Tasarım Kodlama

SSL Nedir Ne İşe Yarar?

SSL veya Türkçe tanımı ile Güvenli Yuva Katmanı(Secure Sockets Layer), şifreleme tabanlı bir İnternet güvenlik protokolüdür. İlk olarak 1995 yılında Netscape tarafından İnternet iletişiminde gizlilik, kimlik doğrulama ve veri bütünlüğünü sağlamak amacıyla geliştirilmiştir. SSL, günümüzde kullanılan modern TLS şifrelemesinin öncülüdür.

SSL/TLS uygulayan bir web sitesinin URL’sinde “HTTP” yerine “HTTPS” bulunur.

SSL/TLS nasıl çalışır?

  • Yüksek derecede gizlilik sağlamak için SSL, web üzerinden iletilen verileri şifreler. Bu, bu verileri ele geçirmeye çalışan herhangi birinin yalnızca şifresini çözmesi neredeyse imkansız olan bozuk bir karakter karışımını göreceği anlamına gelir.
  • SSL, her iki cihazın da gerçekten iddia ettikleri kişi olduğundan emin olmak için iki iletişim cihazı arasında el sıkışma adı verilen bir kimlik doğrulama işlemi başlatır.
  • SSL ayrıca, veri bütünlüğünü sağlamak için verileri dijital olarak imzalar ve hedeflenen alıcıya ulaşmadan önce verilerin kurcalanmadığını doğrular.
  • Her biri bir öncekinden daha güvenli olan birkaç SSL yinelemesi olmuştur. 1999’da SSL, TLS olacak şekilde güncellendi.

SSL/TLS neden önemlidir?

Başlangıçta, Web’deki veriler, mesajı ele geçiren herkesin okuyabileceği düz metin olarak iletildi. Örneğin, bir tüketici bir alışveriş sitesini ziyaret ederse, sipariş verirse ve web sitesine kredi kartı numarasını girerse, bu kredi kartı numarası internette gizlenmeden dolaşacaktır.

SSL, bu sorunu düzeltmek ve kullanıcı gizliliğini korumak için oluşturulmuştur. SSL, bir kullanıcı ile bir web sunucusu arasında gidip gelen herhangi bir veriyi şifreleyerek, veriye müdahale eden herkesin yalnızca karmaşık bir karakter karmaşasını görmesini sağlar. Tüketicinin kredi kartı numarası artık güvende, sadece girdiği alışveriş sitesinde görebiliyor.

SSL ayrıca belirli türdeki siber saldırıları da durdurur: Saldırganların kullanıcıları kandırmak ve verileri çalmak için genellikle sahte web siteleri kurmaya çalışacakları için önemli olan web sunucularının kimliğini doğrular. Ayrıca, bir ilaç konteyneri üzerindeki kurcalamaya karşı korumalı bir mühür gibi, saldırganların aktarım halindeki verileri kurcalamalarını da önler.

SSL ve TLS aynı şey mi?

SSL, TLS (Aktarım Katmanı Güvenliği) adı verilen başka bir protokolün doğrudan öncülüdür. 1999’da İnternet Mühendisliği Görev Gücü (IETF) SSL için bir güncelleme önerdi. Bu güncelleme IETF tarafından geliştirildiğinden ve Netscape artık dahil olmadığı için adı TLS olarak değiştirilmiştir. SSL’nin son sürümü (3.0) ile TLS’nin ilk sürümü arasındaki farklar çok büyük değildir; isim değişikliği, mülkiyet değişikliğini belirtmek için uygulandı.

Çok yakından ilişkili olduklarından, iki terim genellikle birbirinin yerine kullanılır ve karıştırılır. Bazı insanlar hala TLS’ye atıfta bulunmak için SSL kullanıyor, diğerleri ise “SSL/TLS şifrelemesi” terimini kullanıyor çünkü SSL hala çok fazla isim tanıma özelliğine sahip.

SSL hala güncel mi?

SSL, 1996’daki SSL 3.0’dan beri güncellenmedi ve artık kullanımdan kaldırıldığı düşünülüyor. SSL protokolünde bilinen birkaç güvenlik açığı vardır ve güvenlik uzmanları, kullanımının durdurulmasını önerir. Aslında, çoğu modern web tarayıcısı artık SSL’yi hiç desteklemiyor.

TLS, birçok kişi hala “SSL şifrelemesi” olarak adlandırsa da, çevrimiçi olarak uygulanmaya devam eden güncel şifreleme protokolüdür. Bu, güvenlik çözümleri için alışveriş yapan biri için bir kafa karışıklığı kaynağı olabilir. Gerçek şu ki, bugünlerde “SSL” sunan herhangi bir satıcı, 20 yılı aşkın bir süredir endüstri standardı olan TLS koruması sağlıyor. Ancak birçok kişi hala “SSL koruması” araması yaptığından, bu terim hala birçok ürün sayfasında göze çarpmaktadır.

SSL sertifikası nedir?

SSL yalnızca SSL sertifikasına (teknik olarak bir “TLS sertifikası”) sahip web siteleri tarafından uygulanabilir. SSL sertifikası, birinin söylediği kişi olduğunu kanıtlayan bir kimlik kartı veya rozet gibidir. SSL sertifikaları, bir web sitesinin veya uygulamanın sunucusu tarafından Web’de saklanır ve görüntülenir.

Bir SSL sertifikasındaki en önemli bilgilerden biri web sitesinin açık anahtarıdır. Açık anahtar, şifrelemeyi mümkün kılar. Bir kullanıcının cihazı genel anahtarı görüntüler ve bunu web sunucusuyla güvenli şifreleme anahtarları oluşturmak için kullanır. Bu arada web sunucusunun da gizli tutulan bir özel anahtarı vardır; özel anahtar, genel anahtarla şifrelenmiş verilerin şifresini çözer.

Sertifika yetkilileri (CA), SSL sertifikalarının verilmesinden sorumludur.

SSL sertifika türleri nelerdir?

  • Birkaç farklı SSL sertifikası türü vardır. Bir sertifika, türüne bağlı olarak tek bir web sitesine veya birkaç web sitesine uygulanabilir:
  • Tek etki alanı: Tek etki alanı SSL sertifikası yalnızca bir etki alanı için geçerlidir.
  • Joker karakter: Tek alanlı sertifika gibi, joker karakterli bir SSL sertifikası yalnızca bir alan için geçerlidir. Ancak, o alanın alt alanlarını da içerir. Örneğin, bir joker sertifika www.tasarimkodlama.com, blog.tasarimkodlama.com ve info.tasarimkodlama.com’u kapsayabilirken, tek alanlı bir sertifika yalnızca ilkini kapsayabilir.
  • Çoklu alan: Adından da anlaşılacağı gibi, çoklu alan SSL sertifikaları, birbiriyle alakasız birden çok alan adına uygulanabilir.
  • SSL sertifikaları ayrıca farklı doğrulama seviyeleri ile birlikte gelir. Doğrulama seviyesi, arka plan kontrolü gibidir ve seviye, kontrolün eksiksizliğine bağlı olarak değişir.
  • Etki Alanı Doğrulaması: Bu, doğrulamanın en az katı seviyesi ve en ucuzudur. Bir işletmenin yapması gereken tek şey, etki alanını kontrol ettiklerini kanıtlamaktır.
  • Organizasyon Doğrulaması: Bu daha uygulamalı bir süreçtir: CA, sertifikayı talep eden kişi veya işletmeyle doğrudan iletişime geçer. Bu sertifikalar kullanıcılar için daha güvenilirdir.
  • Genişletilmiş Doğrulama: Bu, SSL sertifikası verilmeden önce bir kuruluşun tam arka plan kontrolünü gerektirir.

Bir işletme nasıl SSL sertifikası alabilir?

Cloudflare, herhangi bir işletme için ücretsiz SSL sertifikaları sunar. Cloudflare tarafından korunan bir web sitesi, birkaç tıklama ile SSL’yi etkinleştirebilir. Web sitelerinin kendi kaynak sunucularında da bir SSL sertifikası kurması gerekebilir: bu makale daha fazla talimat içermektedir.

1 yorum