sunar. Bu seçeneği kullanarak SSL sertifikanızın süresinin hiç dolmamasını sağlayabilirsiniz.
SSL Sertifikası ile İlgili Atak Türleri Nelerdir?
SSL sertifikası atak türleri ,SSL sertifikasının güvenliğini zayıflatmaya, şifrelemesini bozmaya yönelik saldırılardır. Bu saldırılar sahte siteler oluşturmak, kullanıcının verilerini çalmak, arama motoru sıralamalarını etkilemek gibi nedenler için yapabilirler.
En yaygın SSL sertifika atak türleri şunlardır ;
Ortadaki Adam (MITM) Saldırısı: Bu saldırıda, saldırgan gönderici ve alıcı arasındaki bağlantıyı keser ve kendisi araya girer. Böylece, gönderilen ve alınan verileri okuyabilir, gizlice dinleyebilir, değiştirebilir veya yönlendirilebilir. SSL sertifikası, bu saldırıyı önlemek için şifreli bir bağlantı sağlar.
SSL Stripping : Bu saldırıda, saldırgan web sitesi ile tarayıcı arasındaki SSL bağlantısını bozar ve tarayıcıyla HTTP bağlantısı kurar. Böylece, veriler şifrelenemez ve saldırgan ele geçirir. SSL sertifikası, bu saldırıyı önlemek için web sitesinin HTTPS protokolünü zorlar.
SSL Hijacking : Bu saldırıda, saldırgan HTTPS sitelerinin alanları için sahte sertifikalar oluşturur ve web sitesi ile tarayıcı arasında güvenli bir bağlantı var gibi gösterirken aslında oturumu kontrol etmektedir. Bu nedenle, verileri değiştirmek veya yönlendirmek mümkün olur. Web sitesinin bu saldırıyı önlemek için kimliği doğrulanmış bir TLS sertifikasına sahip olması gerekir. Aynı zamanda kullanıcıların tarayıcı çubuğundaki sertifika bilgilerinin kontrol edilmesi gerekir.
SSL Attack: Bu saldırıda, saldırgan SSL protokolünün zayıf noktalarını kullanarak şifreli verileri çözmeye çalışır. Böylece, verilerin gizliliğini ve bütünlüğünü bozmuş olur. SSL sertifikası, bu saldırıyı önlemek için güncel ve güvenli bir SSL protokolü kullanması gerekir.
SSL Injection : Bu saldırıda, saldırgan, SSL bağlantısında araya girerek veri iletişimine zararlı kodlar ekler. Böylece, kullanıcı bilgisayarı enfekte olur ve web sitesinin işlevselliği zarar görür. Bunu önlemek için güvenli HTTPS bağlantısı kullanmak, güncel bir antivirüs programı kullanmak gerekir.
Özetle SSL sertifikası, web sitenizi daha güvenli hale getirir ve kullanıcıların güveninde önemli bir rol oynar. Bu sayede web sitenizin itibarını ve güvenilirliğini yükseltmiş olursunuz.
Okuduğunuz için teşekkürler.
Kaynakça :
https://www.kaspersky.com.tr/resource-center/definitions/what-is-a-ssl-certificate
https://www.ssl.com/tr/g%C3%B6re/ssl-https-tls-art%C4%B1lar%C4%B1-ve-eksileri/
https://artwebtasarim.com.tr/ssl-e-gecis-surecinde-dikkat-edilmesi-gerekenler_37cd