Güvenlik

SSL Nedir? Ne Değildir?

Son yıllarda internetin hayatımızın içine iyiden iyiye girmesi ile birçok işimizi internet üzerinden çözebilir hale geldik. Öylesine bir noktaya ulaştık ki milyar dolarlık iş yükleri internet ve teknoloji sistemleri üzerinden akar duruma geldi. Dünyanın en büyük firmaları sıralamasında teknoloji firmaları yoğun şekilde başı çekmekte. Hal böyle olunca bu yapının korunması adına farklı katmanlarda farklı güvenlik önlemleri almak gerekiyor. Biz makalemizde genelde istemci ile sunucu arasındaki trafiğin belli bir bölümünün güvenlik altına alınabilmesi adına bazı kavramları çok detaya girmeden inceliyor olacağız.

Not: Basit ve anlaşılabilir olması adına kısa açıklamalar, şekiller ve örnekler ile makalemizi yazıyor olacağız. Buradaki anlatımları Web Sistemlerindeki mimarilere göre ele alıyor olacağız.

SSL : (Secure Socket Layer) kelimelerinin kısaltması olan SSL, İki nokta arasında oluşan veri trafiğini bir kanal üzerinden geçirerek, dışarıdan gelebilecek saldırılara karşı geliştirilmiş bir protokoldür.

Örnek olarak bankacılık işlemlerini göz önünde bulundurabiliriz. Bankacılık işlemleri yapmak için gerekli ekrana giriş yapmak istediğimizde girecek olduğumu erişim bilgileri bir kanal üzerinden geçirilerek, trafik üzerinden akan bilgilerin ele geçirilmemesi sağlanmaktadır.

SSL Sertifika : Web sitesinin kimlik bilgisini doğrulayan, SSL teknolojisi kullanan sunuculara gönderilen veri trafiğini şifreleyen dijital bir sertifikadır. Buradaki şifreleme, verileri şifresi kırılamayan ve sadece doğru şifre çözme anahtarıyla okunabilir hale çevrilebilen bir formatta bir araya getirme işlemidir.

Buradaki işlemler sırasında İnternet kullanıcılarının bir web sunucusuna gizli bilgilerini göndermeye çalışır. Kullanıcının tarayıcısı (Chrome,İnternet Explorer, Safari, Firefox v.b.) erişilmek istenen Web sunucusunun dijital sertifikasına erişim sağlar ve güvenli bir bağlantı kurar. SSL sertifikasında aşağıdaki bilgiler bulunmaktadır.

  • Sertifika Sahibinin Adı
  • Sertifikanın Seri Numarası ve Sona Erme Tarihi
  • Sertifika Sahibinin Açık Anahtarının Kopyası
  • Sertifikayı Düzenleyen Kuruluşun Dijital İmzası

İşleyiş tam olarak aşağıdaki şekilde olduğu gibi gerçekleşir. Ben aralarındaki konuşmayı size yansıttım.

SSL ve SSL Sertifika kavramını açıkladığımıza göre SSL Sertifikasının nasıl elde edileceği konusuna değinelim. Günümüzde birçok platformda kendi sertifikamızı üretebiliriz. Ancak bu sertifikalar global sertifika üreticilerin ürettiği sertifika olmadığından sadece bu sertifikaya sahip sistemler sertifikamızı güvenli bir sertifika olarak görecek ve dünya genelinde güvenli olarak algılanmayacaktır. Örnek olarak bir Windows Server sunucusuna Sertifika Rolünü kurarak sertifika oluşturmamız ve bunu kullanmamız mümkün.

Düşünsenize bir bankasınız ve sertifikanız var bunu size bağlanan her kişiye kurup arada güvenli bir ilişki kurmak mümkün mü? İmkânsız. Bu nedenle Global ve dünyada her sistemin güvendiği global sertifika üreticiler (Comodo, RapidSSL, Symantec)  var. Bunlar bu işi sizim yerimize organize ediyor. Tek sorun bu sertifikaya ücretsiz değil de para ile sahip olmak zorunda olmamız.

Bu ön bilgilerden sonra farklı özellikler bakımından sertifikaları ele alıyor olacağız.

1-Doğrulama Yöntemlerine Göre SSL Sertifikalar

DV (Domain Validation) : Doğrulama düzeyi en düşük ve basit olan sertifikadır. Kısa sürelerde elde edilebilir. Alınacak olan alan adı için DNS üzerinde ilgili kaydın olması yeterlidir. Örnek olarak, https://www.cozumpark.com için dns üzerinde bir A kaydının olması yeterlidir. Düşük maliyetlidir.

Örnek olarak aşağıdaki sertifikayı görebiliriz. Genel bilgiler üzerine alınan sertifikayı görebilmekteyiz. Google Chrome Developer Tools ÜzerindenàGüvenlikàSertifika menüsünden detaya erişebiliriz.

OV (Organizational Validation) : Sunucu adına bağlı olarak alan adı sahibi firmanın bilgilerini barındırır. İletilen bilgiler sertifika sağlayıcısı tarafından doğrulanır. İlgili kurumun adı, faaliyet durumu, başvuru yapan kişi bilgileri, başvurunun gerçekliği gibi durumlar sorgulanır. DV sertifikaya kıyasla güvenli olmasına karşın tedarik süreci birkaç günü bulabilmektedir.

Örnek olarak https://sahibinden.com isimli siteyi inceleyebiliriz. Bu sitede kurum bilgileri doğrulanmış bir OV sertifika barınmaktadır. Bu sayfamızı da Mozilla Firefox üzerinden açtık ver sertifikanın üzerine tıklayıp detaylara geldiğimizde aşağıdaki bilgilere ulaşmaktayız.

EV ( Extended Validation ) Bu sertifikalar güvenlik düzeyi en yüksek noktada olan ve sertifika sahibinin fiziksel, hukuki ve ticari varlığıyla birlikte çok kapsamlı kurumsal doğrulama süreçlerini gerektiren sertifika türüdür. Sertifika sağlayıcısı tarafından yapılan doğrulamaların çokluğu ve detaylı olması nedeniyle pahalı bir sertifikalarıdır. Bu tür sertifikalarda adres çubuğunda güvenilir site niteliği taşıyan yeşil renkli bir gösterim belirir. https://garantibbva.com.tr alan adına İnternet Explorer üzerinden baktığımızda durum aşağıdaki gibidir.

Doğrulama amacına göre DV, OV ve EV SSL türlerini ele aldığımıza göre kısa tir tablo ile yine bunların farklarını özetleyelim.

2-Kullanım Amacına Göre SSL Sertifikalar

Standart Sertifika : Alt alan adı (subdomain) olmadan bir alan adı için imzalanan sertifikadır.

Multi Domain Sertifika : Birden fazla alan adı tek bir sertifika alınarak imzalanabilir. 1 alan adı için satın alınmakla birlikte 3 alan adına kadar kullanılabilir. Ek alan adı satın alınarak şifrelenen domain sayısı 100’e kadar yükseltilebilir.

Wildcard SSL Sertifika: Sertifikanın kullanıldığı alan adının tüm alt alan adlarının imzalanmasını sağlayan sertifikadır. Kurulumu *.alanadı.com şeklinde yapılır. Wildcard SSL sertifikalarında alt alan adı limiti bulunmaz.

Örneklendirecek olursak aşağıdaki gibi tablo ortaya çıkmakta.

Multi Domain sertifika ve Wildcard sertifika arasında alım yaparken dikkat etmek gerekmekte. Multi Domain SSL birden fazla alan adı için alınırken, Wildcard SSL birden fazla alt alan adı için alınmaktadır.

SSL konusuna değinmişken burada güvenliğe dalmamız durumunda SSL, TLS, HTTPS gibi konulara derinlemesine girmek gerekir. Bu konular dip detaya girildiğinde kitap yazacak kadar açıklamaya muhtaç konular. Makalemizin sonuna doğru yaklaştıkça SSL protokolünün gelişimi ve versiyonlarına göz atalım.

Resimde görüldüğü gibi SSL tarih içerisinde isim ve mimari değişikliği ile TLS’e evrildi. Yine şekilde üzerinde ayrıca eski versiyonların kullanımdan kaldırılma zamanlarını görebiliyorsunuz.

SSL hakkındaki bilgileri genel hatları ile makalemize konu ettik. Bir başka makalede görüşmemiz dileğiyle.

Rıza ŞAHAN

www.rizasahan.com

Related Articles

4 Comments

  1. Harika bilgiler, teşekkürler. Bukadar detaylı ama öz bilgiye denk gelememiştim

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Back to top button