SSL (Secure Sockets Layer) Nedir?

SSL (Secure Sockets Layer/Güvenli Giriş Katmanı), sunucu ve istemci arasındaki ağ trafiğinin verileri, temel olarak RC4 veya IDEA gibi asimetrik şifreleme algoritmaları ile şifreler ve RC4 veya IDEA gibi oturum anahtarını, genel bir anahtar şifreleme algoritması RSA kullanarak şifreler.

SSL (Secure Sockets Layer) Nedir?

SSL Protokolü Nedir?

Secure Socket Layer, 1994 yılında Netscape Communications Corporation tarafından tasarlanan genel bir protokol sistemidir ve İnternet üzerinden güvenli kanallar oluşturması için simetrik kriptografi, asimetrik kriptografi (açık anahtar), dijital sertifikalar ve dijital imzaların ortak kullanımına dayanmaktadır.

Veri iletiminde kullanılan simetrik kriptografik sistemler ile veri gizliliğinin güvenliğini arttırmak için işlem hızından faydalanır ve simetrik anahtarların güvenli alışverişi için asimetrik sistemler kullanılır.

SSL, güvenli bir sunucuya bağlandığında tarayıcıların sol üst kısımdaki yeşil bir asma kilit vasıtasıyla trafiğin güvenli olduğunu bildirir ve güvenli bir sunucu olmasını denetlemek için dijital sertifikada bulunan bilgileri kontrol eder.

SSL, güvenli bir form aracılığıyla gönderilen bilgileri sunucuya şifreli biçimde ilettiğinden, kredi kartı bilgileri gibi verilere güvenli bir ortam sağlar.

Kısacası SSL’nin amacı, İnternet tarayıcıları ile web siteleri arasında güvenli bir bağlantı sağlamak ve özel verileri çevrimiçi ve güvenli olarak iletmektir.

Özellikleri

SSL, kullanıcının bağlanmak istediği bir sunucu arasında soketli düzeyde güvenli bir iletişim kurmak için bir görüşme protokolünü kullarank güvenli bir katman sağlar.

Güvenli web sunucusunun kimliği, gizliliği önemli olan verilerin alışverişine başlamadan önce geçerliliği kontrol etmek için Dijital Sertifikayı kontrol eder ve böylece alınıp gönderilen tüm verilerin bütünlüğü ve sağlaması için Dijital İmzayı kullanır.

SSL, taşıma katmanında bölümlere ayrılmadan ve alt katmanlar tarafından kapsüllenip gönderilmeden önce uygulama katmanından giden verileri şifreleyerek protokol katmanına ek güvenlik oluşturur.

Gönderilecek verilere sıkıştırma algoritmaları uygulayarak büyük blokları parçalara ayırabilir ve alıcıda yeniden birleştirir.

OSI ve TCP/IP referans modellerinde uygulaması olan SSL, Uygulama katmanı ile Taşıma katmanı arasında yer alır ve işletim sistemi soketlerini yapılandırarak ek bir katman olarak görev sağlar ve genellikle 443 numaralı bağlantı noktasını kullanır.

Sürümleri

SSL’nin en güncel sürümü 3.0’dır. Simetrik DES, TRIPLE DES, RC2, RC4 ve IDEA şifreleme algoritmalarını, asimetrik RSA, MD5 hash fonksiyonunu ve SHA-1 imza algoritmasını kullanır.

Nasıl Çalışır?

SSL, kullanıcıya ve uygulamalara şeffaf bir şekilde soketli düzeyde güvenli iletişim kurmak için bir negotiation/görüşme protokolü kullanır.

İstemci, güvenli sunucudan güvenli iletişim istediğinde, sunucu, TCP‘nin üstünde bulunan SSL Record Protocol (Kayıt Protokolü) adlı bir yazılım tarafından yönetilen şifreli bir bağlantı noktası oluşturur.

SSL Record protokolünü ve açık bağlantı noktasını kullanan SSL Handshake Protocol ile istemci ve sunucu arasında güvenli bir iletişim kurulur.

SSL Handshake Protocol çalışma sırasında, istemci ve sunucu, güvenlik geliştirmelerini müzakere etmek için bir dizi mesaj alışverişinde bulunur. İlk aşamada, gizliliğin korunması ve kimlik doğrulaması için kullanılan algoritmalar üzerinde inceleme yapılır.

Anahtarlar hakkında bilgi alışverişinde bulunduğunda anahtar değişim aşaması başlatılır ve böylece sonunda her iki taraf da bir ana anahtarı paylaşır. İstemci ve sunucu arasında veri iletiminin güvenliği için kullanılacak ortam için bir anahtar oluşturulur.

Sunucu doğrulama aşamasında, istemci için sunucu kimliğini doğrulamak için anahtar değişim algoritması olarak RSA kullanılır. Eğer istemci için kimlik doğrulaması gerekiyorsa sunucunun istemciden bir X.509 sertifikası talep ettiği istemci kimlik doğrulaması aşaması başlatılır. Son olarak, istemci ve sunucu arasında güvenli bir oturum başlatılır.

SSL Record Protocol, iletilen ve alınan verilerin kapsüllenme yöntemini belirtir. Protokolün veri bölümü MAC-DATA (mesajın kimlik doğrulama kodu), ACTUAL-DATA (iletilecek uygulama verileri) ve PADDING-DATA (blok şifrelemeyi kullanırken mesajı doldurmak için gereken veriler) olmak üzere üç bileşene sahiptir.

Niçin Kullanılır?

SSL protokolü, müşterilerini korumak ve çevrimiçi işlemlerinin gizli kalmasını sağlamak için milyonlarca e-ticaret websitesi ve banka sistemleri tarafından kullanılmaktadır.

Kredi kartı bilgileri, parolalar veya kişisel bilgiler gibi gizli veriler gerektiren bir web sayfası SSL şifrelemesi kullanarak güvenliği üst seviye çıkarmalıdır.

Tüm web tarayıcılarında kullanılan websitelerinin sertifikası Comodo, Cloudflare, Let’s Encrypt gibi tanınmış bir sertifika yetkilisinden olduğu sürece güvenli sitelerle hem alışveriş hem de para transferleri gerçekleştirilebilir.

Neden Gereklidir?

İnternet, çevrimiçi iş yapan şirketler için yeni küresel iş fırsatları doğurdu fakat bu büyüme, banka hesap numaralarının ve kredi kartı bilgilerinin çalınması gibi her türlü saldırı girişiminde bulunan dolandırıcıları ve siber suçluları da cezbetti.

Bir bilgisayar ile büyük bir websitesi arasındaki bağlantı şifrelenmezse, orta derece bilgi sahibi olan herhangi bir bilgisayar korsanı tarafından veri trafiği kolayca dinlenebilir.

Çevrimiçi platformlarda bu tür saldırıların önüne geçilmesi ve online işlemlerde girilen kullanıcıların özel verilerinin bir başkası tarafından elde edilememesi için SSL kullanmak son derece gereklidir.

Websitelerine Sertifikalar Nasıl Verilir?

Websitelerine SSL sertifikaları bir CA (Certificate Authority/Sertifika Yetkilisi) tarafından verilir.

Bir CA, sertifikayı talep eden şirketin kimliğini ve talepte bulunan kişinin sertifikadaki bilgilerini inceleyip onayladıktan sonra bir sertifika verir.

Bir websitesine verilen sertifikalar, CA’ya ait olan alana yani Trusted Root (Güvenilir Kök) sertifikasına eklenir ve bu sertifikalar, Google Chrome, Mozilla Firefox, Opera ve Internet Explorer gibi popüler tarayıcılarda Certificate Store (Sertifika Deposu) kısmına eklenir.

Bu tarayıcılardan herhangi biri, sertifika deposunda köke eklenmiş bir websitesi sertifikası bulduğunda HTTPS bağlantısının oluşturulmasına izin verir.

Eğer bir websitesine ait sertifika bulunmazsa, son kullanıcı bağlantının güvenli olmadığı ve herhangi özel bir bilgi girmemesi konusunda uyarılır.

Bu sertifikalar yasal olarak sorumlu şirketlere veya kişilere verilir, ayrıca genellikle alan adı, şirket adı, adres, şehir, eyalet ve ülke bilgilerini içerebilir. Bir düzenleme tarihi ve sona erme tarihinin yanı sıra sertifikayı veren sertifika yetkilisine ait bilgileri de içerebilir.

Bir tarayıcı bir websitesine HTTPS bağlantısı kurmak istediğinde, tarayıcı, websitenin sertifikasını alır ve süresinin dolmadığını ve sertifika deposundaki bir köke ait kontrol eder.

Eğer kontrol aşamasında, bu kontrollerden herhangi biri başarısız olursa, tarayıcı son kullanıcıya bir uyarı görüntüler.

Sertifikaların Kullanımına Göre Farklılıkları

Online platformlarda kullanılan sertifikaların kullanımına göre başlıca farklılıkları olabilir. Bu farklılıklar, sertifikanın geçerlilik süresi, sertifikanın oluşturulma ve yönetimi, sertifikanın bağımsız çalışabilirliği ve sertifikanın tarayıcılardaki adres konumundaki isimleridir.

   Sertifikanın Geçerlilik Süresi

Sertifikaların ücretli veya ücretsiz olması arasındaki en önemli fark, sertifikaların geçerlilik süresidir. Ücretli sertifikaların çoğu 12-24 ay aktif olarak kullanılabilirlen, ücretsiz olanların süresi genellikle 90 gün sonra son erer ve kullanıcıya tarayıcı tarafından uyarılar gönderilir. Bu süre aşımında ücretsiz sertifikanın yenilenmesi manuel işlem gerektirir.

   Sertifikanın Oluşturulma ve Yönetimi

Bir sertifikaya sahip olmak için ödeme yapılıyora, sertifika oluşturma ve yönetme süreçleri için gerekli araçlara erişim yetkisine sahip olunur. Ücretsiz bir sertifika işlemlerinde, yönetim araçlarına ulaşılamaz ve bu yüzden bu işlemler belirli süreler boyunca manuel olarak kullanıcı tarafından gerçekleştirilir.

   Sertifikanın Bağımsız Çalışabilirliği

Ücretsiz bir SSL/TLS sertifikası, sadece tek bir domain/alan adı adresi için oluşturulur, fakat ücretli bir sertifika ile farklı projeler oluşturulabilir.

   Sertifikanın Tarayıcılardaki Adres Konumundaki İsimleri

Oluşturulan web tabanlı projeler veya e-ticaret websiteleri özel ve ücretli bir sertifika ile korunuyorsa, tarayıcıların adres çubuğunda şirket adı görüntülenir. Bu özellik ücretsiz bir sertifika ile elde edilemez.

Ücretli ve Ücretsiz Sertifikalar Arasındaki Farklar

Ücretsiz SSL Sertifikası
Ücretli SSL Sertifikası
Sadece bir alan için geçerlidirler.
Farklı projeler için kullanılabilirler.
Şirketler için geçerli değillerdir.
Şirketler ve bazı projeler için geçerlidirler.
Temel güvenlik sunarlar.
Daha fazla güvenlik sunarlar.
Sertifika yönetimini kendiniz halletmelisiniz.
SSL sertifikasını yönetmek için bazı araçlara sahiptirler.
Genellikle sadece üç ay geçerlidirler.
Genellikle 12 ile 24 ay arasında geçerlidirler.
Tüm tarayıcılar bu sertifikaları tanımayabilir.
Tüm tarayıcılar tarafından tanınırlar.
Kullanıcılar HTTPS görebilir fakat sertifika kullanıcılar tarafından görülemez.
Kullanıcılar hem HTTPS hem de sertifikayı görebilirler.

Avantajları

Çevrimiçi e-ticaret veya bankacılık gibi gizli ve özel işlemler için şifreleme olmazsa olmazlardan biridir. Bu şifreleme sürecini ve güvenliği sağlayan SSL protokolü, kişilerin bilgilerini korur ve online alışveriş platformlarında güvenli bir süreç başlatır.

Bir SSL sertifikası, bir websitesini görüntüleyen kullanıcılara güven verir ve online platformaların müşterileri daha fazla güven duyabileceği için şirketin büyüme potansiyelini arttırır.

SSL’nin bilgisayar işletim sistemlerinden bağımsız olarak çalışması büyük bir avantajdır. Çünkü ne tür bir tarayıcı kullanıldığı önemli değildir ve herhangi bir ek yazılım gereksinimi olmadığı için herkes herhangi bir sınırlama olmaksızın şifreleme ile websitelerine güvenli bağlantı kurabilir.

Dezavantajları

SSL sertifikalarının günümüzdeki önemi çok büyüktür fakat az da olsa bir dezavantajı vardır. Bir websitenin yüklenme süresi kullanıcı deneyimini büyük ölçüde etkiler, SSL ile güvenliği sağlanan bir sunucu web sayfalarını yüklemesi daha uzun sürer.

Eğer herhangi bir websitesi büyük ölçüde güvenlik duvarı kuralları veya belirli kısıtlamalar içeriyorsa, SSL sertifikası ile HTTPS bağlantısının kurulması uzun sürebileceği için web sayfası görüntüleme süresi artar, bu da bazı kullanıcılar için bir dezavantaj olabilir.

Bu yüzden online platformların hem güvenliği hem de sertifikaların yüklenme süreleri ele alınarak yapılandırılmalıdır.

   İlgili Yazılar


TLS Nedir?
NNTP Nedir?
ICMP Protokolü
WWW Nedir?
HTML Dili

Add a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: