SSL nedir? Güvenli Web Siteleri Rehberiniz

Yayınlanan: 2024-06-21

İçindekiler
SSL nedir?
SSL ve TLS protokolleri nelerdir? Bunlar aynı mı?
SSL/TLS nasıl çalışır?
SSL sertifikası nedir?
SSL sertifikalarının farklı türleri nelerdir?
SSL sertifikasını nasıl edinebilirsiniz?
Ücretsiz SSL Sertifikaları, Let's Encrypt: Let's Encrypt Sertifikaları Nelerdir?
Bir web sitesinin SSL'sini nasıl kontrol edebilirim?
Özet

Bazı web sitelerinin HTTP ile başladığını, bazılarının ise HTTPS ile başladığını fark etmişsinizdir (özellikle hassas bir web sitesine veya ödeme sayfasına erişmeye çalıştığınızda genellikle asma kilitli yeşil bir metinle gösterilir).

website URL starts with HTTPS
web sitesi URL'si HTTPS ile başlıyor

Bunun neden olduğunu hiç merak ettiniz mi ve ne anlama geliyor? HTTP'deki bu ekstra ''ler, erişmeye çalıştığınız web sitesinin güvenli olduğunu ve tüm veri aktarımının SSL şifrelemesi nedeniyle şifrelendiğini gösterir.

Bu konuda daha fazla bilgi edinelim ve bu kapsamlı yazıda tüm sorularınızı ve şüphelerinizi yanıtlamaya çalışalım.


SSL nedir?

SSL veya Güvenli Yuva Katmanı, sunucu ile istemci arasında şifreli bir bağlantı kurmak için şifreleme tabanlı özel bir güvenlik protokolü kullanan standart bir güvenlik teknolojisidir. Bir web sunucusu ile tarayıcı arasında veya bir posta sunucusu ile e-posta istemcisi arasında.

Bu şifreleme teknolojisi, web sunucusu ile istemci arasındaki tüm veri iletiminin veya iletişiminin özel ve bütünleşik kalmasını sağlar.

İlk olarak 1995 yılında Netscape tarafından tanıtılan SSL, internet iletişimini güvence altına almayı, gizliliği korumayı, kimlik doğrulama ve veri bütünlüğünü sağlamayı amaçlıyordu.

Artık SSL'nin TLS veya Aktarım Katmanı Güvenlik Şifrelemesi olarak bilinen gelişmiş bir sürümünü kullanıyoruz.


WPOven Dedicated Hosting

SSL ve TLS protokolleri nelerdir? Bunlar aynı mı?

SSL ve TLS, bilgisayar ağı üzerinden güvenli ve şifreli iletişim sağlamak için özel olarak geliştirilmiş standart kriptografik İnternet protokolleridir.

SSL, 1999 yılında Internet Engineering Task Force tarafından geliştirilen TLS'nin öncülü veya daha gelişmiş bir sürümüdür. Başlangıçta SSL 3.1 olarak adlandırılıyordu ancak güvenlik ve performansta yapılan küçük iyileştirmeler ve geliştirmelerden sonra TLS olarak adlandırıldı.

SSL'nin herhangi bir web sitesini riske atabilecek bazı kusurları ve güvenlik açıkları vardır. SSL 2.0 ve SSL 3.0 sürümleri bile güvensiz olarak etiketlenmiştir ve artık kullanılması önerilmemektedir.

TLS, SSL'nin bu zayıflıklarını ve güvenlik açıklarını tespit ederek daha gelişmiş ve daha güçlü bir şifreleme yöntemi ortaya çıkardı. Şu anda TLS 1.2 ve 1.3 en güvenli ve en yaygın kullanılan sürümler olarak kabul ediliyor.

Elbette, SSL ile TLS arasındaki farkları daha iyi anlamanıza yardımcı olacak hızlı bir karşılaştırma tablosunu burada bulabilirsiniz:

Özellik SSL TLS
Ad Soyad Güvenli Yuva Katmanı taşıma katmanı Güvenliği
Tarafından geliştirilmiş Netscape İnternet Mühendisliği Görev Gücü (IETF)
Şu anki durum Kullanımdan kaldırıldı Aktif
En son sürüm SSL3.0 TLS1.3
Güvenlik Savunmasız (SSL 2.0 ve SSL 3.0 güvensiz olarak kabul edilir) Her sürümde devam eden iyileştirmelerle daha güvenli
Şifreleme Algoritmaları Daha eski, daha az güvenli algoritmaları destekler Daha yeni, daha güçlü algoritmaları destekler
El Sıkışma Verimliliği Daha fazla adım, daha az verimlilik Kolaylaştırılmış, daha verimli
Oturumun Devam Etmesi Sınırlı yetenekler Gelişmiş mekanizmalar (oturum biletleri, oturum tanımlayıcıları)
Kayıt Protokolü Daha az verimli ve esnek Geliştirilmiş performans ve güvenlik
Pratikte Kullanım Nadiren kullanılır, eski sayılır Yaygın olarak kullanılan, güvenli iletişim standardı
Geriye dönük uyumluluk Eski sistemlerle uyumlu Eski SSL sürümleriyle çalışabilir ancak güvenli algoritmaları ve protokolleri tercih eder
Dijital Sertifikalar Daha eski sertifika türlerini kullanıyor Modern sertifika türlerini kullanır ve OCSP zımbalama gibi ek özellikleri destekler.
SSL ve TLS Arasındaki Fark

SSL/TLS nasıl çalışır?

SSL/TLS, sunucu ile istemci arasında şifreli bir bağlantı kurmak için sertifika tabanlı teknolojiyi kullanır.

Bu sertifika, web sitesinin güvenilir olduğunun doğrulanmasına yardımcı olan ve verilerin şifrelenmesine olanak tanıyan bir genel anahtar içerir. Bu, bilgilerin başkalarının kolayca okuyamayacağı kriptografi kullanılarak özel bir koda dönüştürüldüğü anlamına gelir. Bilginin kodunu çözmek için gizli tutulan eşleşen özel anahtara yalnızca sunucu sahiptir.

Working of SSL
SSL'nin Çalışması

SSL/TLS şifrelemesinin tamamı şu şekilde çalışır:

1. Web sitesinin güvenli bir bölümüne, yani ödeme veya giriş sayfasına erişmeye çalıştığınızda. Web sitesi sunucusu SSL sertifikasını tarayıcınıza gönderir.

2. Bu sertifika, sunucunun tanımlanmasına yardımcı olan bir ortak anahtar içerir.

3. Bundan sonra tarayıcınız sertifikanın geçerli ve orijinal olup olmadığını doğrular. (Bu adım, sunucunun sahte olup olmadığının kontrol edilmesine yardımcı olur)

4. Doğrulama başarılı olduğunda tarayıcınız, oturum sırasında gönderilecek verileri şifrelemek için simetrik oturum anahtarı da denilen küçük ve geçici bir anahtar oluşturur.

5. Artık tarayıcınız bu oturum anahtarını sunucunun ortak anahtarıyla (sertifikadan) şifreler ve sunucuya gönderir. (Bu adım, oturum anahtarını yalnızca sunucunun okuyabildiğinden emin olmak için önemlidir.)

6. Bundan sonra sunucu, oturum anahtarının şifresini çözmek için kendi özel anahtarını kullanır.

7. Artık hem tarayıcı hem de sunucu, aralarında gönderilen tüm verileri şifrelemek ve şifresini çözmek için simetrik oturum anahtarını kullanıyor. (Bu, verilerin gizli ve güvenli kalmasını sağlar). Bu işleme SSL/TLS anlaşması denir. Hassas bilgileri güvenli olmayan bir şekilde paylaşmadan, tarayıcınız ile sunucu arasında güvenli, şifreli bir kanal kurar.

Artık verileri web üzerinden iletmeye hazırdır ve tümü şifrelenmiştir, bu da onu ele geçirmeye çalışabilecek hiç kimse için okunamaz hale getirir. Ayrıca, SSL/TLS ayrıca veri bütünlüğünü korumak amacıyla tahrif edilmediğinden emin olmak için verileri dijital olarak imzalar.


SSL sertifikası nedir?

SSL yalnızca web sitelerinde özel bir sertifika, yani SSL sertifikası yüklü olduğunda kullanılabilir. Bu sertifika, verileri özel olarak paylaşmak için sunucu ile tarayıcı arasında güvenli bir bağlantı kurulmasına yardımcı olan küçük bir veri dosyasıdır.

Kimliğinizi belirlemenize yardımcı olacak tüm hayati bilgilerinizi içeren Kimlik kartınızla aynıdır.

SSL Sertifikasının Bileşenleri:

  • Genel Anahtar : Bu anahtar veriyi şifrelemek için kullanılır ve SSL sertifikasına dahildir. Web sitesini ziyaret eden herkesle kamuya açık olarak paylaşılır.
  • Özel Anahtar : Şifrelenmiş verilerin genel anahtarla çözülmesi için kullanılır. Gizli tutulur ve web sunucusunda güvenli bir şekilde saklanır.
  • Sertifika Yetkilisi (CA) : SSL sertifikaları veren güvenilir bir kaynak. Bu CA'lar DigiCert, Let's Encrypt ve Comodo gibi kuruluşları içerir. Bu yetkili, SSL sertifikası vermeden önce sertifika talep eden kişinin kimliğini doğrulamaktan sorumludur.
  • SSL Sertifikasında yer alan ayrıntılar :
    • Sertifikanın verildiği alan adı.
    • Sertifikanın verildiği kuruluş.
    • Veren CA.
    • CA'nın dijital imzası.
    • Sertifikanın geçerlilik süresi (başlangıç ​​ve bitiş tarihleri).
    • Genel anahtar.
    • Sertifika türü ve kullanım amacı gibi ek bilgiler.

SSL Sertifikaları Neden Önemlidir:

  • Güvenlik : İletim sırasında hassas verileri koruyarak yetkisiz erişimi ve veri ihlallerini önler.
  • Güven : Kullanıcılara verilerinin güvende olduğunu garanti ederek güven oluşturur. SSL sertifikasına sahip web siteleri tarayıcılar tarafından güvenli olarak işaretlenir.
  • SEO Faydaları : Google gibi arama motorları, HTTPS özellikli web sitelerine sıralama artışı sağlar.
  • Uyumluluk : Birçok sektördeki veri korumasına ilişkin düzenleyici gereksinimleri karşılar.

SSL sertifikalarının farklı türleri nelerdir?

SSL yalnızca belirli bir güvenlik türüyle sınırlı değildir. SSL bir dizi sertifikayla ilgilidir. İnternette çeşitli SSL sertifikaları bulunmaktadır. Bunlar:

  • Tek Alan Adı SSL sertifikası

Adından ne tür bir SSL sertifikası olduğunu kolayca belirleyebilirsiniz. SSL sertifikası yalnızca tek bir alan adını korumakla yükümlüdür. Örneğin, sertifika 'WPOven.com' alanı için verilmişse, yalnızca kendisi için geçerli olur; 'blog.wpoven.com' gibi alt alan adları veya 'example.com' gibi başka bir alan adı için geçerli değildir.

  • Wild Card SSL Sertifikası

Tıpkı tek alanlı SSL Sertifikası gibi, tek bir alan adı için geçerlidir ancak bir sorun vardır. Aynı alan adı altında oluşturulan tüm alt alan adları için geçerlidir.

Örneğin, SSL sertifikası 'WPOven.com' alanı için verilmişse, bu sertifika onun 'blog.wpoven.com' ve 'shop.wpoven.com' gibi alt alan adları için de geçerli olacaktır.

  • Çoklu Alan Adı veya Birleşik İletişim SSL Sertifikası

Adın kendisi, aynı tek SSL sertifikasının birden fazla farklı veya aynı alana verilebileceğini gösterir.

Bu sertifikalar, Microsoft Exchange ve Office Communications ortamlarını kullananlar gibi birden çok etki alanını ve alt etki alanını yöneten kuruluşlar için özellikle yararlıdır.

Bunlar oldukça uygun maliyetli olabilir, gelişmiş güvenlik sağlayabilir ve çok daha fazla fayda sağlayabilir. Tek bir sertifika ile 100'e kadar alan adını kapsayabilirler.

  • Genişletilmiş Doğrulama (EV) SSL Sertifikası :

Günümüzde bulunan ilk SSL sertifikası türü, genişletilmiş doğrulama SSL sertifikasıdır. Bu sertifika türünde, sertifika yetkilisi başvuru sahibinin belirli bir alan adını kullanma haklarını kontrol eder. Genişletilmiş doğrulama SSL sertifikası, kuruluşun çok yönlü ve kapsamlı bir incelemesini gerçekleştirir.

EV SSL Sertifikasının verilme süreci, EV yönergelerinde oldukça katı bir şekilde tanımlanmıştır. Bu kılavuz, bir sertifika verilmeden önce bir CA'nın tüm gerekliliklerini adım adım açıklar.

Bu yönergeler şunlardır:

  • Kuruluşun fiziksel, yasal ve operasyonel varlığının doğrulanması
  • Kuruluşun EV SSL sertifikasının verilmesini kapsamlı bir şekilde organize ettiğinin doğrulanması
  • Kuruluşun kimliğinin resmi kayıtlarla eşleştiğinin doğrulanması
  • Kuruluşun, EV SSL Sertifikasında belirtilen alan adı üzerinde haklara sahip olduğunun doğrulanması

EV SSL sertifikası hemen hemen her işletme türü için mevcuttur. Devlet kurumlarından anonim şirketlere ve kurumsal işletmelere kadar sertifikalar herkes tarafından kullanılabilir.

  • Organizasyonel Doğrulama (OV) SSL Sertifikası

Yaygın olarak kullanılan ikinci sertifika türü ise OV SSL Sertifikasıdır. Bu sertifikada CA, başvuru sahibinin belirli bir alanı kullanma hakkını kontrol eder.

Ayrıca şirketin belirli incelemelerini de yürütür. Güvenli site mührünü kullanan müşterilere, incelenen diğer şirket bilgileri de verilir.

OV sertifikası, siteyle ilişkili kişilerin arkasında daha fazla görünürlük sağlar.

  • Alan Adı Doğrulama (DV) SSL Sertifikası

Öte yandan sertifikalardan bahsediyorsak Domain Validation SSL Sertifikası unutamayacağımız bir isimdir. Alan adı doğrulama sertifikasında CA, başvuru sahibinin belirli bir alan adını kullanma haklarını kontrol eder.

Ancak şirket kimliği veya bilgileri söz konusu olduğunda hiçbir bilgi görüntülenmez. Verilen tek bilgi, güvenli bir site mühründe saklanan şifrelenmiş bilgilerdir.

Yukarıdaki üçü, günümüzde bulunan ve kullanılan en yaygın SSL sertifikası türleridir. Ancak zirveye yükselen bir diğer isim ise Let's Encrypt.


SSL sertifikasını nasıl edinebilirsiniz?

Her şeyden önce, çevrimiçi işletmeniz veya web siteniz için hangi tür SSL sertifikasının en uygun olduğuna karar vermelisiniz.
Standart bir SSL sertifikası koruma sağlamak için yeterli olsa da, web sitesi finans veya sigorta gibi düzenlemeye tabi bir sektörde faaliyet gösteriyorsa özel bir SSL sertifikası gerektirebilir. En uygun seçeneği belirlemek için BT ekibinize danışmanız en iyisidir.

SSL sertifikasının maliyeti, sağlayıcıya ve web sitenizin gereksinimlerine bağlı olarak değişebilir. Ancak birçok ücretsiz seçenek de mevcuttur.

WPOven gibi bazı web barındırma şirketleri planlarıyla birlikte ücretsiz SSL sağlar. Cloudflare bile size tek tıklamayla ücretsiz SSL/TLS sağlar.

Let's Encrypt ayrıca ücretsiz olarak SSL sertifikaları da sağlar. Ancak BT ekibiniz tarafından kurulup yapılandırılması veya teknik uzmandan yardım alınması daha iyi olacaktır.


Ücretsiz SSL Sertifikaları, Let's Encrypt: Let's Encrypt Sertifikaları Nelerdir?

Let's Encrypt, Nisan 2016'da başlatılan bir sertifika yetkilisidir. Sertifika, mevcut karmaşık doğrulama, imzalama, manuel oluşturma süreçlerini ortadan kaldırmak üzere tasarlanmış otomatik bir süreç aracılığıyla TLS (Aktarım katmanı güvenliği) şifrelemesi için ücretsiz X.509 sertifikaları sağlar. Güvenlik web sitelerine yönelik sertifikaların kurulumu ve yenilenmesi.

Let's Encrypt veya Let's Encrypt'e dahil olan taraflar, kamu yararına çalışan bir kuruluş olan ISRG (İnternet Güvenliği Araştırma Grubu) tarafından sağlanan bir hizmettir.

Sertifikanın ana sponsorları arasında Electronic Frontier Foundation, Mozilla Foundation, Cisco Systems ve Akamai yer alıyor.

Haziran 2015'te Let's Encrypt, çevrimdışı tutulan belirli bir donanım güvenlik modülünde saklanan özel anahtarla bir RSA kök sertifikası oluşturmayı başardı. Kök sertifika, IdenTrust tarafından çapraz imzalanan 2 farklı ara sertifikayı imzalamak için kullanılır.

Bu ara sertifikalardan biri verilen ve verilen sertifikayı imzalamak için kullanılırken, diğeri ilk ara sertifikada sorun yaşanması durumunda yedek olarak kullanılmak üzere çevrimdışı tutulur.


Bir web sitesinin SSL'sini nasıl kontrol edebilirim?

SSL güvenliği etkinleştirilmiş bir web sitesini ziyaret ettiğinizde tarayıcılarda bazı görsel göstergeler belirir.

1. URL “://http” yerine “://HTTPS” ile başlayacaktır.

2. Tarayıcının adres çubuğunda URL ile birlikte bir asma kilit simgesi görünür.

Web sitesinin URL'sinin en sol tarafında bir asma kilit simgesi görünecektir.

3. Sertifikanın geçerli olduğu görüldü.

Web sitenizde “://HTTPS” veya asma kilit simgesi gösterilse bile SSL sertifikasının hâlâ geçersiz veya süresi dolmuş olma ihtimali vardır.

Tarayıcı sizi bilgilendirecek ve ayrıca sizden bazı bilgiler isteyecektir. Durum buysa, daha fazla araştırma yapmalı ve aşağıda gösterildiği gibi Chrome tarayıcısındaki "site bilgilerini görüntüle" simgesini tıklayarak web sitesinin SSL geçerliliğini kontrol etmelisiniz:

Padlock icon showed with the websites
Web sitelerinde gösterilen asma kilit simgesi

4. Ayrıca WPOven'in basit Ücretsiz SSL kontrol aracını da kullanabilirsiniz.


Özet

SSL/TLS, İnternet iletişiminde temel bir güvenlik katmanı sağlar; bu, en azından temel bir web sitesinde bu güvenlik özelliğinin etkinleştirilmiş olması gerektiği anlamına gelir. Kulağa çok basit gelse de veri hırsızlığını ve gizlilik ihlallerini önleyen en güçlü güvenlik sistemlerinden biridir.

Gösterişli veya pahalı SSL özelliklerini tercih etmenize gerek yok; standart biri bile bu işi yapabilir. Çok sayıda ücretsiz SSL sertifikası sağlayıcısı mevcut ve tek yapmanız gereken bunları zaman zaman yenilemek.

Ancak üçüncü taraflardan almanın dezavantajları vardır. Tıpkı WPOven'in sunduğu gibi, barındırma planlarında ücretsiz SSL sağlayan bir web barındırıcısını seçerek bunu kolayca önleyebilirsiniz.

SSL ile ilgili herhangi bir sorunuz veya öneriniz varsa lütfen aşağıdaki yorum bölümünde bize bildirin: