SSL ile Güvenli Bağlantıların Perde Arkası

SSL ile Güvenli Bağlantıların Perde Arkası
Genel

SSL ile Güvenli Bağlantıların Perde Arkası

SSL, günümüzde neredeyse her sitede karşımıza çıkan kavramlardan biridir. Açılımı Secure Socket Layer‘dir. Kısaca “Güvenli Giriş Katmanı” olarak adlandırdığımız bu kavram, veri güdümlü dünyamızda bize ne gibi güvenlik artıları sağladığına ve web siteleriyle iletişimimizi sağladığı rollere gelin yakından bakalım.

SSL Nedir?

SSL teknolojisi, ilk olarak 1994 yılında Netscape tarafından geliştirildi. İlk sürüm olan SSL 1.0, hiçbir zaman genel kullanıma sunulmadı çünkü güvenlik açıkları içeriyordu. Ancak, 1995 yılında SSL 2.0 piyasaya sürüldü ve bu sürüm internet üzerindeki güvenli veri aktarımının temelini oluşturdu. SSL 2.0’ın da bazı güvenlik sorunları olması üzerine, 1996 yılında daha güvenli bir sürüm olan SSL 3.0 geliştirildi. Bu sürüm, modern internet güvenliğinin gerçek başlangıcını işaret ediyor.

SSL, internet üzerinden bilgi alışverişinin güvenliğini sağlamak amacıyla kullanılan kriptografik (Şifreleme Bilimi) bir protokoldür. Bu protokol, web sunucusu ile kullanıcının tarayıcısı arasında gönderilen bilgilerin şifrelenmesini sağlar, böylece bu bilgilerin yetkisiz kişilerce okunması veya değiştirilmesi engellenmiş olur. Bu sistem, site adreslerinin doğruluğunu kontrol ediyor ve site ile cihazımız arasında güvenli bir bağlantı kurarak şifreli kanallar üzerinden veri alışverişi yapmamızı sağlıyor. Verilerin şifrelenmesi için ise genellikle simetrik şifreleme kullanılır. Bu yöntemde, hem veri gönderici hem de alıcı tarafından bilinen bir anahtar ile veriler şifrelenir ve şifresi çözülür. Bu, verilerin yalnızca yetkili kullanıcılar tarafından erişilebilir olmasını sağlar.

SSL Sertifikası Güvenliği Nasıl Sağlıyor?

SSL sertifikası, bir web sitesinin gerçekten iddia ettiği gibi olup olmadığını onaylayan dijital bir kimlik kartı görevi görür. Web sitesi sahipleri, SSL sertifikası almak için bir sertifika otoritesine başvuruda bulunurlar. Bu otorite, site sahibinin kimliğini doğrular ve sertifikayı düzenler. Bu süreç, internet kullanıcılarının güvenli bir şekilde bilgi paylaşımı yapmasını sağlar.

SSL Sertifikalarının Çeşitleri Nelerdir?

SSL sertifikaları farklı tiplerde olabilir ve her biri farklı düzeyde güvenlik ve doğrulama sunar:

  • Alan Adı Doğrulaması (DV SSL): En temel sertifika türüdür, yalnızca alan adının sertifika talep eden kişi veya kurum tarafından kontrol edildiğini doğrular.
  • Organizasyon Doğrulaması (OV SSL): Bu sertifikalar, alan adının yanı sıra şirketin veya organizasyonun varlığını ve güvenilirliğini de doğrular.
  • Genişletilmiş Doğrulama (EV SSL): En yüksek güvenlik seviyesini sunar ve şirketin yasal, fiziksel ve operasyonel varlığını kapsamlı bir şekilde doğrular.

Neden SSL Kullanıyoruz?

SSL sertifikalarının kullanımı, sadece güvenlik açısından değil, aynı zamanda SEO (Arama Motoru Optimizasyonu) performansı için de önemlidir. Google gibi arama motorları, SSL sertifikası olan siteleri tercih eder ve bu siteler arama sonuçlarında daha üst sıralarda yer alabilir. Ayrıca, kullanıcıların sitelere olan güvenini artırır ve e-ticaret gibi sektörlerde kullanıcılar güvenle alışveriş yapabilir.

Güvenlik için Dönüşüm: SSL’den TLS’ye Geçiş

SSL, zamanla güvenlik açıklarına karşı yetersiz kalmaya başladı ve bu açıkları gidermek için sürekli güncellemeler yapıldı. 1999 yılında, SSL’in yerini alacak yeni bir protokol olan TLS (Transport Layer Security) tanıtıldı. “Taşıma Katmanı Güvenliği” olarak adlandırdığımız TLS, SSL’in devamı niteliğinde olup, daha üstün güvenlik özellikleri sunar. TLS’nin en son versiyonu olan TLS 1.3, 2018 yılında yayınlandı ve internet güvenliği standartlarında yeni bir dönemi başlattı. Günümüzde çoğu web sitesi, güvenli veri aktarımı için TLS protokolünü kullanmaktadır, ancak halk arasında bu teknoloji hala genellikle “SSL” olarak adlandırılmaktadır.

Dünyanın En Büyük Sertifika Otoritesi: Let’s Encrypt

Yukarıda da bahsettiğimiz üzere SSL sertifikaları belirli otoriteler tarafından doğrulanıyor. Bu kurumların başında da Let’s Encrypt ipi göğüslüyor. ISRG (Internet Security Research Group) tarafından işletilen ve TLS (Aktarım Katmanı Güvenliği) şifrelemesi için X.509 sertifikalarını ücretsiz olarak sağlayan, kar amacı gütmeyen bir sertifika yetkilisidir. Tüm web sitelerinin güvenli olması ve HTTPS kullanması amacıyla 300 milyondan fazla web sitesi tarafından kullanılan, dünyanın en büyük sertifika otoritesidir.

HTTPS Nedir?

HTTPS (Hypertext Transfer Protocol Secure), yani “Güvenli Metin Aktarım Protokolü” web tarayıcıları ile web sunucuları arasında güvenli bir iletişim kurulmasını sağlayan bir protokoldür. Temelde HTTP’nin güvenli bir sürümü olan HTTPS, iletilen verilerin şifrelenmesini ve böylece üçüncü tarafların bu verilere erişmesinin önüne geçilmesini sağlar.

HTTPS Nasıl Çalışıyor?

HTTPS, SSL (Secure Sockets Layer) veya daha modern sürümü olan TLS (Transport Layer Security) protokolleri kullanılarak iletişim kanalını şifreler. Bir kullanıcı, HTTPS protokolünü kullanarak bir web sitesine bağlandığında, tarayıcı ve sunucu arasında bir SSL/TLS el sıkışması gerçekleşir. Bu süreçte:

  1. Kimlik Doğrulama: Sunucu, kendisini doğrulamak için bir dijital sertifika (genellikle bir SSL sertifikası) sunar. Bu sertifika, bir güven otoritesi tarafından onaylanmıştır ve sunucunun gerçekten iddia ettiği sunucu olduğunu kanıtlar.
  2. Şifreleme Anahtarlarının Değişimi: Taraflar, veri şifrelemek ve şifreyi çözmek için kullanılacak geçici şifreleme anahtarlarını güvenli bir şekilde değiştirir.
  3. Veri Aktarımı: Anahtar değişimi tamamlandıktan sonra, gönderilen ve alınan tüm veriler bu anahtarlar kullanılarak şifrelenir. Bu, verilerin bütünlüğünü ve gizliliğini korur.

Bahsedilen 3 adım sırasıyla gerçekleşir.

HTTPS’nin Hangi Avantajları Var?

  • Gizlilik ve Güvenlik: Verilerin şifrelenmesi, hassas bilgilerin (kredi kartı numaraları, şifreler vb.) izinsiz erişimden korunmasını sağlar.
  • Veri Bütünlüğü: Şifreleme, verilerin transfer sırasında değiştirilmesini veya bozulmasını önler.
  • E-Doğrulama: Dijital sertifikalar, kullanıcıların ziyaret ettikleri sitenin gerçekten ilgili kurum veya şirket tarafından yönetildiğinden emin olmalarını sağlar.

Bu yazımızda, internet teknolojilerinin gelişimiyle birlikte, SSL sertifikalarının öneminin artmaya devam ettiğini, özellikle son dönemde artan kişisel verilerin korunması ve internet güvenliği konularındaki gelişmeler, SSL kullanımını nasıl zorunlu hale getirdiğine değindik.