Siber güvenlik, aşırı büyüyen internet dünyasının önündeki en büyük zorluklardan biridir. Artık daha fazla insan internet kullandığı için neredeyse internet kullanan herkes siber suçların hedefi olma riskini taşır.
Ayrıca hiç kimse güvenli olmayan web sitelerini sevmez, Google da öyle. Yakın zamanda Google tarafından yapılan bir açıklamaya göre, artık SSL sertifikası olmayan web sitelerini teşvik edilmiyor.
Daha önce bir SSL sertifikası satın almak çok pahalı olduğu için belki bu durumda bir şey yapamıyordunuz. Ancak şimdi SSL sertifikası sunan pek çok şirket sayesinde çok ucuz hale geldi. Hatta birkaç CDN (İçerik Dağıtım Ağı) ücretsiz SSL sunuyor. Dolayısıyla herhangi bir web sitesinin SSL sertifikasına sahip olmaması için hiçbir neden yok.
SSL, siber tehditleri bir dereceye kadar azaltmaya yardımcı olur. Peki SSL (Secure Sockets Layer) nedir ve farklı SSL Sertifikaları türleri hakkında net bir anlayışa sahip size ne gibi avantajlar sağlar?
SSL Nedir?
SSL, bir web sunucusu ile tarayıcı arasında şifrelenmiş bir bağlantı kurmak için kullanılan standart güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcı arasında aktarılan tüm verilerin gizli kalmasını sağlar.
Örneğin, herhangi bir web sitesini ziyaret ettiğinizde ve web yöneticisiyle iletişime geçmek için herhangi bir form doldurmaya çalıştığımızda, bazı bilgiler gönderirsiniz.
Bu bilgiler adınız, telefon numaranız ya da banka bilgileriniz olabilir. Ziyaret edilen web sitesinde SSL yoksa, iletişim formunu veya başka bir modu kullanarak gönderdiğimiz veriler tehlikeye girer.
Bir bilgisayar korsanı verileri birçok şekilde çalabilir, ancak en yaygın olanı web sitesi sahibinin bile bilgisi olmadan web sunucusuna kod eklemektir.
Bu kodlar kullanıcılar herhangi bir bilgi gönderdiğinde onları gözetlemekte ve verileri hacker’a geri göndermektedir. Tüm bunlar saniyeden kısa bir süre içinde gerçekleşir ve birinin veri çaldığını tespit etmek neredeyse imkansızdır.
Şimdi de SSL sertifikasına sahip bir web sitesini ziyaret ettiğimiz senaryoyu ele alalım. Daha önce de söylediğimiz gibi, SSL tarayıcı ile web sunucusu arasında şifreli bir bağlantı oluşturur, bu nedenle herhangi bir bilgi gönderdiğimizde, bir bilgisayar korsanının bu bilgileri çalma şansı çok azdır.
Şifrelemeyi kırmak neredeyse imkansızdır. SSL verileri tamamen koruyamaz, ancak verilerin tehlikeye girme olasılığını azaltır. Güvenlik seviyesi, seçtiğimiz şifreleme seviyesine göre değişir.
SSL Ne İşe Yarar?
Web sitelerinde SSL kullanmak, aşağıdakiler de dahil olmak üzere birçok avantaj sağlar:
- Finansal işlemlerin güvenliğini sağlar
- İnternet üzerinden veri aktarımlarını şifreler.
- Web sitesi çökmesini önler.
- Kullanıcılar arasında güven oluşturur.
SSL Sertifikası Neleri Önler?
İşletmeler ve kamu kurumları, web sitelerine bir SSL sertifikası ekleyerek müşterilerinin siber suç faaliyetlerine karşı korunmasını garanti edebilir. Bir web sitesi ziyaretçilerin herhangi bir kişisel veriyi paylaşmasını gerektiriyorsa, hassas bilgilerin proaktif olarak korunduğunu garanti etmek için bir SSL sertifikasının varlığı gereklidir. Böyle bir web sitesinin SSL sertifikası yoksa, insanlar özel verilerini bu sitelerde paylaşmamalıdır. Çünkü bu veriler çalınabilir ve olası siber suçları gerçekleştirebilecek bilgisayar korsanları tarafından kullanılabilir.
Bir bilgisayar korsanı verilerinizle aşağıdakileri yapabilir:
1. Bilgisayar korsanları tarafından veri çalınması
SSL sertifikası ile bir web sitesinin ziyaretçileri, paylaştıkları kişisel verilerin olası saldırılara ve diğer şüpheli faaliyetlere karşı en üst düzeyde korunduğundan tamamen emin olabilir.
2. Oltalama
Bir bilgisayar korsanının sahte bir mesaj göndererek bir kişiyi kandırması ve bunun bir banka, sigorta şirketi veya başka bir kamu veya özel kurumdan gelen bir mesaj olduğuna inandırması durumudur. Genellikle bu sahte mesajlar, hedeflenen kişilerden kişisel bilgilerini paylaşmalarını veya kötü amaçlı herhangi bir yazılımı yüklemelerini ister.
3. Gizli dinleme
Çevrimiçi güvenlik açısından, insanların özel verilerini çalmak için konuşmalarını dinleme veya mesajlarını okuma eylemi için kullanılan kavramlardır. Zarar vermek amacıyla özel iletişimlerden yasa dışı bilgi edinme eylemini tanımlamak için de kullanılabilir.
SSL Sertifikası Nasıl Çalışır?
Yukarıdaki kötü niyetli faaliyetlere karşı önleyici tedbirleri yürürlüğe koymak için bir SSL sertifikasının gerçekleştirdiği üç ana eylem aşağıdaki şekildedir:
1. Şifreleme
SSL sertifikası, web üzerinden iletilen verileri şifreleyerek gizlilik sağlar, böylece bu verileri çalmak isteyen herhangi biri yalnızca şifresini çözmesi neredeyse imkansız olan harflerin, sayıların ve noktalama işaretlerinin karıştırılmış bir kombinasyınunu görebilir.
2. El sıkışma
SSL sertifikası, ziyaretçinin cihazı ile kişisel veri toplayıcının web sitesi arasında bir kimlik doğrulama işlemi gerçekleştirir. Böylece, iki taraf da diğer tarafın gerçekten beyan ettiği kişi olduğundan emin olabilir. Bu işlem “Handshake” olarak adlandırılır.
3. Verilerin dijital olarak imzalanması
Verilerin eksiksiz olduğundan ve istenen alıcıya ulaşma sürecinde değiştirilmediğinden emin olmak için SSL sertifikası verileri imzalama işlemini gerçekleştirir.
Bir Web Sitesinin SSL Sertifikasına Sahip Olup Olmadığını Nasıl Anlarsınız?
Bir web sitesinin SSL’e sahip olup olmadığını doğrulayabileceğiniz çok sayıda yöntem vardır. Bunlardan birkaçı aşağıdaki şekildedir:
1. URL’nin HTTPS ile Başlaması
SSL sertifikasına sahip web siteleri HTTPS:// ile başlayan bir URL’ye sahiptir. Örneğin, bu web sitesi bir SSL sertifikasına sahiptir ve https://www.niobehosting.com URL’sine sahiptir.
2. URL Çubuğunda Küçük Bir Asma Kilit Simgesi
URL çubuğundaki yeşil asma kilit simgesi, web sitesinin bir SSL sertifikasına sahip olduğunu gösterir. Bu simgenin, URL çubuğunda gördüğünüz simgenin türüne göre farklı bir anlamı vardır.
3. Çevrimiçi Araçları Kullanma
Digicert gibi çeşitli çevrimiçi araçlar bir web sitesinin SSL’e sahip olup olmadığını doğrulayabilir. Bu araçlar SSL türü, sertifika yetkilisi ve geçerliliği hakkında bile bilgi verir.
SSL Sertifikaları Nasıl Kontrol Edilir?
Bir web sitesinin URL’sinden önce HTTPS:// ve bir asma kilit simgesi olsa bile, SSL sertifikasının geçerli olduğundan emin olamazsınız. Bir web sitesinin geçerli bir SSL sertifikasına sahip olup olmadığını kontrol etmek için, Chrome Tarayıcı için, asma kilit simgesine tıklayın ve bağlantının güvenli olup olmadığına bakın.
SSL Sertifikasında Kullanılan Temel Kısaltmalar
SSL – Secure Sockets Layer (Güvenli Yuva Katmanı)
DV– Domain Validation (Domain Doğrulaması)
OV– Organization Validation (Organizasyonel Doğrulama)
EV– Extended Validation (Genişletilmiş Doğrulama)
CSR– Certificate Signing Request (Sertifika İmzalama İsteği)
CA– Certificate Authority (Sertifika Yetkilisi)
SSL Sertifikası Türleri
SSL türleri genel olarak aşağıdaki kriterlere göre kategorize edilebilir.
Şifreleme / Doğrulama Seviyesi
- Alan / Alt Alan Sayısı
- Şifreleme / Doğrulama seviyesi SSL sertifikası ayrıca üç kategoride sınıflandırılır.
- Domain Doğrulama (Domain Validation) – DV SSL
- Organizasyon Doğrulama (Organization Validation) – OV SSL
- Genişletilmiş Doğrulama (Extended Validation) – EV SSL
Bir dizi alan adına dayalı SSL türleri aşağıdaki kategorilerde sınıflandırılır:
Single Domain (Tekli Domain)
Multi-Domain (Çoklu Domain)
Wildcard Domain
Domain Doğrulama (DV SSL)
Domain Doğrulaması en düşük şifreleme seviyesini sunar. Genellikle CA, alan adı sahipliğini doğrular ve bir sertifika verir.
Domain Doğrulama sertifikası, herhangi bir alt alan adını değil, yalnızca belirli bir alan adını güvence altına alır. Örneğin, abc.com için bir DV sertifikası satın alırsanız, aynı sertifika mail.abc.com’u korumak için kullanılamaz.
- Şifreleme Seviyesi: Düşüktür.
- Doğrulama Modu: Bir DNS girişi ekleyerek veya sertifika yetkilisi tarafından sağlanan köke bir dosya yükleyerek sağlanır.
- Tarayıcı Göstergesi: URL’nin yanında küçük bir yeşil kilit simgesi gösterilir.
- Geri Dönüş Süresi: Genellikle bir gündür.
Organizasyonel Doğrulama (Organization Validation) – OV SSL
Organizasyonel doğrulama durumunda, sertifika yetkilisi alan adı doğrulaması ile birlikte organizasyonun varlığını da doğrular.
- Şifreleme seviyesi: Orta
- Doğrulama modu: CA önce alan adı sahipliğini doğrular ve ardından şirketin yasal varlığını doğrular.
- Tarayıcı göstergesi: Şirket adıyla birlikte küçük bir yeşil kilit simgesi görünür.
- Geri dönüş süresi: Genellikle bir haftadır.
Genişletilmiş Doğrulama (Extended Validation)
Extended Validation, herkesin satın alabileceği en yüksek SSL seviyesidir. Alan adı doğrulaması ve şirketin yasal varlığının yanı sıra, bu doğrulama türü fiziksel adresini de kontrol eder. Her şey doğrulanırsa, sertifika yetkilisi genişletilmiş doğrulama SSL sertifikası verir.
- Şifreleme seviyesi: Yüksektir.
- Doğrulama yöntemi: CA, alan adı doğrulaması ve yasal varlığın yanı sıra şirketin fiziksel adresini de kontrol eder
- Tarayıcı göstergesi: Şirket adı ve konumu ile birlikte küçük bir yeşil kilit simgesi görünür.
- Geri dönüş süresi: Birkaç haftadır.
Single Domain SSL Sertifikası
Adından da anlaşılacağı gibi, tek alanlı SSL sertifikası yalnızca bir alan adını korur. Yani abc.com için bir SSL sertifikası satın alırsanız, bunu forum.abc.com’u korumak için kullanamazsınız.
Wildcard SSL Sertifikası
Bu tür bir SSL sertifikası, satın alınan alan adını tüm alt alan adlarıyla birlikte korur. Örneğin, abc.com için bir SSL sertifikası satın alırsanuz, aynı sertifikayı forum.abc.com, mail.abc.com vb. korumak için de kullanabilirsiniz.
Multi-Domain /Unified / SAN SSL Sertifikası
Single domain ve wildcard SSL sertifikasının yanı sıra, bu tür SSL sertifikası birden fazla alan adını korur.
Örneğin, abc.com için bir SSL sertifikası satın alırsanız, bunu mail.abc.com, forum.abc.com, abc.tr, abc.net için de kullanabilirsiniz.
Ücretsiz SSL Sertifikaları İşe Yarıyor Mu?
Birçok sertifika yetkilisi tarafından sunulan ücretsiz SSL sertifikalarının çoğu alan adı doğrulama türündedir, temel düzeyde güvenlik sunar.
Ücretsiz SSL yalnızca kişisel bloglar veya statik web siteleri için uygundur.
Let’s Encrypt önde gelen ücretsiz SSL sertifika sağlayıcılarından biridir. Genellikle günümüzde tüm paylaşımlı hosting planlarında Lets Encrypt web sunucusuna önceden yüklenmiş olarak gelir.
Kendinden İmzalı SSL Sertifikası Nedir?
Güvenilir bir sertifika yetkilisinden SSL sertifikası almak yerine, web yöneticisi kendi SSL sertifikasını da imzalayabilir. Sertifika kendinden imzalı olduğu için herhangi bir maliyet söz konusu olmaz.
Domain doğrulama ile aynı güvenlik seviyesini sağlamasına rağmen, kendinden imzalı sertifikalar herkese açık web siteleri için uygun değildir. Birçok tarayıcı bu tür sertifikaları tanımaz ve hata ya da uyarı verir.
SSL Sertifika Yetkilisini Seçmeden Önce Dikkat Edilmesi Gereken Faktörler
Büyük ölçüde iş gereksinimlerine bağlı olsa da, bir SSL sertifikası satın almadan önce aşağıdaki temel özellikleri her zaman göz önünde bulundurmanız gerekir:
- Marka
- İşletmedeki yıl sayısı
- Site mührü
- Güvenlik seviyesi
- Geri dönüş süresi
- Alan adı sayısı
- Sunucu lisansı
- Tarayıcı desteği
- Mobil destek
- Müşteri desteği
Web Sitem İçin Nasıl SSL Alabilirim?
Bir SSL sertifikası satın almadan önce, hangi tür SSL satın almanız gerektiğine karar vermeniz gerekir. Bunun için sahip olduğunuz web sitesi türüne göre aşağıdakiler arasından seçim yapabilirsiniz:
- WordPress Blogları: Domain Doğrulama Sertifikaları (DV SSL) veya Organizasyon Doğrulama Sertifikaları (OV SSL)
- Statik Web Siteleri: Domain Doğrulama Sertifikaları (DV SSL)
- Kurumsal Web Siteleri: Genişletilmiş Doğrulama Sertifikaları (EV SSL)
- E-ticaret Web Siteleri: Genişletilmiş Doğrulama Sertifikaları (EV SSL)
- Finansal Web Siteleri: Genişletilmiş Doğrulama Sertifikaları (EV SSL)
- Sosyal Ağ Siteleri: Genişletilmiş Doğrulama Sertifikaları (EV SSL)
- Forum Web Siteleri: Organizasyon Doğrulama Sertifikaları (OV SSL)
Tek bir alan adı mı yoksa çoklu alan adı SSL’i mi seçmemiz gerektiği konusuna işletmenizin büyüklüğüne bağlı olarak karar vermeniz gerekir. Çünkü maliyet buna göre değişir. SSL türüne karar verdikten sonra, Niobe Hosting’e gelerek işletmeniz için en doğru SSL sertifikasını satın alabilirsiniz.
Özetle diyebiliriz ki, SSL sertifikaları web siteleri için bir zorunluluktur. SSL sertifikası olmadan, arama motorları sitenizi düzgün bir şekilde dizine ekleyemez.
Bu yüzden bir tane SSL sertifikasına sahip olmanız gerekir. Aksi takdirde, bu, işletmeniz için bir sorun olacaktır.
SSL Sertifikası İle İlgili En Çok Sorulan Sorular
1. SSL sertifikaları ücretli mi?
Çoğu web hosting sağlayıcı SSL sertifikalarını ücretsiz olarak sunar. Ancak, daha iyi güvenlik istiyorsanız, SSL sertifikalarına yatırım yapmanız gerekir.
2. SSL sertifikası nedir?
SSL, bir web sunucusu ile tarayıcı arasında şifrelenmiş bir bağlantı kurmak için kullanılan standart güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcı arasında geçen tüm verilerin gizli kalmasını sağlar.
3. E-ticaret siteleri ne tür SSL sertifikası kullanmalıdır?
Müşteriler finansal işlemler yapacağından e-ticaret siteleri için en üst düzeyde güvenliğe ihtiyaç vardır. Bu nedenle genişletilmiş doğrulama SSL sertifikası önerilir.
4. SSL sertifikasını nereden alabilirim?
SSL sertifikalarını sertifika otoritesi verir. Aşağıdaki liste iyi bilinen sertifika otoritelerinden bazılarını bulabilirsiniz:
- Niobe Hosting
- Hosting.com.tr
- Rapid SSL
- About SSL
- Comodo SSL
- Digicert
- Entrust
- GeoTrust
- GlobalSign
5. SSL sertifikası neden gereklidir?
SSL sertifikaları, web tarayıcısı ile web sunucusu arasında şifreli bir bağlantı oluşturmak için gereklidir, böylece herhangi bir bilgi gönderdiğinizde, bir bilgisayar korsanının bu bilgileri çalma şansı çok azdır.
6. Farklı SSL sertifikası türleri nelerdir?
Aşağıda görebileceğiniz gibi başlıca üç tür SSL sertifikası vardır:
- Domain Validation SSL Certificate
- Organization Validation SSL Certificate
- Extended Validation SSL Certificate
7. SSL ve TLS farklı şeyler mi?
TLS, uzun yıllardır iyi bilinen SSL’in önemli ölçüde geliştirilmiş bir versiyonundan başka bir şey değildir. Fakat reel hayatta insanlar bu güvenlik protokolünü SSL veya TLS/SSL olarak adlandırmakta ve günlük konuşmalarında TLS terimini nadiren kullanmaktadır.
TLS, Transport Layer Security’nin kısaltmasıdır ve kelime anlamından da anlaşılacağı üzere Secure Socket Layer’dan çok da farklı değildir. Pratikte, TLS’nin SSL’in geliştirilmiş bir versiyonunu temsil etmesinin yanı sıra, iki teknik kavram aynı hizmeti tanımlar ve konuşma dilinde eş anlamlı olarak rahatlıkla kullanılabilir.
8. SSL nedir?
Teknik anlamda SSL, şifrelemeye dayalı bir internet güvenlik protokolüdür. Güvenlik, gizlilik, veri bütünlüğü ve kimlik kanıtı sağlamak için tasarlanmıştır. İlk olarak 1995 yılında Netscape tarafından geliştirilmiş olup, şu an yaygın olarak kullanılan TLS şifrelemesinin öncüsü olmuştur.