SSL (Secure Sockets Layer) Nedir? | Web Güvenliğinin Temelleri

Hızlı Bakış

SSL, istemci ile sunucu arasında el sıkışma protokolüyle ortak bir oturum anahtarı oluşturup tüm veriyi şifreleyen güvenli bir iletişim katmanıdır. Bu süreç, sunucunun dijital sertifikasını doğrulamak için asimetrik RSA algoritmasını kullanıyor. Ardından simetrik RC4 veya DES şifresiyle veri kanalını kapatıyor. Kayıt protokolü, mesaja MAC ekleyip bütünlüğü garanti altına alıyor. Tarayıcıda görünen asma kilit simgesi, sertifika yetkilisi tarafından onaylanmış bir bağlantıyı işaret ediyor. Bu sayede kredi kartı bilgileri ve şifreler, üçüncü taraflarca okunamadan güvenle aktarılıyor.

Son Güncelleme:
Yazar:
Kategori:Ağ Güvenliği & Saldırıları
Okuma Süresi:14 dakika

SSL (Secure Sockets Layer), güvenli internet iletişimi sağlar. Ayrıca, verileri RC4 veya IDEA gibi asimetrik şifreleme algoritmaları kullanarak şifreler. SSL protokolü, oturum anahtarını RSA ortak anahtar şifrelemesi ile korur.

SSL Sertifikası Nedir?

SSL Protokolü Nedir?

Netscape Communications Corporation tarafından 1994 yılında tasarlanan Secure Socket Layer, kriptografik teknikler kullanır. Sonuç olarak, dijital sertifikalar ve imzalar kullanarak belirli İnternet kanalları oluşturur.

Simetrik kodlar, bilgi gönderirken veri iletimini daha güvenli ayrıca hızlı hale getirir. Ayrıca asimetrik sistemler, gizli anahtarların güvenli şekilde değiş tokuş edilmesini mümkün kılar. SSL, sunucuya bağlanıldığında tarayıcılarda yeşil bir asma kilit gösterir. Ayrıca, dijital sertifika aracılığıyla sunucunun güvenliğini doğrular.

SSL, şifreli biçimde iletilen kredi kartı bilgileri için veri güvenliğini sağlar. Sonuç olarak, önemli veriler için güvenli ortam sağlar. Ayrıca SSL sertifikası, tarayıcılar ayrıca web siteleri arasında güvenli bağlantı sağlamayı amaçlar. Ayrıca, özel verileri çevrimiçi olarak hassas bir şekilde iletir.

SSL Protokolünün Özellikleri

SSL, bir anlaşma protokolü kullanarak soket düzeyinde güvenli katman oluşturur. Yani, kullanıcı ile sunucu arasında güvenli bir katman sağlar. Güvenli web sunucusu, geçerliliğini sağlamak için Dijital Sertifikayı doğrular. Veri bütünlüğü, kimlik doğrulama ve gizlilik koruması için Digital Signature (Dijital İmza) kullanır.

SSL, istisnai iletişimde verilerinizi gizli koda dönüştürerek işleri daha güvenli hale getirir. Bilgilerinizi hedefine göndermeden önce güvende ve gizli tutar.

Sıkıştırma, blokları ayırır ve alıcıda yeniden birleştirir. Bu işlem aynı zamanda veri aktarımını da hızlandırır. Ayrıca iletimi iyileştirmek için veri boyutunu da azaltırlar. OSI ve TCP/IP referans modelleri SSL’yi yerleştirir. Application (Uygulama) & Transport (Taşıma) katmanları arasında yer alır ve bir ara katman sağlar.

Ek olarak, işlevselliği artırır. Bunu, 443 numaralı bağlantı noktasındaki işletim sistemi yuvalarını yapılandırarak yapar.

SSL Sürümleri

En son SSL sürümü 3.0’dır. Simetrik DES, TRIPLE DES, RC2, RC4 ve IDEA gibi şifreleme algoritmalarını içerir. Ayrıca asimetrik RSA, MD5 hash işlevi & SHA-1 imza algoritmasını destekler.

SSL Nasıl Çalışır?

SSL, güvenli iletişim kurmak için bir anlaşma standardı kullanır. Kullanıcılara veya uygulamalara şeffaflık sağlayan soket düzeyinde gerçekleşir.

Bir istemci güvenli iletişim istediğinde, sunucu şifreli bir bağlantı noktası oluşturur. Böylece güvenli bir bağlantı kurar. SSL Record Protocol (Kayıt Protokolü) yazılımı bu portu yönetir ve TCP üzerinde çalışır.

SSL, Handshake (El Sıkışma) Protokolü güvenli iletişim sağlar. Bu, kayıt protokolünü ve açık bağlantı noktasını kullanan istemci ve sunucuyu içerir.

SSL, Handshake Protokolü gerçekleştiğinde, istemci ve server mesaj göndererek iletişim kurar. Bu mesajlar İnternet’i daha verimli hale getirmeyi amaçlar. İlk bölüm, veriyi gizli tutmanın ve size ait olduklarından emin olmanın yollarını inceler.

Bilgi alışverişi sırasında kritik bir aşama gerçekleşir. Bu aşama, her iki tarafça paylaşılan ana anahtar oluşturur. Daha sonra, istemci & sunucu arasındaki veri aktarım güvenliği için anahtar oluşturur. Sunucu doğrulamasında, anahtar değişim algoritması olarak RSA’yı kullanır. İstemci için sunucunun kimliğini doğrular.

İstemci kimlik doğrulama gerektiriyorsa, istemci kimlik doğrulama aşamasını başlatır. Sunucu, güvenli oturum oluşturarak istemciden X.509 sertifikası ister.

SSL Kayıt Protokolü, verilerin nasıl paketlendiği ya da gönderildiği ile ilgilidir. Ayrıca, iletişimin güvenli ayrıca korumalı olmasını sağlar.

Bu nedenle protokolün veri kısmı üç bileşene sahiptir;

  1. MAC-DATA (mesajın doğrulama kodu)
  2. ACTUAL-DATA (uygulama verilerini gönderir)
  3. PADDING-DATA (blok şifreleme kullanarak mesajı doldurmak için gereken veriler)

Neden Güvenli Sertifika Kullanıyoruz?

SSL, milyonlarca web sitesi ve banka için çevrimiçi işlemleri güvence altına alır. Ek olarak, müşteri verilerini korur. Bir web sayfasının güvenlik için SSL şifrelemesine ihtiyacı vardır. Ayrıca, kredi kartları ve şifreler gibi gizli verileri de korur.

Güvenli siteler, Comodo veya Let’s Encrypt gibi tanınan sertifika yetkililerini kullanır. Böylece alışveriş ve para transferleri güvende kalır.

Güvenli Sertifika Neden Gereklidir?

Küresel ağ, çevrimiçi iş yapan şirketler için yeni küresel iş fırsatları oluşturdu. Ancak bu büyüme aynı zamanda dolandırıcıları ve siber suçluları da cezbetti. Yani, hassas bilgileri çalmak için saldırı girişiminde bulunurlar.

Herhangi bir bilgisayar korsanı veri trafiğini engelleyebilir. Şifreleme, bilgisayar ile web sitesi arasındaki bağlantıyı güvence altına alarak müdahaleyi önler. Çevrimiçi platformlarda saldırıları önlemek için SSL sertifikası kullanmak çok önemlidir. Böylece, özel kullanıcı verileri çevrimiçi işlemlerde güvende kalır.

Web Sitelerine Sertifika Nasıl Verilir?

Sertifika Yetkilisi (CA – Certificate Authority), web sitelerine SSL sertifikaları verir. Bir CA, şirketin kimliğini doğruladıktan sonra sertifika verir. Bu sertifika, talep eden kişinin bilgilerini içerir.

Certificate Authority (Güvenilir Kök Sertifikası – CA etki alanı), web sitesine verilen sertifikaları ekler. Bundan dolayı, aşağıdaki popüler tarayıcılar SSL sertifikaları saklar;

  • Google Chrome
  • Mozilla Firefox
  • Opera
  • İnternet Explorer

Tarayıcılar, mağazada köklü web sitesi sertifikalarını kontrol eder. Bulunursa, HTTPS bağlantılarına izin verirler. Böylece sunucu, kullanıcı ile kendisi arasında güvenli iletişim kurar. Sistem bir sertifika bulamazsa, son kullanıcıyı güvenli olmayan bir bağlantı konusunda uyarır. Bu nedenle, herhangi bir özel bilgi girmemeyi tavsiye eder.

Yasal olarak sorumlu şirketler veya etki alanı ayrıca şirket detaylarına sahip kişiler sertifika alır. Bu bilgiler genellikle alan adını, şirket adını, adresi & konumu içerir. Sertifika yetkilisi, veriliş/son kullanma tarihleri hakkında bilgi içerebilir. Sonuç olarak, kullanıcılar sertifikanın meşruiyetini doğrulayabilir.

Tarayıcı bir HTTPS bağlantısı kurar. Sertifikanın süresinin dolmasını kontrol eder. Ayrıca, sertifikanın kökünü de içerir. Ayrıca, sertifikanın yasallığını sertifika deposundan sağlar. Kontrol aşamasında bu kontroller başarısız olursa tarayıcı son kullanıcıyı uyarır.

Sertifika Kullanımlarına Göre Farklılıklar

Çevrimiçi platformlarda kullanılan sertifikalara bağlı olarak önemli farklılıklar olabilir. Farklılıklar, sertifikanın geçerlilik süresini, bağımsız çalışabilirliği ve tarayıcı adres adlarını içerir. Ayrıca, bu faktörler sertifikanın yönetimini veya kullanımını etkiler.

  1. Sertifika Geçerlilik Süresi

Kritik fark, sertifikaların geçerlilik süresidir. Ücretli sertifikaların geçerlilik süreleri daha uzundur. Ücretsiz olanlardan daha kısadır. Ücretli sertifikalar 12-24 ay boyunca aktifken, ücretsiz sertifikalar 90 gün sonra sona erer. Bundan sonra, sertifikalar sona yaklaştığında tarayıcılar kullanıcıları uyarır. Bu amaçla, ücretsiz sertifikanın yenilenmesi manuel işlem gerektirir.

  1. Sertifika Oluşturma ve Yönetme

Bir sertifika için ödeme yaptıysanız, onu oluşturmak ve yönetmek için gerekli araçlara erişebilirsiniz. Ücretsiz sertifikalar, yönetim araçlarından yoksundur ve bir süreliğine manuel işlemlere ihtiyaç duyar. Bu yüzden, kullanıcıların sertifika görevlerini kendilerinin halletmesi gerekir.

  1. Sertifikanın Bağımsız İstihdam Edilebilirliği

Ücretsiz SSL/TLS sertifikası: bir alan adresi. Ücretli sertifika: birçok projeye izin verilir. Dolayısıyla ücretli sertifikalar, farklı alanlar için daha fazla esneklik ve çok yönlülük sunar.

  1. Tarayıcılardaki Adres Konumundaki Sertifika Adları

Şirket adı, tarayıcının adres çubuğunda görünür. Web tabanlı projeler veya e-ticaret siteleri bunu kullanır. Eşsiz bir ücretli sertifika güvenliği sağlar. Ancak, bu özellik ücretsiz bir sertifikada mevcut değildir.

Ücretli ve Ücretsiz Sertifikalar Arasındaki Farklar

Ücretsiz SSL Sertifikası
Ücretli SSL Sertifikası
Sadece bir alan için geçerlidirler.
Bunları farklı projeler için kullanabilirsiniz.
Şirketler için geçerli değiller.
Şirketler ve bazı projeler için geçerlidir.
Temel güvenlik sunarlar.
Daha fazla güvenlik sunar.
Sertifika yönetimini kendiniz halletmelisiniz.
SSL sertifikasını yönetmek için bazı araçları var.
Genellikle sadece üç ay geçerlidirler.
Genellikle 12 ile 24 ay arasında geçerlidirler.
Tüm tarayıcılar bu sertifikaları tanıyamaz.
Tüm tarayıcılar onları tanır.
Kullanıcılar HTTPS’yi görebilir, ancak sertifika kullanıcılar tarafından görülmez.
Kullanıcılar hem HTTPS’yi hem de sertifikayı görüntüleyebilir.

SSL Sertifikası Kullanmanın Avantajları

Şifreleme, çevrimiçi e-ticaret ve bankacılık gibi gizli işlemler için gereklidir. Sonuç olarak, hassas faaliyetler sırasında veri gizliliğini ve güvenliğini sağlar. SSL protokolü, çevrimiçi alışveriş platformlarında kullanıcıların bilgilerini koruyan şifreleme ve güvenlik sağlar. Ayrıca, daha güvenli çevrimiçi işlemlere işlem başlatır.

Bir SSL sertifikası, kullanıcı güvenini artırır ve bir şirketin büyüme potansiyelini artırır. Bu nedenle online platformlar müşterileri ile daha etkin bir güven ilişkisi kurabilmektedir. SSL sertifikası, işletim sistemlerinde çalışır. Ayrıca önemli bir avantaj sağlar.

Kullanılan tarayıcının hiçbir önemi yoktur ve daha fazla yazılıma ihtiyacınız yoktur. Sonuçta, herkes güvenli bağlantı kurabilir. Ek olarak, herhangi bir kısıtlama yoktur.

Secure Sockets Layer Dezavantajları

SSL sertifikaları günümüzde hayati öneme sahiptir, ancak küçük bir dezavantajı vardır. Web sitesi yükleme süresi, kullanıcı deneyimini etkiler; SSL korumalı sunucuların yükleme süreleri vaki alır.

Herhangi bir web sitesinin ağır güvenlik duvarı kuralları veya belirli kısıtlamalar içerdiğini varsayalım. SSL sertifikasıyla HTTPS bağlantısı kurmak daha uzun sürebilir. Dolayısıyla bu, belirli kullanıcılar için bir dezavantaj olabilecek web sayfası yükleme süresinin artmasına neden olabilir.

Çevrimiçi güvenlik ve sertifika yükleme sürelerini yapılandırabilirsiniz. Bu nedenle, dikkatli değerlendirme performans ve güvenliği sağlar.

SSL Web Güvenliği Hakkında SSS

Tarayıcıda beliren o yeşil asma kilit verilerimi nasıl koruyor, neyin garantisi bu?

O kilit, hattın ucundaki sunucuyla aranızda şifreli bir tünel açıldığını gösterir. Kredi kartı numaranız veya şifreniz artık düz metin olarak akmaz. Ağdaki kötü niyetli biri paketleri yakalasa bile içindekini okuyamaz.
Bu güvenlik katmanı iki ayrı şifreleme yöntemini ustaca birleştirir. Önce sunucunun kimliği asimetrik anahtarlarla doğrulanır, sonra veri akışı simetrik şifreyle hızlanır. Açıkçası insan gözüne sadece ufak bir simge olarak yansısa da arka planda ciddi bir matematik savaşı döner.
Kimlik doğrulama da işin can damarıdır. Sertifika yetkilisi denen güvenilir üçüncü kurumlar sunucunun gerçekten iddia ettiği banka veya mağaza olduğunu onaylar. Kilit simgesine tıklayıp bu dijital kimliği siz de saniyesinde kontrol edebilirsiniz.

SSL ile TLS arasında hala kafa karışıklığı var, eski SSL tamamen öldü mü?

SSL adını anmak hâlâ alışkanlık olsa da 3.0 sürümüyle birlikte sahneden çekildi. Bugün tarayıcılar bu eski protokolü güvensiz bularak varsayılan olarak engelliyor. Yani evet, güvenlik anlamında SSL tamamen öldü diyebiliriz.
Perde arkasında şu an çalışan asıl aktör TLS 1.2 ve 1.3 sürümleridir. Daha hızlı el sıkışma ve çok daha sağlam şifre paketleri sunar. Zira POODLE gibi meşhur saldırılar SSL 3.0’ın zayıf karnını hedef almıştı.
Sektörde hala SSL sertifikası denmesi tamamen pazarlama takıntısıdır. Siz bir sitenin güvenliğini sorgularken adres çubuğundaki asma kilide değil, bağlantının TLS 1.3 ile kurulup kurulmadığına odaklanın.

Sertifika otoriteleri neye göre güvenilir, kimse sahte sertifika üretemez mi?

Tarayıcınızın içinde güvenilir kök sertifika depoları hazır gelir. Comodo veya Let’s Encrypt gibi otoriteler bu listeye girebilmek için çok sıkı denetimlerden geçer. Dolayısıyla listede olmayan bir imza, anında kırmızı uyarı ekranıyla cezalandırılır.
Bir saldırgan sahte sertifika üretse bile zincirleme güven modeli buna izin vermez. Tarayıcı sertifikayı en tepedeki köke kadar sorgular, zincirde kopukluk varsa bağlantıyı keser. Buna karşın devlet destekli bazı müdahaleler tarihte zinciri manipüle etmeyi denemiştir.
Kullanıcı olarak elinizdeki en büyük güç adres çubuğundaki uyarıları ciddiye almaktır. Sertifika uyarısını atlayıp siteye girenler bütün bu kurumsal güvenlik katmanını çöpe atar. Bir anlık ihmal, banka bilgilerinizi saniyesinde kaptırabilir.

Ücretsiz sertifika alsam banka gibi hassas işlemlerde güvenilir mi, ne farkı var?

Ücretsiz olanlar tamamen otomatik olarak alan adı sahipliğini doğrular. Şifreleme gücü ücretli olanla birebir aynıdır, verileriniz yine kırılamaz. Ancak şirketin ticari kimliğini doğrulamaz, sadece bağlantıyı şeffaf bir tünele sokar.
Ücretli ve genişletilmiş doğrulamalı sertifikalar tarayıcıda firmanın yasal adını da yeşil çubukta gösterir. Örneğin bir bankanın sitesinde bu detayı görürseniz sahtecilik riski sıfıra iner. Neticede e-ticaret devleri bu yüzden ekstra ücret öder.
Küçük bir blog veya portföy sitesi için ücretsiz olanlar idealdir. Bankacılık gibi bir alandaysanız mutlaka EV SSL tercih edin. Unutmayın, kilit sadece hattı korur, karşıdaki kişinin niyetini asla garanti etmez.

SSL şifreli bağlantılar web sitemin hızını baltalar mı, performans etkisi ne?

Eski donanımlarda şifreleme yükü hissedilirdi ama artık o devir kapandı. Günümüz işlemcileri bu işlemleri donanım seviyesinde çatır çatır yapar. Üstelik oturum yeniden başlatma özelliği sayesinde her seferinde sıfırdan tokalaşma maliyeti ödemezsiniz.
Sayfa yüklenme süresine etkisi milisaniyelerle ölçülür, kullanıcı bunu fark edemez. Asıl performans düşmanı kötü yapılandırılmış sunucu ayarlarıdır. Güncel bir protokol sürümü kullanırsanız bazı durumlarda hızlanma bile görürsünüz.
Arama motorları da güvenli siteleri sıralamada öne çıkarır. Yani bu güvenlik katmanı hem hızı kesmez hem de SEO puanınızı artırır. Doğru kurulumla güvenliği alıp performansı da cebinize koyarsınız.

O meşhur el sıkışma anında sunucuyla tarayıcı arasında neler yaşanıyor?

Tarayıcı sunucuya desteklediği şifre takımlarını sıralayan bir merhaba paketi gönderir. Sunucu kendi dijital kimlik kartını yani sertifikayı yollar. Hemen ardından taraflar asimetrik şifreleme ile geçici bir ortak anahtar üretir.
Bu ortak anahtar artık simetrik şifreleme için kullanılır, çünkü büyük veri akışını hızlı işlemenin tek yolu budur. Sonuçta bütün bu karmaşık dans saniyeden kısa sürer. Siz sayfanın yüklendiğini görürken arka planda güvenlik çoktan sağlanmıştır.
Kayıt protokolü de bu aşamadan sonra devreye girer. Veriler bloklara bölünür, sıkıştırılır ve her parçaya bütünlük mührü vurulur. Böylece gönderdiğiniz şifre paketi ne değiştirilebilir ne de yolunu şaşırır.

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

Tolga Bagci

PRO

Bilgisayar Uzmanı Sistem Sanallaştırma

Merhaba, ben Tolga, 20 yıllık tecrübeye sahip bilgisayar uzmanıyım. Donanım, sistemler, ağlar, sanallaştırma, sunucular ve işletim sistemleri gibi bilgisayar sorunlarının giderilmesine yardımcı oluyorum. Yararlı bilgiler için web siteme göz atın ve bana herhangi bir şey sormaya çekinmeyin. En yeni teknolojilerden haberdar olun!

1239 Makale

İlk yorumu sen paylaş