Güvenli Yuva Katmanı (SSL), bir web sunucusu ile istemcinin web tarayıcısı arasındaki iletişimi şifrelemekle görevli bir güvenlik standardı. Bu terim oldukça yaygın kullanılıyor olsa da SSL protokolü aslında Taşıma Katmanı Güvenliği anlamına gelen TLS protokolü ile değiştirildi.
HTTPS web adresine sahip herhangi bir web sitesi, SSL/TLS protokolünü kullanıyor. Web tarayıcısı geçerli bir SSL sertifikası gördüğü zaman, adresin yanında yeşil bir asma kilit simgesi görüntülüyor. Bu da, masaüstü kullanıcısı için tarayıcısı ile web sunucusu arasındaki bütün iletişimin şifreli bir kanal üzerinden yürütüldüğüne dair görsel bir ipucu.
Neden SSL Sertifikaları Kullanılmalı?
İnternet üzerinden gönderilen herhangi bir bilgi, hedef web sunucusuna ulaşmadan önce çeşitli aracı bilgisayarlardan geçiyor. Bu durum, aradaki bu aracı bilgisayardan herhangi birinin, kullanıcı adları ve parolalar gibi bilgileri ve diğer hassas bilgileri içerebilecek iletilen verilere erişebileceği anlamına geliyor. SSL sertifikaları, internet üzerinden gönderilen bütün bilgilerin sadece hedeflenen alıcının erişebileceği şekilde şifrelenmesini sağlayarak bu riski azaltıyor. Bankacılık ve ödeme portalları gibi belli web sitelerinin, kullanıcılardan hassas bilgileri istemeden önce yasalarca belirlenmiş adımları atması zorunlu. Önemli bir ihtiyaç da, uygun bir şekilde doğrulanmış SSL sertifikalarının kullanılması.
Kullanıcılarınızdan hassas bilgileri istemiyor olsanız bile, bir SSL sertifikası bu bilgileri kullanmak istiyor. 2014 yılında Google, interneti daha güvenli hale getirme teklifiyle birlikte, arama motorunun HTTPS’yi sıralama sinyali olarak kullanmaya başladığını duyurdu. Bu geçerli bir SSL sertifikası kullanan sitelerin, daha iyi kabul edildiği ve arama sonuçlarında daha üst sıralarda yer aldığı anlamına geliyor. Bu yarar da aynı zamanda SSL sertifikasını etkili bir şekilde temel ama önemli bir SEO aracı yapıyor.
Bir SSL Sertifikası Ne İçeriyor?
Teknik olarak değerlendirecek olursak, SSL sertifikası, web sunucusunda birkaç bilgi parçası içeren bir veri dosyası. Sertifikayı en iyi yapan ise web sitesinin genel anahtarı. Buna, sertifikanın verildiği alan adı ve verilen kişi veya kuruluşla ilgili ayrıntılar eşlik ediyor. Bu sertifika aynı zamanda, dijital imzasıyla birlikte onu veren otorite hakkında da ayrıntılar içeriyor. Diğer önemli ayrıntılar arasında da sertifikanın düzenlenme tarihi, geçerlilik süresi ve sertifikanın son kullanma tarihi yer alıyor.
Genel anahtar ise iletilen verilerin şifrelenmesine ve şifrenin çözülmesine yardımcı olan uzun karakter dizileri. Genel anahtarla şifrelenmiş verilerin şifresinin sadece özel anahtarla çözülebildiği de unutulmamalı.
Bir web tarayıcı sunucusuyla iletişim kurulmaya çalışıldığı zaman, sunucunun kimliğini doğrulamak ve ardından genel anahtarı almak için sertifika aranıyor. Sonrasında ise kendisi ile web sunucusu arasında şifreli bir kanal oluşturmak için kullanılıyor. Bu kanal üzerinden iletilen bütün verilerin şifresi de sadece özel anahtara sahip web sunucusu tarafından çözülebiliyor.
SSL’leri Kim Veriyor?
SSL sertifikaları güvenilir bir Sertifika Yetkilisi (CA) tarafından veriliyor. Web tarayıcıları, işletim sistemleri ve bugünlerde mobil cihazlar bile güvenilir CA kök sertifikalarının listesini tutuyor.
Kök sertifika, özel anahtarıyla imzalanan herhangi bir SSL sertifikasına göre web tarayıcıları tarafından otomatik olarak güvenilebileceği için değerli. Bunun aksine, CA güvenilir olmazsa, tarayıcı son kullanıcıya “güvenilmeyen hata” mesajları gönderiyor.
DigiCert, IdenTrust veya Let’s Encrypt gibi işletmeler güvenilir Sertifika Yetkilileri olarak biliniyor. Microsoft, Mozilla, Google ve benzeri web tarayıcıları ve işletim sistemi geliştiricileri, bu CA’lara ve uzantı olarak özel anahtarlarıyla imzalanan SSL sertifikalarından herhangi birine güveniyor.
SSL Sertifikası Türleri Nelerdir?
SSL sertifikası genel olarak üç kategoriye ayrılabilen birkaç türe sahip. “Alan Adı Onaylı (DV) Sertifikalar” temel şifreleme ve alan adı kayıtlarının sahipliğinin doğrulanmasını kapsayan giriş seviyesi sertifikaları. Bu tür bir sertifika en ucuzu ve birkaç dakika içinde sahip olunabiliyor.
“Organizasyon Onaylı (OV) Sertifikalar”, temel şifreleme ve doğrulamaya ek olarak, sahipler ile ilgili isimleri ve adresleri doğruluyor. Söz konusu manuel doğrulama dikkate alındığı zaman bir OV sertifikası almak birkaç saat veya birkaç gün sürebiliyor.
Bir diğer sertifika ise, web sitesi sahibinin fiziksel ve operasyonel varlığını doğrulayan ve bu yüzden de en güvenilir sertifika olarak değerlendirilen “Genişletilmiş Doğrulama (EV) Sertifikaları”. Doğrulama süreci için birkaç haftaya kadar uzayabilen katı kurallara uyuyorlar.
Ayrıca bütün SSL sertifikalarının farklı çeşitleri de bulunuyor. Tam nitelikli bir alan adını güvence altına alabilen tek bir “alan sertifikası” bulunuyor. Birden çok alt alanı koruyan bir “joker karakter sertifikasından” daha ucuz.
Peki, “Kendinden İmzalı SSL Sertifikası” Nedir?
Teknik açıdan açıklayacak olursak, herkesin bir genel-özel anahtar eşlemesi oluşturarak kendi SSL sertifikasını oluşturabileceğini söyleyebiliriz. İşte bu sertifikalara “Kendinden İmzalı Sertifikalar” deniyor. Kullanılan dijital imza üçüncü taraf bir CA’dan değil, web sitesinin kendi özel anahtarından geliyor.
Anında oluşturulabilmelerine ve en kullanışlı sertifika olmalarına rağmen üçüncü taraf doğrulama web tarayıcıları, kendi kendine imzalanan sertifikaları güvenilir bulmuyorlar. Bu yüzden iletişim şifrelenmiş olsa bile, web tarayıcıları web sitesini “güvenli değil” olarak işaretliyor. Web tarayıcılarının birçoğu en azından, web sitesinin içeriğini görüntülemeden önce web sitesinin kendinden imzalı bir sertifika kullandığını anladığınızdan emin oluyor.
SSL Sertifikaları Nasıl Alınıyor?
Arama motoru sıralamasında çok büyük rol oynamalarından dolayı, herkesin kendine bir SSL sertifikası alması iyi bir fikir. İlk yapılması gereken, büyük ölçüde güvence altına almanız gereken etki alanı ve alt etki alanı sayısına bağlı olarak nasıl bir sertifikaya ihtiyacınız olduğunu belirlemek. SSL sertifikası alma süreci, bankacılık gibi düzenlenmiş sektörlerde, SSL sertifikalarının tanımlanmış ihtiyaçlarını karşıladığından emin olması gereken işletmeler için çok daha önemli.
Birkaç SSL sertifika sağlayıcısı bulunuyor. Sertifika türüne ve düzenleyen sertifika yetkilisinin itibarına ve güvenine bağlı olarak, SSL sertifikalarının maliyetleri yılda birkaç dolardan birkaç yüz dolara kadar değişebiliyor.
Bugünlerde ise Let’s Encrypt CA sayesinde ücretsiz olarak bir tane edinebiliyorsunuz. EFF, Mozilla ve Michigan Üniversitesi tarafından, Cisco ve Akamai’nin kurucu sponsorları olarak kuruldu.
Let’s Encrypt, Nisan 2016’dan bu zamana SSL sertifikalarını ücretsiz olarak dağıtan ve kar amacı gütmeyen bir CA. Sertifikaları 90 gün geçerli oluyor ve bu geçerlilik süresi boyunca herhangi bir zamanda yenilenebiliyor. Let’s Encrypt’in kendi araştırması şunu gösteriyor: Sertifikaları daha çok kişisel bloglar gibi daha küçük siteleri ve küçük işletmeleri içeren maliyet bilincine sahip kullanıcılar tarafından tercih ediliyor.