• SSL Sertifikası Nedir (ve Neden İhtiyacınız Var?)

    Bir SSL sertifikası, bir kullanıcının tarayıcısı ile bağlandıkları web sitesinin sunucusu arasında güvenli iletişim oturumları oluşturmada kritik bir rol oynar. Ancak SSL sertifikası tam olarak nedir ve işletmenizin hassas verilerini korumak için nasıl çalışır?

    Bir SSL sertifikası (veya daha doğrusu bir TLS sertifikası), web güvenliğinin en önemli bileşenlerinden biridir. SSL sertifikası, bir web sitesini ziyaret eden herkesin web sitesinin gerçek olup olmadığını ve web sitesine aktarılan verilerin güvenli bir şekilde şifrelenip şifrelenmediğini kontrol etmesine olanak tanır. Bu da onu vazgeçilmez kılıyor.

    Ancak SSL sertifikası nedir? SSL sertifikası nasıl çalışır? Ve neden web siteniz için bir SSL sertifikasına ihtiyacınız var - dahası, birini kullanmanın avantajları nelerdir?

    SSL Sertifikası Nedir?

    SSL sertifikası, kullanıcıların web sitenize güvenli bir şekilde bağlanmasını sağlayan dijital bir sertifikadır. Bu veri dosyaları, sitenizin sunucusunun, kullanıcıların cihazlarında kimlik doğrulaması yapmasına ve şifreli bağlantılar kurmasına olanak tanıyan, kuruluşunuz hakkında bilgiler içerir.

    SSL terimi, "güvenli yuva katmanı" için sektörel kısaltmadır. Bu, genel ağlar üzerinden şifreli iletişim oturumlarına olanak sağlayan bir güvenlik protokolüdür. SSL sertifikaları, şirketlerin web sitelerinin veri aktarımlarını güvence altına almak ve kurumsal kimliklerini doğrulamak için kullandıkları dijital dosyalardır. Temel anlamda, müşterilerinizin tarayıcılarında bu samimi “HTTPS”nin görünmesini sağlayan ve sitenizin güvenli olduğunu bildiren şeydir.

    ( SSL tanımına ve anlamına daha derinlemesine bakmak için konuyla ilgili diğer makalemize göz atmayı unutmayın.)

    Ancak gerçek şu ki, "SSL" ve "SSL sertifikası", BT güvenlik topluluğunda varlığını sürdüren eski terimlerdir. Sektör artık bu amaç için aktarım katmanı güvenliği veya TLS adı verilen başka bir güvenli protokole güveniyor. TLS, esasen, SSL'nin halefidir. TLS'nin burada girmeyeceğimiz bazı teknik farklılıkları vardır, ancak buradaki nokta, bu güvenli bağlantıları kurarken daha fazla hız ve güvenlik sunmasıdır.

    Böylece, sektördeki insanların “SSL” ve “TLS” terimlerini her zaman birbirinin yerine kullandığını fark edeceksiniz. Bazen, bunların yerine "SSL/TLS" gibi bir kombinasyon yöntemiyle yazıldığını görürsünüz. Her iki durumda da, biraz netlik sağlamak için bunu açıklamak için biraz zaman ayırmak istedik.  

    SSL Sertifikası Ne Yapar?

    Basitçe söylemek gerekirse, SSL/TLS sertifikaları, bu asma kilit simgesini ve “HTTPS”yi kullanıcıların web tarayıcılarında görünmesini sağlayan şeydir. Şuna benziyor:

     

    TLS sertifikaları temel olarak SSL sertifikalarıyla aynı şeyleri yapar, bu nedenle insanlar genellikle terimleri birbirinin yerine kullanır. Bu nedenle, her iki terimi de birleştirmenin bir yolu olarak onlara “SSL/TLS sertifikaları” diyen insanlar göreceksiniz. SSL/TLS sertifikalarının yaptığı:

    Kurumsal Kimliğinizi Web Sitenize Ekleyin

    Bu çok önemli bir adım. Bir tarayıcının güvenli bir bağlantı kurabilmesi için önce sizin güvenilir olduğunuzu bilmesi gerekir. Bu, sunucunuzun tarayıcıyla kimlik doğrulamasını gerektirir.

    Verileri Aktarımda Güvende Tutmak için Veri Aktarımlarını Şifreleyin

    Bu sertifikalar, üçüncü tarafların (kullanıcıların cihazları gibi) verilerini güvenli bir şekilde iletebilmeleri için web sitenizle şifreli bir bağlantı kurmasına yardımcı olur. Genel olarak güvenilen her meşru SSL/TLS sertifikası, kaynaklandıkları kök sertifikaya kadar izlenebilir veya "zincirlenebilir". Bu, " SSL sertifika zinciri " veya "güven zinciri" olarak bilinen şeyi oluşturur ve şöyle görünür:

    SSL/TLS sertifikaları, sertifika yetkilileri (CA'lar) olarak bilinen, herkese açık olarak güvenilen üçüncü taraflarca verildiklerinden güvenilirdir. CA'lar, bireylere, web sitelerine, kuruluşlara çeşitli dijital sertifikalar veren ticari kuruluşlardır. Ancak bunu yapmadan önce, sertifika talep edenin söz konusu etki alanını kontrol ettiğini (ve kuruluşun kendisinin meşru olduğunu) doğrulamaları gerekir.

    SSL/TLS Sertifikaları Birden Çok Çeşide Gelir

    Blogun bu bölümü ayrıca “SSL sertifikası nedir?” sorusunu da yanıtlıyor. SSL/TLS sertifikalarının tek boyutlu araçlar olmadığını söyleyerek. Web sitenizin ihtiyaçlarını karşılamak için birden fazla çeşitte gelirler. Bu dijital sertifikalar genellikle iki yoldan biriyle sınıflandırılır: 1) doğrulama türüne göre ve 2) sertifika işlevine göre.

    SSL Sertifika Doğrulama Seviyeleri

    SSL doğrulaması , bir CA'nın bir SSL sertifikası vermeden önce bir alan adının ve/veya talepte bulunan şirket hakkındaki diğer bilgilerin sahipliğini doğrulaması anlamına gelir. CA'nın gerçekleştirdiği doğrulamanın kapsamına bağlı olarak, SSL sertifikaları üç doğrulama düzeyine ayrılabilir:

    Etki Alanı Doğrulama (DV)

    Etki alanı doğrulama sertifikası , yalnızca etki alanı sahipliğini doğruladığı için en temel SSL sertifikasıdır. Bu doğrulama düzeyi, ziyaretçilerden bilgi toplamayan bilgilendirici web siteleri için kullanışlıdır. DV sertifikaları da genellikle ucuzdur ve siteniz için alınması yalnızca birkaç dakika sürer.

    Organizasyon Doğrulama (OV)

    Kuruluş doğrulama sertifikası , yalnızca web sitelerinin değil, işletmelerinin de doğrulanmasını isteyen kuruluşlar için temel iş doğrulaması sunar. Alan adı sahipliğini doğrulamanın yanı sıra, CA iş yerini, kayıt belgelerini, telefon numarasını ve hatta bilgileri doğrulamak için aramayı doğrulayacaktır. OV, site ziyaretçilerinden hassas veriler toplayan siteler tarafından kullanılan minimum düzey olmalıdır.

    Genişletilmiş Doğrulama (EV)

    Web sitesi, ziyaretçilerin banka bilgileri de dahil olmak üzere kişisel veriler topluyorsa, en iyi seçeneğiniz bir EV sertifikasıdır. EV, “ genişletilmiş doğrulama ” anlamına geldiğinden, bu sertifika yalnızca CA, kuruluşun kapsamlı bir doğrulamasını tamamladıktan sonra verilir. Genel olarak, EV sertifikalarının düzenlenmesi, sıkı doğrulama süreçleri nedeniyle OV sertifikalarından daha uzun sürer.

    Bu nedenle, tüm ayrıntıların doğrulanması ve EV sertifikasının düzenlenmesi bir ila beş gün sürer. Ancak, uzun doğrulama süreci beklemeye değer çünkü şirketinizin doğrulanmış adını hem tarayıcınızda hem de sertifikanın kendisinde kolayca bulabileceğiniz bir yerde belirgin bir şekilde gösterebileceksiniz.

    EV sertifikaları kullanan sitelerde tarayıcınızın adres çubuğundaki güvenlik asma kilit simgesine tıkladığınızda görüntülenen doğrulanmış şirket bilgisi türünün ekran görüntüsü.

    Sertifika (Geçerli) mesajına tıklarsanız, sertifika bilgilerini daha derinlemesine görmenizi sağlayan ayrı bir pencere açar. Burada, ek doğrulanmış şirket bilgilerini sertifikanın konu ayrıntıları bölümünde bulabilirsiniz (aşağıdaki ekran görüntüsünde görüldüğü gibi).

    SSL Sertifika İşlevleri

    Her işletmenin farklı ihtiyaçları vardır. Küçük bir şirketin güvence altına alması gereken çok fazla etki alanı ve alt etki alanı olmayabilir, oysa yerleşik ve iyi bilinen bir kuruluş birçok etki alanına ve alt etki alanına sahip olabilir. SSL sağlayıcıları, işletmelerin ihtiyaçlarını karşılamak için farklı türde sertifikalar sunar.

    Bu bizi SSL sertifikalarının ikinci kategorizasyonuna getiriyor: işlevsellikler.

    Tek etki alanı sertifikaları

    Tek alanlı web siteleri, bir birincil alan adını (yani, kök alan adınızı) güvence altına alacak şekilde tasarlanmıştır. Bu sertifika, alt alan adlarını veya konu alternatif ad (SAN) alan adlarını kapsamaz, bu nedenle yalnızca bir web siteniz varsa en iyisidir. Tek etki alanı sertifikaları ucuzdur ve web sitesine temel şifreleme sunar.

    Örneğin, web sitenizin adı mywebsite.com ise, URL çubuğunda aşağıdaki gibi bir asma kilit görüntülenecektir:

    Joker Karakter Sertifikası

    Birden çok alt alana sahip tek bir alan adınız varsa, joker karakter sertifikası seçebilirsiniz. Bir joker karakter sertifikası, birincil alan adınızı ve tüm tek düzeyli alt alan adlarınızı tek bir sertifikada güvence altına alabilir. Tüm bu alt alanlar için bir grup bireysel sertifikayı yönetmek için zaman ve enerji harcamanıza gerek yok.

    Örneğin, alan adınız mywebsite.com ise ve tek bir düzeyde birden fazla alt alan adınız varsa (blog.mywebsite.com, store.mywebsite.com ve login.mywebsite.com gibi), joker karakter sertifikanız hepsini kapsayacaktır. onlardan.

    Aşağıdaki şekil, Oracle.com'un geliştirici.oracle.com, docs.oracle.com ve yatırımcı.oracle.com alt alanlarını kullanan canlı bir web sitesinde bu konseptin nasıl göründüğünün bir temsilidir:

    Çoklu Alan Sertifikası

    Çoklu alan sertifikası, tek bir SSL/TLS sertifikası altında birden çok alan adını korur. Bu, aynı anda birkaç sertifika yerine yalnızca bir sertifikayı yönetmeniz gerektiği anlamına gelir. Bu, her biri farklı sona erme tarihlerine sahip olabilecek birden çok sertifikayı takip etmek zorunda olmadığınız için sertifika yönetimini çok kolay hale getirir. Örneğin, tüm alan adlarınız mywebsite1.com, mywebsite2.com ve mywebsite3.com tek bir çok alanlı sertifika ile güvence altına alınabilir.

    Aşağıdaki şekil, Amazon'un amazon.com, amazon.co.jp ve amazon.co.uk alanlarını kullanan canlı bir web sitesinde bu konseptin nasıl göründüğünün görsel bir temsilidir:

    Çok Alanlı Joker Karakter

    Adından da anlaşılacağı gibi, çok alanlı joker sertifika, kayıtlı alt alan adlarıyla birlikte birden fazla alan adını koruma kapasitesine sahiptir. Dolayısıyla, her biri birden fazla alt alana sahip birden fazla web sitesine sahip büyük bir şirketseniz, hepsini güvenceye almak için tek bir sertifika satın alabilirsiniz. Bu, zamanı geldiğinde fazla çaba harcamadan sertifikayı satın almayı, yönetmeyi ve yenilemeyi kolaylaştırır.

    Amazon'un amazon.com ve amazon.co.uk alan adlarını ve bunların alt alanlarını eczane.amazon.com kullanarak bu kavramın nasıl göründüğüne dair bir örneğe bakalım:

     

    SSL Sertifikası Nasıl Çalışır?

    SSL sertifikasının, kuruluşunuz veya web siteniz hakkında tanımlayıcı bilgiler içeren bir veri dosyası olduğundan daha önce bahsetmiştik. Ama tüm yaptığı bu değil. SSL/TLS sertifikaları, tanımlayıcı bilgiler ve kriptografik özellikler sağlar. Bu veriler, sunucunuzun, müşterilerinizin web istemcilerine (tarayıcılarına) kendisini tanımlamasını ve kimliğini doğrulamasını ve benzersiz güvenli oturumlar oluşturmasını sağlar.

    SSL sertifikaları, aşağıdakiler de dahil olmak üzere birçok türde genel ve hassas bilgi içerir:

    • Sertifika veren (yani sertifikayı veren CA) hakkında bilgi,
    • Sertifika sahibine ilişkin bilgiler (yani, sertifikanın verildiği alan ve/veya kuruluş),
    • Sertifikanın açık anahtarının bir kopyası,
    • Hangi şifreleme ve karma algoritmaları desteklediğini ve
    • Hangi SSL/TLS protokol sürümlerini desteklediği.

    Bu bilgilere sahip olmak, web istemcilerinin (tarayıcıların) ve web sitenizin sunucusunun nasıl güvenli bir şekilde iletişim kurmak istedikleri konusunda anlaşmalarını sağlar.

    SSL Sertifikaları Uç Noktaların Güvenli Bağlantılar Kurmasına Yardımcı Olur

    Bir SSL sertifikası, ortak anahtar altyapısının, yani PKI'nin önemli bir bileşenidir. Basit bir deyişle, PKI, açık anahtar şifrelemeyle ilgili her şeyi yönetmenize izin veren bir standartlar, teknolojiler ve süreçler çerçevesidir. Bunun büyük bir kısmı, dijital sertifikaların yaşam döngülerini yönetmektir - oluşturma ve dağıtımlarından kullanımlarına, yeniden düzenlemelerine ve iptallerine kadar her şey. Ve PKI'nin kalbinde açık anahtar şifrelemesi bulunur.

    Ancak açık anahtar şifrelemesi nedir ve neden önemlidir? Cevap basit ama karmaşık: açık anahtar şifrelemesi olmadan internette güvenlik olmazdı. Veriler internet üzerinden iletildiğinde, bunu düz metin biçiminde yapar, yani onu ele geçiren herkes onu okuyabilir. Bu bilgileri korumanın tek yolu, hassas düz metin verilerinizi, şifre çözme anahtarı olarak bilinen bir şey olmadan kimsenin anlayamayacağı anlamsız kelimelere dönüştürmek için şifreleme kullanmaktır.

    Genel anahtar şifrelemesi veya asimetrik şifreleme olarak bilinen şey, bunun gerçekleşmesi için gereklidir. internet üzerinden. Asimetrik şifreleme, geçiş halindeki verileri şifrelemek ve şifresini çözmek için genel anahtar çiftlerine (matematiksel olarak benzer ancak benzersiz şifreleme anahtarları kümesi) dayanır.

    • Açık anahtar, düz metin verilerini şifreler. Herkese açık bir anahtar kolayca erişilebilir durumdadır, bu nedenle adı. Aynı anahtar tarafından imzalanmış verilerin şifresini çözmek için kullanılamaz.
    • Özel anahtar, şifrelenmiş verilerin şifresini çözer. Bu anahtar gizlidir, yani anahtar sahibinden (yani web sunucunuz) başka hiç kimse ortak anahtar tarafından imzalanmış verilerin şifresini çözemez. İletim sırasında verileri engellemeye çalışan herhangi biri, yalnızca ayırt edilemez metin görecektir. Bu, müşterilerinizin hassas verilerini çalmalarını imkansız hale getirir.

    Bu iki taraf arasındaki konuşmayı mümkün kılan bir SSL/TLS sertifikasıdır. Ortak anahtar şifrelemesini kullanarak gerekli tüm bilgileri değiş tokuş ettikten sonra, sunucu ve tarayıcı, o bireysel oturum için özel olarak tasarlanmış asimetrik oturum anahtarı oluşturur. Bu anahtar, ortak anahtar şifrelemesinden daha hızlı olan simetrik şifreleme kullanarak web sitesi ile istemci arasında güvenli bir şekilde veri aktarımını mümkün kılar. Her iki taraftaki veriler bu oturum anahtarı kullanılarak oturumun geri kalanı için şifrelenecek ve şifresi çözülecektir.

    Aşağıda ekli video size bu işlemin grafik bir açıklamasını verecektir:

    Neden SSL Sertifikasına ihtiyacınız var?

    Bir web siteniz varsa, bir SSL sertifikanız olmadığı sürece bunu başarılı kılmak sizin için bir seçenek değildir. Web siteniz için bir SSL sertifikasına ihtiyaç duymanızın nedeni çok yönlüdür.

    SSL Sertifikaları Kimliğinizi Doğrular

    Bir sertifika yetkilisi (CA), istekte bulunanın web sitesinin sahibi olduğunu veya kontrol ettiğini doğrular. OV ve EV sertifikaları söz konusu olduğunda, CA, kuruluşun kendisinin meşru olduğunu doğrulamak için bir adım daha ileri gider. (OV, temel iş doğrulaması sağlarken EV, şirketinizin kapsamlı doğrulamasını sağlar.) OV ve EV sertifikaları, müşterilerinizin kuruluşunuzla iş yaparken kendilerini güvende hissetmelerini sağlamak için daha yüksek güvenilirlik sunar.

    Bir EV sertifikası tercih edilir çünkü daha fazla güven oluşturur, çünkü kimliğinizi doğrulamak ve kuruluşunuzun iyi durumda olduğundan emin olmak için güvenilir bir üçüncü taraf gerektirir. Bu doğrulama düzeyi, özellikle aşağıdaki site türleri için iyidir:

    • Hastaneler ve sağlık kuruluşları,
    • E-ticaret siteleri ve
    • Bankacılık ve diğer finansal kuruluşlar.

    SSL Sertifikaları Güvenli İletişim Oturumları Sağlar

    Bir SSL sertifikası, iki cihaz arasında aktarılan verilerin kötü niyetli önleyicilerden korunmasını sağlar. (Bunlar ortadaki adam saldırganları olarak bilinir.) Yukarıda gördüğümüz gibi, gerekli şifre çözme anahtarına sahip olmayan herkes tarafından okunamayacak hale getirmek için veriler şifrelenecektir. Böylece, kullanıcı kimliklerinizi, şifrelerinizi ve diğer hassas bilgilerinizi internette iletilirken koruyabilirsiniz.

    SSL Sertifikaları, Daha Yüksek Arama Motoru Sıralaması Elde Etmenize Yardımcı Olur

    Google dahil neredeyse tüm büyük arama motorları, HTTPS'yi web siteleri için sıralama faktörlerinden biri olarak kabul eder . 2018'de Google Chrome, bir site HTTPS olmadığında adres çubuğuna uğursuz "Güvenli Değil" işaretleri göndermeye başladı. Yakın gelecekte bir SSL sertifikanız yoksa arama motorları web sitenizi engelleyebilir.

    Ödemeleri Kabul Etmek İstiyorsanız SSL Sertifikaları Zorunludur

    Bu, “neden bir SSL sertifikasına ihtiyacınız var?” Sorusuna özellikle önemli bir cevaptır. Ödeme Kartı Sektörü Veri Güvenliği Standartları (PCI DSS) , kredi kartı ödemelerini kabul eden işletmeler için bir bilgi güvenliği standardıdır.

    Diyelim ki çevrimiçi ödemeleri kabul ettiğiniz, çevrimiçi iş yapmak için bir web siteniz var. Bu durumda, web sitenizi güvenli hale getiren bir SSL sertifikasına sahip olmanız gerektiğinden, PCI DSS'yi tanımanız gerekir.

    Bir SSL sertifikanız yoksa ve müşterilerinizden ödeme kabul ediyorsanız, PCI DSS gereksinimlerini ihlal edersiniz. Bu, büyük kart markaları aracılığıyla çevrimiçi ödeme kabul etmenize rağmen sitenizde geçerli bir sertifika yüklü değilse, bireysel kredi kartı şirketlerinden aylık ağır cezalar dahil olmak üzere cezalarla karşı karşıya kalacağınız anlamına gelir. Bu, bildiğiniz gibi çevrimiçi işinizin sonu olabilir.

    Müşterileriniz Size Güvenebilir

    Çevrimiçi ticaret söz konusu olduğunda, müşterileriniz gerçekliğinizi kanıtlayacak somut bir şey olmadan size güvenemez. Üçüncü taraf güvencesi varsa, size kolayca güvenecek ve web sitenizden herhangi bir tereddüt etmeden bir şeyler satın alacaklardır. Bir OV veya EV SSL sertifikası tam olarak şudur: web sitenizin orijinal olduğuna ve işletmenizin devam ettiğine dair bir üçüncü taraf güvencesidir. Ayrıca müşterilerinize, verilerinin cihazlarından web sitesinin sunucusuna güvenli bir şekilde aktarılacağını garanti eder. Bunun müşteri tabanınız ve çevrimiçi mağazanızla olan ilişkileri üzerinde çok olumlu etkileri olabilir.

    Baymard Enstitüsü'nün araştırmasına göre, alışveriş sepetini terk eden müşterilerin %17'si bunu, kredi kartı bilgileriyle web sitesine güvenmedikleri için yapıyor. Web sitenizde müşterilerinize “Güvenli Değil” diye bağıran bir mesaj varsa, yalnızca sitenizden ayrılacakları ve mallarını başka bir yerden, muhtemelen rakiplerinizden birinden alacakları mantıklıdır. Geçerli bir SSL sertifikası kullanmak, kullanıcılar ve web istemcileri arasında güven oluşturmanın anahtarıdır.

    SSL Sertifikasını Nasıl Alabilirim?

    Bir SSL sertifikası kavramını ve ihtiyacını anladıysanız, muhtemelen aklınızda son bir soru vardır: “Nasıl alabilirim?” Peki, işte cevabın…

    EASY4SSL.COM'da internetteki en düşük fiyatlardan bazılarında SSL/TLS sertifikaları sunar. İster DV, ister OV veya EV sertifikası isteyin, Easy4SSL'de aralarından seçim yapabileceğiniz birçok seçenek vardır. Evrakları ve diğer detayları sağlayabilir ve anında SSL sertifikanızı alabilirsiniz.

    “SSL Sertifikası Nedir ve Neden İhtiyacım Var?” Üzerine Son Düşünceler

    Saldırganları uzak tutmak için evinizi nasıl kilitlediğiniz gibi, kötü bilgisayar korsanlarını ve diğer siber suçluları uzak tutmak için web siteniz için küçük bir asma kilide sahip olmanız gerekir. Kötü niyetli saldırıların her geçen gün arttığı bir dünyada, SSL sertifikasının sitenizin web adres çubuğuna verdiği asma kilit simgesine sahip olmak zorunludur.

    Bir SSL sertifikasına sahip olmak için, orijinalliğinizi CA'nıza kanıtlamanız yeterlidir. Süreci beğenmediyseniz veya çok ayrıntılı buluyorsanız, tekrar düşünün. Bu süreç, çevrimiçi ortamda itibarınızı ve itibarınızı zedeleyebilecek sahte işleri uzak tutmak için tasarlanmıştır. Bu nedenle, kendi güvenliğiniz için tasarlanmış geek terminolojisi ve sertifikasyon süreci ile bunalmanıza gerek yok.

    Latest Posts
    Categories