SSL sertifikası nedir?
SSL sertifikası, bir web sitesinin kimliğini doğrulayan ve şifreli bir bağlantı sağlayan dijital bir sertifikadır. Bir web sunucusu ve web tarayıcısı arasında şifreli bağlantı oluşturan bir güvenlik protokolü olan SSL'nin açılımı Güvenli Yuva Katmanıdır.
Şirketler ve kuruluşlar, çevrimiçi işlemleri güvence altına almak ve müşteri bilgilerinin gizliliğini ve güvenliğini korumak için web sitelerine bir SSL sertifikası eklemelidir.
Kısacası: SSL, internet bağlantılarının güvenli olmasını sağlar ve suçluların iki sistem arasında aktarılan bilgileri okumasını ya da değiştirmesini engeller. Adres çubuğundaki URL'nin yanında bir asma kilit işareti görüyorsanız bu, ziyaret ettiğiniz sitenin SSL sertifikasıyla korunduğu anlamına gelir.
25 yıl önce kullanılmaya başlamasından beri SSL protokolünün birçok sürümü oldu ve bunların hepsi bir noktada güvenlik sorunlarıyla karşılaştı. Daha sonra, yeni bir isme sahip yenilenmiş bir sürüm olan TLS (Aktarım Katmanı Güvenliği) çıktı ve bugün hala kullanılıyor. Ancak SSL kısaltması terk edilmedi, yani protokolün yeni sürümü çoğunlukla hala eski adıyla anılıyor.
SSL sertifikaları nasıl çalışır?
SSL, kullanıcılar ve web siteleri ya da iki sistem arasında aktarılan verilerin hiçbir şekilde okunamamasını sağlar. Aktarılmakta olan verileri karmaşık hale getirmek için şifreleme algoritmaları kullanır ve bu sayede korsanların bağlantı üzerinden gönderilmekte olan verileri okumasını engeller. Bu veriler arasında isimler, adresler, kredi kartı numaraları veya diğer finansal bilgiler gibi hassas olabilecek bilgiler bulunabilir.
İşlem şu şekilde gerçekleşir:
- 1. Bir tarayıcı ya da sunucu, SSL ile güvenli hale getirilmiş bir web sitesine (yani bir web sunucusuna) bağlanma girişiminde bulunur.
- 2. Tarayıcı ya da sunucu, web sunucusundan kendisini tanımlamasını ister.
- 3. Web sunucusu, yanıt olarak tarayıcı ya da sunucuya SSL sertifikasının bir kopyasını gönderir.
- 4. Tarayıcı ya da sunucu, SSL sertifikasına güvenip güvenmediğine karar vermek için sertifikayı kontrol eder. Sertifikaya güvenirse web sunucusuna bu doğrultuda bir sinyal gönderir.
- 5. Ardından web sunucusu, SSL şifreli oturum başlatmak için dijital olarak imzalanmış bir onay ile yanıt verir.
- 6. Şifreli veriler, tarayıcı veya sunucu ile web sunucusu arasında paylaşılır.
Bu işlem bazen "SSL el sıkışması" şeklinde adlandırılır. Uzun bir işlem gibi görünse de milisaniyeler içinde gerçekleşir.
Bir web sitesi SSL sertifikası ile güvenli hale getirilmişse URL'de HTTPS (Güvenli Köprü Metni Aktarım Protokolü) kısaltması görünür. SSL sertifikası yoksa Secure (Güvenli) anlamına gelen S harfi olmadan yalnızca HTTP kısaltması görünür. Ayrıca URL adres çubuğunda bir asma kilit simgesi de gösterilir. Bu simge, güveni temsil eder ve web sitesini ziyaret edenlere güvence verir.
SSL sertifikasının ayrıntılarını görüntülemek için tarayıcı çubuğundaki asma kilit simgesine tıklayabilirsiniz. Genelde SSL sertifikalarında şu ayrıntılar yer alır:
- • Sertifikanın hangi etki alanı adı için düzenlendiği
- • Sertifikanın hangi kişi, kurum ya da cihaz için düzenlendiği
- • Sertifikanın hangi kişi, kurum ya da cihaz için düzenlendiği
- • Sertifikayı düzenleyen Sertifika Yetkilisi
- • Sertifika Yetkilisinin dijital imzası
- • İlişkili alt etki alanları
- • Sertifikanın düzenlenme tarihi
- • Sertifikanın sona erme tarihi
- • Ortak anahtar (public key - özel anahtar gösterilmez)
SSL sertifikası neden gereklidir?
Kullanıcı verilerinin güvende olmasını sağlamak, web sitesinin sahipliğini doğrulamak, saldırganların sitenin sahte bir sürümünü oluşturmasını engellemek ve kullanıcılara güven vermek için web sitelerinin SSL sertifikasına sahip olması gerekir.
Web sitesi kullanıcılardan oturum açmalarını, kredi kartı numarası gibi kişisel bilgiler girmelerini veya sağlık yardımları ya da finansal bilgiler gibi gizli bilgileri görüntülemelerini istiyorsa verilerin gizliliğini korumak şarttır. SSL sertifikaları çevrimiçi işlemlerin gizli kalmasını sağlar ve kullanıcılara web sitesinin gerçek olup özel bilgileri paylaşmak için güvenli olduğuna dair güvence verir.
Şirketler için asıl önemli olan ise HTTPS web adresi için SSL sertifikasının gerekli olmasıdır. HTTPS, HTTP'nin güvenli versiyonudur; bu da HTTPS web sitelerinin trafiğinin SSL ile şifrelendiği anlamına gelir. Çoğu tarayıcı, SSL sertifikasına sahip olmayan HTTP sitelerini "güvenli değil" olarak işaretler. Bu, kullanıcılara sitenin güvenli olmayabileceğine dair net bir sinyal verir ve henüz yapmamış olan işletmeleri HTTPS'ye geçiş yapmaya teşvik eder.
SSL sertifikası, aşağıdaki gibi bilgilerin güvende olmasını sağlamaya yardımcı olur:
- • Oturum açma bilgileri
- • Kredi kartı işlemleri veya banka hesabı bilgileri
- • Kişiyi tanımlayabilecek bilgiler (tam ad, adres, doğum tarihi, telefon numarası vb.)
- • Yasal belgeler ve sözleşmeler
- • Tıbbi kayıtlar
- • Tescilli bilgiler
SSL sertifikası türleri
Farklı doğrulama seviyelerine sahip farklı SSL sertifikası türleri mevcuttur. Altı başlıca SSL türü şunlardır:
- 1. Genişletilmiş Doğrulama sertifikaları (EV SSL)
- 2. Kuruluş Doğrulama sertifikaları (OV SSL)
- 3. Etki Alanı Doğrulama sertifikaları (DV SSL)
- 4. Wildcard SSL sertifikaları
- 5. Çok Etki Alanlı SSL sertifikaları (MDC)
- 6. Birleşik İletişim Sertifikaları (UCC)
Genişletilmiş Doğrulama sertifikaları (EV SSL)
Bu, en yüksek dereceli ve en pahalı SSL sertifikası türüdür. Genelde veri toplayan ve çevrimiçi ödeme içeren yüksek profilli web siteleri için kullanılır. Bu SSL sertifikası yüklü ise tarayıcı adres çubuğunda kilit simgesi, HTTPS kısaltması, işletmenin adı ve ülke gösterilir. Adres çubuğunda web sitesi sahibine ait bilgilerin gösterilmesi, sitenin kötü amaçlı sitelerden ayırt edilmesini sağlar. Web sitesi sahibi, EV SSL sertifikası almak için etki alanına yönelik özel haklara yasal olarak sahip olduğunu doğrulamak üzere standart bir kimlik doğrulama sürecinden geçmelidir.