Kendimizi nasıl güvende hissederiz? Verilerimiz, bize ait bilgiler kötü niyetli kişiler tarafından ne kadar zor ele geçirilebilir ve kullanılabilir ise o kadar güvende hissederiz. O yüzden dairelerimiz çelik kapılar, dükkanlarımız özel alarm sistemleri ile korunmakta. Hatta artık oturduğumuz sitelerde dahi dış kapıda özel güvenlik görevlileri çalışmaktadır. Bunların hepsi bizim güvenliğimiz içindir.
İnternet ortamında ise bu durum çok daha basittir. Site ile olan tüm iletişiminiz şifreli ise güvenli, şifrelenmemiş ise güvensizdir. Basit, değil mi? Peki ama sertifikalar nereden alınıyor ve SSL ile TLS arasında ne fark var? Hem zaten dijital bir sertifikanın güvenlikle ne ilgisi olabilir ki?
Bu yazıda, bu soruları cevaplamaya ve bununla ilgili diğer bazı kuşkuları ortadan kaldırmaya çalışacağız. Ama önce tarayıcınızın adresi kutusundaki HTTP ve HTTPS’nin ne anlama geldiğine bir bakalım.
Veri aktarımı için HTTP ve HTTPS
Çevrimiçi bir ziyaretçi bir internet sitesinde yazılanları okuduğu ya da buraya bir şey yazdığında, onun bilgisayarıyla o sitenin konakçı olduğu sunucu arasında bilgi alışverişi olur. Bu süreç HTTP (Bağlantılı Metin Aktarım Protokolü) denen bir veri aktarımı protokolüne tabidir.
HTTP’nin bir de HTTPS (Güvenli Bağlantılı Metin Aktarım Protokolü) uzantısı vardır Güvenli sürümde istemci ile sunucu arasındaki bilgi aktarımı şifreli biçimde yapılır, yani istemci ile sunucu arasında gidip gelen bilgiler sadece bu ikisine açıktır, üçüncü şahıslar (örneğin, Wi-Fi servis sağlayıcısı ya da yönetici) tarafından görülemez.
İstemciden sunucuya aktarılan veriler de aynı şekilde onun kendi şifreleme protokolüyle şifrelenmiş olur. Bu amaçla kullanılan protokollerin ilki SSL (Güvenli Yuva Katmanı) idi. SSL protokolünün birkaç sürümü vardı ve tamamında da bir noktadan sonra güvenlik sorunları yaşandı. Bunları yenilenmiş ve adı değiştirilmiş bir sürüm, yani bugün hala kullanılmakta olan TLS (Taşıma Katmanı Güvenliği) izledi. Ancak, SSL kısaltması değişmediği için bu yeni sürüm bugün hala genellikle eski adıyla anılır.
Şifreleme yapabilmek için bir sitenin elinde o şifreleme mekanizmasının güvenilir ve protokole uygun olduğunu teyit eden ve dijital imza olarak da bilinen bir sertifika olmalıdır. HTTPS’deki S harfine ek olarak, bir sitenin elinde böyle bir sertifika olduğunu gösteren diğer bir işaret de tarayıcının adres çubuğunda, yanında Güvenli ibaresi ya da firmanın adı yazan küçük yeşil bir asma kilit (ya da bazı tarayıcılarda bir kalkan) olmasıdır.
Bir site için SSL sertifikası nasıl alınır
Bir sertifika almanın iki yolu vardır. Bir ağ yöneticisi bu sertifikayı hazırlayıp imzalayabilir ve şifreleme anahtarları oluşturabilir. Bu tür sertifikalara kendinden imzalı sertifikalar denir. Siteye girmeye çalışan kullanıcılara sertifikanın güvenilir olmadığına dair bir uyarı mesajı gösterilir.
Bu tür sitelerde, tarayıcının türüne ve hatta aynı tarayıcının farklı sürümlerine göre değişmekle beraber, tarayıcı penceresindeki üstü çizilmiş asma kilit, kırmızı kalkan, Güvenli Değilsözcükleri, HTTPS harfleri yeşil değil kırmızı olur ya da adres çubuğundaki HTTPS harfleri üstü çizilmiş ve kırmızıyla vurgulanmıştır.
Daha iyisi, güvenilir bir belgelendirme kuruluşunun (CA) imzasını taşıyan bir sertifika satın almaktır. CA’lar site sahibinin belgelerine ve o alanı sahiplenme hakkının olup olmadığına bakar çünkü sonuçta bir sertifikanın var olması demek o kaynağın belli bir bölgede tescilli, yasal bir firmaya ait olması demektir.
SSL Sertifikasının Özellikleri;
- Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar
- Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
- İletilen dokümanların tarih ve zamanını doğrular
- Doküman arşivi oluşturulmasını kolaylaştırır
SSL sertifikalarının türleri
CA imzalı sertifikalar kuruluşun güvenilirliğine, sertifikayı kimlerin ve nasıl alabildiğine ve fiyatına bağlı olarak farklı niteliklerdedir.
Alan Doğrulama Sertifikaları
Alan Doğrulama Sertifikası almak isteyen gerçek ya da tüzel kişi ya söz konusu alanın kendisine ait olduğunu ya da yönettiği sitenin orada yer aldığını kanıtlamak zorundadır. Bu sertifika güvenli bir bağlantı kurulmasını sağlar ama ait olduğu kuruluşa ait bilgi içermez ve verilmesi için de hiçbir belge gerekmez. Böyle bir belgenin alınması genellikle en çok birkaç dakika sürer.
Kuruluş Doğrulama Sertifikaları
Bunun daha yüksek seviyeli sürümleri Kuruluş Doğrulama sertifikaları olarak bilinir ve sadece o alanla kurulacak bağlantının güvenli olduğunu değil, aynı zamanda o alanın gerçekten de sertifikada belirtilen kuruluşa ait olduğunu teyit eder. Bütün belgelerin kontrol edilmesi ve bir sertifikanın hazırlanması birkaç gün sürebilir. Eğer bir sitenin Alan ya da Kuruluş Doğrulama Sertifikası varsa tarayıcının adres çubuğunda Güvenli ibaresi ve HTTPS harfleri ile beraber gri ya da yeşil bir asma kilit görülür.
Genişletilmiş Doğrulama Sertifikaları
Son olarak, üst düzey Genişletilmiş Doğrulama Sertifikaları gelir. Kuruluş Doğrulama Sertifikaları gibi bunları da sadece gerekli bütün belgeleri temin eden tüzel kişiler alabilir ve bu sertifika varsa, adres çubuğunda kuruluşun adı ve yeri yeşil renkli görülür ve yanında da yeşil bir asma kilit olur.
Genişletilmiş Doğrulama Sertifikaları tarayıcıların en güvendiği olmanın yanı sıra en pahalı sertifikalardır. Burada da, tarayıcıya bağlı olarak, kuruluşun adına ya da Güvenli kelimesine tıklandığında sertifika hakkında bilgi alınabilir (kimin tarafından ve ne zaman verildiği, geçerlilik süresi).
Bütün bu bilgilerden sonra gezdiğiniz internet sitelerinin güvenlik durumlarına dikkat etmeniz sizin ve geleceğiniz için önemlidir. İnternette güvenli gezmeler.
