Let's Encrypt ile web sitenizi güven altına alın!

Yayınlanan: 2016-11-22

Let's Encrypt, web sitenizin HTTP trafiğini güvence altına almanın ücretsiz ve otomatik bir yolunu sağlayan bir girişimdir. Güvenli HTTPS kurmak her zaman ilgili bir süreçti ve tüm süreci insanlar için daha basit ve daha anlaşılır hale getiren her türlü çabayı desteklemekten mutluluk duyuyoruz.

Genel olarak konuşursak, web sitenizde HTTPS'yi etkinleştirmek için bir Sertifika Yetkilisinden (CA) bir güvenlik sertifikası almanız gerekir. Sertifika Yetkilisi, bir web sitesinin kimliğini ziyaretçilerinize doğrulayabilen güvenilir bir üçüncü taraf olarak kabul edilir. Güvenlik sertifikası (SSL sertifikası da denir) web sunucusuna yüklenir ve iki işlev sağlar: a) Web siteniz ve ziyaretçileriniz arasındaki tüm HTTP trafiğini şifreler b) Web sitenizin kimliğini doğrular, böylece ziyaretçileriniz, web sitenizin kimliğini doğrular. sahte birini ziyaret etmemek.

 Web sitenizin kimliğini ve ziyaretçi trafiğini güvence altına almak, buradaki bariz faydadır, ancak daha fazla açıklama gerektiren birkaç tane daha var.

Let's Encrypt'ten önce, açık anahtar sistemlerine aşina olmayan kullanıcılar için biraz kafa karıştırıcı bir süreç olan istediğiniz sertifika türünü seçmeniz gerekiyordu, ardından anahtarlarınızı oluşturmanız, bir Sertifika Oluşturma İsteği imzalamanız ve son olarak önemli miktarda harcamanız gerekiyordu. Bir tane satın almak için para.

Bekle, ama SSL nedir?

Güvenli Yuva Katmanı veya SSL, bir ağın iletişimini güvence altına alan bir şifreleme protokolüdür. İletişimin gizliliğini sağlar, yani iki taraf arasında değiş tokuş edilen veriler şifrelenir ve üçüncü bir tarafça gizlice dinlenemez. Ayrıca, daha önce bahsettiğimiz SSL sertifikasını kullanarak iletişim kuran tarafların, genellikle sunucunun kimliğini de doğrular.

Bir web sitesinin güvenli olup olmadığını nasıl anlarsınız?

SSL ile güvence altına alınan web siteleri birkaç şeyle kolayca tanımlanabilir:

https-kırpılmış
  • URL adresinin yanında yeşil bir asma kilit simgesi vardır (hangi tarayıcıyı kullandığınıza bağlı olarak)
  • URL, http yerine https ile başlar.

Ancak SSL sertifikalarının da bir son kullanma tarihi vardır. Bu tarih geçtiğinde, iletişim artık güvenli değildir ve sertifikanın yenilenmesi gerekir. Önce asma kilit simgesine tıklayarak ve kullandığınız tarayıcıya bağlı olarak aşağıdakileri yaparak web sitenizin SSL sertifikasının süresinin dolup dolmadığını kolayca kontrol edebilirsiniz:

Firefox'ta sağdaki ok düğmesini ve ardından Daha Fazla bilgi bağlantısını tıklayın. Son olarak, sertifika ayrıntılarını görüntülemek için Güvenlik sekmesinin altındaki Sertifikayı Görüntüle düğmesine tıklayın.

Chrome kullanıyorsanız Ayrıntılar bağlantısını ve ardından Güvenlik Genel Bakış sekmesi altındaki Sertifikayı görüntüle düğmesini tıklayın.

Geçerlilik Süresi bölümünde, sertifika ile ilgili iki tarih bulunmaktadır. Yayınlanma Tarihi ve Sona Erme Tarihi . Birincisi sertifikanın etkinleştirildiği tarih, ikincisi ise son kullanma tarihidir. Sona Erme Tarihi geçtiyse, sertifikanın yenilenmesi gerekir ve iletişim artık güvenli değildir!

SSL'yi neden önemsiyorsunuz?

Pekala, bir takım sebepler var! Web siteniz ve ziyaretçileriniz arasındaki iletişimi güvence altına almak, web sitenizin kimliğini doğrulamak, tarayıcı ve web sunucusu arasında veri bütünlüğünü sağlamak ve hatta daha yüksek bir SEO sıralaması elde etmek.

Güvenli iletişim ve kimliği doğrulanmış kimlik kulağa hoş şeyler gibi geliyor, ancak web sitenizi neyden koruyorlar? Konsept bazılarına belirsiz görünebilir. Gerçekte bu ikisi, bilgisayar güvenliğinde belgelenen belki de en klasik saldırı yöntemlerinden biriyle savaşmak için birlikte çalışır. "Ortadaki adam" saldırısı (veya kısaltılmış, MitM).

Pressidium ile web sitenizi barındırın

60 GÜN PARA GERİ GARANTİSİ

PLANLARIMIZI GÖRÜN

Alice tarafından işletilen ve Bob tarafından ziyaret edilen bir web sitemiz olduğunu varsayalım (saldırı sadece web sitelerinde değil, farklı hizmetlerde de çalışır). Çok uzak çok iyi. Sonra Charles adında bir kötü adam var (bilgisayar güvenliğindeki kötü adamlara nedense genellikle Charles denir. Kuru martiniler ve gizli saklanma yerleri akla gelir.)

Charles, bu makalede ele alınamayacak kadar karmaşık bir dizi farklı teknik kullanarak, Alice ve Bob arasındaki iletişim kanalının kontrolünü ele geçirir. Aralarında sessizce ve görünmez bir şekilde oturuyor.

ortadaki adam

Bob, Alice'in web sitesini ziyaret ettiğinde, Alice'den veri gönderip aldığını düşünür. Gerçekte, gönderdiği veriler Charles'tan geçer ve o da onları Alice'e iletir (bunu yapmadan önce onları saklamak veya kötü bir şekilde kurcalamak için emin olun). Alice'in web sitesi yanıt verdiğinde, veriler tekrar Charles'tan Bob'a geçer. Bu tam olarak güçlü bir telefon dinlemeye sahip olmak gibi. Charles, e-postalar, parolalar ve kredi kartları gibi hassas verileri depolayabilmenin yanı sıra, Alice'in web sitesinin veya Bob'un web tarama oturumunun bazı bölümlerini bile taklit edebilir.

Burada iki SSL müttefikimizin, kimliği doğrulanmış kimliğimizin ve güvenli iletişimin kurtarmaya geldiği yeri görüyoruz!

Web siteniz SSL ile korunduğunda, ortadaki adam saldırılarını gerçekleştirmek çok daha zor hale gelir. Bob, Alice'in web sitesine bağlandığında, sunucunun sertifikasını alır ve bunu CA'ya karşı doğrular. Sertifika doğrulandıktan sonra, sunucu ve istemci bazı ek bilgi alışverişinde bulunur ve ardından veri iletişimi başlar (ne tür bir şifre kullanacakları gibi, el sıkışma adı verilen bir işlem). Charles, Bob'a kendi ortak anahtarını göndererek Alice'in kimliğine bürünmeye çalışsaydı, çok ileri gitmezdi. Sertifikanın içinde, dosyanın bütünlüğünü sağlayan dijital imza adı verilen bir veri dizisi vardır. Sertifikanın herhangi bir kısmı değişirse imza da değişir.
Bu nedenle, Charles ortak anahtarı değiştirmeye çalışırsa, CA sertifikayı reddeder ve Bob'u bilgilendirir (çünkü CA tarafından hesaplanan dijital imza, sertifikadaki geçerli olanla eşleşmez). Charles, Alice'in özel anahtarına sahip olmadığı için iletişimin şifresini çözemez. Charles'ın herhangi bir şey yapabilmesinin tek yolu, CA'nın sunucularını da denemek ve tehlikeye atmaktır.

Ancak sizi martini içen kötü adamlardan korumanın yanı sıra, SEO sıralamanızı da iyileştirir! Zineb Ait Bahajji ve Gary Illyes tarafından hazırlanan bir Google Webmasters blog gönderisine göre, HTTPS sıralama sinyali olarak kullanılıyor:

Olumlu sonuçlar gördük, bu nedenle HTTPS'yi bir sıralama sinyali olarak kullanmaya başlıyoruz. Şimdilik sadece çok hafif bir sinyal. Ancak zamanla, onu güçlendirmeye karar verebiliriz, çünkü tüm web sitesi sahiplerini web'de herkesin güvenliğini sağlamak için HTTP'den HTTPS'ye geçmeye teşvik etmek istiyoruz.

Ek olarak, Google Güvenlik blogu, Eylül ayından itibaren Chrome tarayıcısının web sitelerini açıkça "Güvenli Değil" olarak etiketlemeye başlayacağını duyurdu. Bu, "daha güvenli bir web'e doğru ilerlemek" ve kullanıcılarda farkındalık yaratmak amacıyla yapılır.

Hepsi nasıl çalışıyor?

Şimdiye kadar SSL sertifikalarından ve güvenlik ve kimlik doğrulaması sağlamada ne kadar önemli olduklarından bahsettik. Bu bölümde kollarımızı sıvayacağız ve asıl meseleye gireceğiz!

SSL, ortak anahtar altyapısı (veya sıralama için PKI) adı verilen bir sistem kullanarak çalışır.
PKI, güvenli olmayan bir ağ üzerinden nasıl güvenli iletişim kurulacağı sorununu çözmek için kullanılan bir bilgisayar güvenlik sistemidir. Basitçe söylemek gerekirse, Alice ve Bob İnternet üzerinden güvenli bir şekilde iletişim kurmak istiyorlarsa, bir tür şifreleme anahtarı alışverişinde bulunmaları gerekir. Ama bunu yaparlarsa ve aralarında bir bilgisayar sahibi olan biri o anahtarı alırsa, gelecekteki tüm iletişimleri okuyabilecektir! (Charles tipi bir kişi olmayabilir; işlerinin doğası gereği sistem yöneticilerinin de sunucularından geçen tüm düz metin verilerine erişimi vardır).

Bu paradoksal bir sorun gibi görünebilir, ancak yalnızca bir değil, bir çift anahtar kullanılarak çözülür. Bir genel ve bir özel:

  1. Alice ve Bob ortak anahtarlarını değiştirirler. Bunlar herkese açık olduğundan, endişe duymadan güvenli olmayan bir ağ üzerinden gönderilebilirler. Aslında, onları halka açık bir şekilde yayınlamak onların kullanım amacıdır!
  2. Alice daha sonra özel anahtarını kullanarak Bob'a göndermek istediği mesajı Bob'un açık anahtarıyla şifreler.
  3. Bob mesajı alır ve Alice'in açık anahtarıyla kendi özel anahtarını kullanarak şifresini çözer.

Özel anahtarlar genellikle bilgisayarınızda (veya USB sürücüsünde veya güvenli olduklarını bildiğiniz bir yerde) yerel olarak depolanır. E-postanızı veya ağ iletişiminizi kim okursa okusun, özel anahtarınız olmadan yalnızca bozuk görünümlü bir metin alacaklardır.

Açık anahtar şifrelemenin bir başka yararlı yönü de dijital imza kavramıdır. Charles'ın sertifikayı kurcalamaya çalışacağından daha önce bahsetmiştik.
Alice, Bob'a bir mesaj gönderdiğinde, özel anahtarını kullanarak dijital olarak da imzalayabilir. Bu, mesajın gerçekten de Alice tarafından gönderilmesini sağlar, başka biri tarafından değil. Dijital imza, gerçekte, sertifika bilgileri kullanılarak hesaplanan uzun bir onaltılık sayı dizisidir. Sertifikada bir bayt değişse bile, dijital imza da değişecek ve CA bunu reddedecektir.

Bir SSL sertifikası, bir sisteme (tipik olarak bir web sunucusuna) yüklenen ve aynı şekilde çalışan bir veri dosyasıdır. İletişimi şifreler ve bir varlığın (bizim durumumuzda bir web sitesi) kimliğini sağlar. Şunlar gibi bilgiler içerir:

  • sertifika sahibinin adı
  • e-posta adresi
  • geçerlilik süresi
  • web sunucusunun tam etki alanı adı
  • sahibinin ortak anahtarı
  • sertifikanın hiçbir şekilde değiştirilmediğini garanti eden bir dijital imza.

Tüm bu bilgileri, bir varlık/kuruluşu bu sistemle etkin bir şekilde ilişkilendirmek için kullanır.

Sertifika vermenin iki yolu vardır. Birincisi, kendiniz imzalamak (kendinden imzalı), ikincisi ise bir Sertifika Yetkilisi (güvenilir) aracılığıyla almaktır.

Kendinden imzalı ve güvenilir sertifika arasındaki fark nedir?

Kendinden imzalı bir sertifika, güvenilir bir sertifika ile aynı düzeyde şifreleme sağlar, ancak sahibinin kimliğini garanti etmez. Çoğunlukla test etmek için veya bir sisteme bağlı bir sahibin olması için acil bir ihtiyacın olmadığı yerel bir ağ altyapısında kullanılır.

Güvenilir bir sertifika ise hem şifreleme hem de kimlik doğrulaması sağlar. Sertifika, bir dizi arka plan kontrolü kullanarak sertifika sahibinin kimliğini doğrulayan bir üçüncü taraf (CA) tarafından verilir.

Bu, CA'ya güvenmeniz gerektiği anlamına gelir. Ya bir haydutsa ve kişi nasıl bilebilir?

Bu kesinlikle olabilir ve geçmişte birçok kez oldu. Bu gerçekten bir güven meselesi olduğundan, tek çözüm kullandığınız CA'nın bilinen ve yerleşik, saygın bir kuruluş olduğundan emin olmaktır. CA'lar sertifika vermek için para alırlar (genellikle 10$'dan üç haneli tutarlara kadar), ancak pahalı bir CA'nın daha fazla güven ve güvenlik anlamına geldiğini düşünme tuzağına düşmemelisiniz!

Let's Encrypt kullanarak web sitenizi SSL ile nasıl güvenli hale getirirsiniz?

Let's Encrypt sertifikası oluşturmanın ve onu web sunucunuza yüklemenin birçok yolu vardır. İşlem, bir Unix kabuğundan çalışıp çalışmayacağınıza, ne tür bir web sunucusu çalıştırdığınıza vb. bağlıdır. Daha fazla bilgi edinmek için tarayıcınızı Let's Encrypt'in Başlarken sayfasına yönlendirin.

Mevcut bir Pressidium müşterisiyseniz, işler bundan daha kolay olamazdı!
İlk önce Pressidium Portal hesabınıza giriş yapın:

  1. SSL Sertifikaları sekmesine tıklayın.
  2. Ücretsiz Let's Encrypt sertifikası oluştur düğmesine tıklayın.
  3. Install Let's Encrypt açılır menüsünden sertifikanın yüklenmesini istediğiniz web sitesini seçin.
  4. Son olarak, SSL Sertifikası Oluştur ve Yükle düğmesine tıklayın ve işiniz bitti!

Web sitenizde SSL'nin etkin olup olmadığını test etmek için tarayıcınızı açın ve adreste https kullanarak web sitenizin URL'sini ziyaret edin. Tarayıcınızda tanıdık yeşil Güvenli asma kilit işareti görüntüleniyorsa, işiniz var demektir!

Yeni Let's Encrypt sertifikanızın 90 günlük bir süresi vardır, ancak kendini otomatik olarak yeniler. Ayrıca kendi satın aldığınız sertifikaları Portal'dan yönetebilir ve kurabilirsiniz. Bununla ilgili her şeyi bulmak için bu Bilgi Bankası gönderisini okuyun!

Güvenlik bir süreçtir, anahtar teslimi bir çözüm değildir

Acı gerçek şu ki, öylece bir şey satın alamazsınız veya bir yazılım parçası kurup unutamazsınız ve tüm güvenlik sorunlarıyla başarılı bir şekilde başa çıktığınızı düşünemezsiniz. Bilgisayar güvenliği, teknik mekanizmaları, politikaları, bilgisayarları ve her şeyden önce insanları ve insan psikolojisini içeren devasa bir bilmecedir! Yapbozun tüm parçalarını doğru bir şekilde almanız ve sürekli olarak ona yönelmeniz gerekir. Bu bir süreçtir ve anahtar teslimi bir çözüm değildir.

İnsan faktörü, kötü niyetli kullanıcılar tarafından tekrar tekrar sömürülen bir şeydir. Bilgilendirmeyi, araçlar sağlamayı ve halkın İnternet güvenliği konularında farkındalığını artırmayı amaçlayan her türlü girişimi %100 destekliyoruz. Gelecekteki gönderilerde WordPress güvenlik konularını daha derinlemesine ve kapsamlı bir şekilde inceleyeceğiz. WordPress, birçok kişi için masaya değer ve yiyecek sağlamak için insanlar ve şirketler tarafından kullanılır. Güvenlik olayları artık web sitesi tahrifatı ve siber grafiti ile ilgili değil, başkalarının hayatlarını somut olarak etkiliyor. Ve bu çok ciddiye aldığımız bir şey.