SSL sertifikası, bir web sitesinin kimliğini doğrulayan ve şifreli bir bağlantı sağlayan dijital bir sertifikadır. Bir web sunucusu ve web tarayıcısı arasında şifreli bağlantı oluşturan bir güvenlik protokolü olan SSL’nin açılımı Güvenli Yuva Katmanıdır.
Şirketler ve kuruluşlar, çevrimiçi işlemleri güvence altına almak ve müşteri bilgilerinin gizliliğini ve güvenliğini korumak için web sitelerine bir SSL sertifikası eklemelidir.
Kısacası: SSL, internet bağlantılarının güvenli olmasını sağlar ve suçluların iki sistem arasında aktarılan bilgileri okumasını ya da değiştirmesini engeller. Adres çubuğundaki URL’nin yanında bir asma kilit işareti görüyorsanız bu, ziyaret ettiğiniz sitenin SSL sertifikasıyla korunduğu anlamına gelir.
25 yıl önce kullanılmaya başlamasından beri SSL protokolünün birçok sürümü oldu ve bunların hepsi bir noktada güvenlik sorunlarıyla karşılaştı. Daha sonra, yeni bir isme sahip yenilenmiş bir sürüm olan TLS (Aktarım Katmanı Güvenliği) çıktı ve bugün hala kullanılıyor. Ancak SSL kısaltması terk edilmedi, yani protokolün yeni sürümü çoğunlukla hala eski adıyla anılıyor.
SSL, kullanıcılar ve web siteleri ya da iki sistem arasında aktarılan verilerin hiçbir şekilde okunamamasını sağlar. Aktarılmakta olan verileri karmaşık hale getirmek için şifreleme algoritmaları kullanır ve bu sayede korsanların bağlantı üzerinden gönderilmekte olan verileri okumasını engeller. Bu veriler arasında isimler, adresler, kredi kartı numaraları veya diğer finansal bilgiler gibi hassas olabilecek bilgiler bulunabilir.
İşlem şu şekilde gerçekleşir:
Bu işlem bazen “SSL el sıkışması” şeklinde adlandırılır. Uzun bir işlem gibi görünse de milisaniyeler içinde gerçekleşir.
Bir web sitesi SSL sertifikası ile güvenli hale getirilmişse URL’de HTTPS (Güvenli Köprü Metni Aktarım Protokolü) kısaltması görünür. SSL sertifikası yoksa Secure (Güvenli) anlamına gelen S harfi olmadan yalnızca HTTP kısaltması görünür. Ayrıca URL adres çubuğunda bir asma kilit simgesi de gösterilir. Bu simge, güveni temsil eder ve web sitesini ziyaret edenlere güvence verir.
SSL sertifikasının ayrıntılarını görüntülemek için tarayıcı çubuğundaki asma kilit simgesine tıklayabilirsiniz. Genelde SSL sertifikalarında şu ayrıntılar yer alır:
Kullanıcı verilerinin güvende olmasını sağlamak, web sitesinin sahipliğini doğrulamak, saldırganların sitenin sahte bir sürümünü oluşturmasını engellemek ve kullanıcılara güven vermek için web sitelerinin SSL sertifikasına sahip olması gerekir.
Web sitesi kullanıcılardan oturum açmalarını, kredi kartı numarası gibi kişisel bilgiler girmelerini veya sağlık yardımları ya da finansal bilgiler gibi gizli bilgileri görüntülemelerini istiyorsa verilerin gizliliğini korumak şarttır. SSL sertifikaları çevrimiçi işlemlerin gizli kalmasını sağlar ve kullanıcılara web sitesinin gerçek olup özel bilgileri paylaşmak için güvenli olduğuna dair güvence verir.
Şirketler için asıl önemli olan ise HTTPS web adresi için SSL sertifikasının gerekli olmasıdır. HTTPS, HTTP’nin güvenli versiyonudur; bu da HTTPS web sitelerinin trafiğinin SSL ile şifrelendiği anlamına gelir. Çoğu tarayıcı, SSL sertifikasına sahip olmayan HTTP sitelerini “güvenli değil” olarak işaretler. Bu, kullanıcılara sitenin güvenli olmayabileceğine dair net bir sinyal verir ve henüz yapmamış olan işletmeleri HTTPS’ye geçiş yapmaya teşvik eder.
SSL sertifikası, aşağıdaki gibi bilgilerin güvende olmasını sağlamaya yardımcı olur:
Farklı doğrulama seviyelerine sahip farklı SSL sertifikası türleri mevcuttur. Altı başlıca SSL türü şunlardır:
Bu, en yüksek dereceli ve en pahalı SSL sertifikası türüdür. Genelde veri toplayan ve çevrimiçi ödeme içeren yüksek profilli web siteleri için kullanılır. Bu SSL sertifikası yüklü ise tarayıcı adres çubuğunda kilit simgesi, HTTPS kısaltması, işletmenin adı ve ülke gösterilir. Adres çubuğunda web sitesi sahibine ait bilgilerin gösterilmesi, sitenin kötü amaçlı sitelerden ayırt edilmesini sağlar. Web sitesi sahibi, EV SSL sertifikası almak için etki alanına yönelik özel haklara yasal olarak sahip olduğunu doğrulamak üzere standart bir kimlik doğrulama sürecinden geçmelidir.
EV SSL sertifikasına benzer bir güven düzeyine sahip bu SSL sertifikası türünü almak için web sitesi sahibinin önemli bir doğrulama sürecinden geçmesi gerekir. Bu sertifika türü de kötü amaçlı sitelerden ayırt edilmesi için adres çubuğunda web sitesi sahibinin bilgilerini gösterir. OV SSL sertifikaları genelde ikinci en pahalı (EV SSL’den sonra) sertifikadır ve birincil amaçları işlemler sırasında kullanıcının hassas bilgilerini şifrelemektir. Ticari veya kamuoyuna açık web sitelerinin, paylaşılan tüm müşteri bilgilerinin gizli kalmasını sağlamak için bir OV SSL sertifikası yüklemesi gerekir.
Bu SSL sertifikasını almaya yönelik doğrulama süreci minimum düzeydedir; bu sebeple Etki Alanı Doğrulama SSL sertifikaları düşük düzeyde güven ve minimum düzeyde şifreleme sağlar. Genelde veri toplama ya da çevrimiçi ödeme içermeyen bloglar veya bilgilendirme amaçlı web siteleri için kullanılır. Bu, en ucuz ve en hızlı alınabilen SSL sertifikası türlerinden biridir. Doğrulama sürecinde web sitesi sahibinin tek yapması gereken, bir e-postaya ya da telefon aramasına cevap vererek etki alanının sahibi olduğunu kanıtlamaktır. Tarayıcı adres çubuğunda, işletme adı olmaksızın yalnızca HTTPS ve asma kilit simgesi gösterilir.
Wildcard SSL sertifikaları, tek bir sertifika ile bir temel etki alanını ve sınırsız sayıda alt etki alanını güvenli hale getirmenize olanak tanır. Wildcard SSL sertifikası satın almak, güvenli hale getirmeniz gereken birden çok alt etki alanı varsa etki alanlarının her biri için ayrı SSL sertifikaları satın almaktan çok daha ekonomiktir. Wildcard SSL sertifikalarında, genel adın bir parçası olarak yıldız (*) işareti bulunur. Bu, aynı temel etki alanına sahip herhangi bir geçerli alt etki alanını temsil eder. Örneğin, *web sitesi için tek bir Wildcard sertifikası şu etki alanlarını güvenli hale getirmek için kullanılabilir:
Çok Etki Alanlı sertifika, birçok etki alanını ve/veya alt etki alanı adlarını güvenli hale getirmek için kullanılabilir. Yerel/dahili olanlar hariç, farklı TLD’lere (Üst Düzey Etki Alanı) sahip tamamen benzersiz etki alanları ve alt etki alanları da buna dahildir.
Örneğin:
Çok Etki Alanlı sertifikalar, alt etki alanlarını varsayılan olarak desteklemez. Bir adet Çok Etki Alanlı sertifika ile hem www.ornek.com hem de ornek.com etki alanlarını güvenli hale getirmeniz gerekiyorsa sertifika alırken her iki ana bilgisayar adının da belirtilmesi gerekir.
Birleşik İletişim Sertifikaları (UCC) da Çok Etki Alanlı SSL sertifikası sayılır. UCC’ler, başlangıçta Microsoft Exchange ve Live Communications sunucularını güvenli hale getirmek için tasarlanmıştı. Günümüzde, herhangi bir web sitesi sahibi, birden çok etki alanı adının tek bir sertifikayla güvenli hale getirilmesini sağlamak için bu sertifikaları kullanabilir. UCC Sertifikaları kurumsal olarak doğrulanır ve tarayıcıda bir asma kilit simgesi gösterilmesini sağlar. UCC’ler, yeşil adres çubuğu üzerinden ziyaretçilere en yüksek güven düzeyini vermek için EV SSL sertifikası olarak kullanılabilir.
Web sitenize en uygun sertifika türünü almak için farklı SSL sertifikası türleri hakkında bilgi sahibi olmak önemlidir.
SSL sertifikası, doğrudan bir Sertifika Yetkilisinden (CA) alınabilir. Sertifika Yetkilileri (Sertifikalandırma Yetkilisi de denir) her yıl milyonlarca SSL sertifikası düzenler. İnternetin işleyişi ve çevrimiçi ortamdaki etkileşimlerin şeffaf, güvenilir olmasında kritik bir rol oynarlar.
İhtiyaç duyduğunuz güvenlik düzeyine bağlı olarak SSL sertifikaları ücretsiz olabildikleri gibi yüzlerce dolara da mal olabilir. İhtiyacınız olan sertifika türüne karar verdikten sonra ihtiyacınız olan düzeyde SSL sertifikası veren bir Sertifika Yetkilisi bulmanız gerekir.
SSL sertifikası alma süreci aşağıdaki adımlardan oluşur:
Web sitesini kendiniz barındırıyorsanız aldıktan sonra sertifikayı kendi web ana bilgisayarınızda veya kendi sunucularınızda yapılandırmanız gerekir.
Alacağınız sertifikanın türü ve sertifikayı hangi sağlayıcıdan alacağınız, sertifika alma sürecinin ne kadar hızlı olacağını belirler. Her bir doğrulama düzeyinin tamamlanması için gereken süre farklıdır. Basit bir Etki Alanı Doğrulama SSL sertifikası siparişten dakikalar sonra düzenlenebilirken Genişletilmiş Doğrulama sertifikasını almak bir hafta kadar sürebilir.
Tek bir SSL sertifikasını aynı sunucu üzerinde birden çok etki alanı için kullanmak mümkündür. Ayrıca, tedarikçiye bağlı olarak tek bir SSL sertifikasını birden çok sunucu üzerinde kullanabilirsiniz. Bunun sebebi yukarıda bahsettiğimiz gibi Çok Etki Alanlı SSL sertifikalarıdır.
Adından da anlaşılabileceği gibi Çok Etki Alanlı SSL Sertifikaları birden fazla etki alanıyla çalışır. Bunun sayısı, düzenleyen Sertifika Yetkilisine bağlıdır. Çok Etki Alanlı SSL Sertifikaları, yine adından anlaşılabileceği gibi tek bir etki alanını güvenli hale getirmek için tasarlanan Tek Etki Alanlı SSL Sertifikalarından farklıdır.
Çok Etki Alanlı SSL Sertifikalarına SAN sertifikaları da denir ve bu da meseleyi daha karmaşık hale getirir. SAN, Konu Alternatif Adı manasına gelir. Çok etki alanlı sertifikaların tümünde, tek bir sertifika altında kapsamak istediğiniz ek etki alanlarını listelemek için kullanabileceğiniz ek alanlar (yani SAN’ler) bulunur.
Birleşik İletişim Sertifikaları (UCC’ler) ve Wildcard SSL Sertifikaları da birden çok etki alanı için kullanılabilir. Wildcard SSL Sertifikaları ile sınırsız sayıda alt etki alanı kapsanabilir.
SSL sertifikalarının bir geçerlilik süresi vardır; sonsuza dek kullanılamazlar. SSL sektörü için fiili düzenleyici kurum görevi gören Certificate Authority/Browser Forum, SSL sertifikalarının geçerlilik süresinin en fazla 27 ay olması gerektiğini belirtiyor. Bu, iki yıllık bir süre demek ve ayrıca önceki SSL sertifikanızın süresi dolmadan sertifikayı yenilerseniz üç aylık süreyi de devredebilirsiniz.
SSL sertifikalarının geçerlilik süresinin olmasının sebebi, herhangi bir doğrulama belgesinde olduğu gibi, bilgilerin hala doğru olduğunun denetlenmesi için düzenli olarak tekrar onaylanmasının gerekmesidir. Şirketler ve aynı zamanda web siteleri satın alınıp satıldıkça internette de bir şeyler değişir. Bunlar el değiştirdiğinde SSL sertifikalarıyla ilişkili bilgiler de değişir. Bu geçerlilik süresinin amacı, sunucuları ve kuruluşları doğrulamak için kullanılan bilgilerin olabildiğince güncel ve doğru olmasını sağlamaktır.
Daha önceden, SSL sertifikaları beş yıla kadar süreyle verilebiliyordu ancak bu süre öncelikle üç yıla, en son ise ekstra potansiyel üç ayla birlikte iki yıla düşürüldü. 2020 yılında Google, Apple ve Mozilla, Certificate Authority Browser Forum tarafından oylamayla reddedilmesine rağmen bir yıllık SSL sertifikası uygulamasına geçeceğini açıkladı. Bu uygulama, Eylül 2020’den sonra yürürlüğe girdi. Gelecekte sertifikaların geçerlilik süresi daha da fazla kısaltılabilir.
Bir SSL sertifikasının geçerlilik süresi sona erdiğinde, söz konusu site erişilemez hale gelir. Kullanıcının tarayıcısı bir web sitesine eriştiğinde, milisaniyeler içinde SSL sertifikasının geçerliliğini kontrol eder (SSL el sıkışması). SSL sertifikasının süresi dolmuşsa ziyaretçiler “Bu site güvenli değil. Potansiyel riskler söz konusu olabilir.” gibi bir mesaj alır.
Kullanıcılara devam etme seçeneği sunulsa da kötü amaçlı yazılım olasılığı da dahil olmak üzere siber güvenlik riskleri düşünüldüğünde devam edilmesi önerilmez. Kullanıcılar hızlıca ana sayfadan uzaklaşıp başka bir yere gideceği için bu durum, web sitesi sahipleri için hemen çıkma oranını büyük oranda etkileyecektir.
SSL sertifikası süresinin ne zaman dolacağını takip etmek büyük işletmeler için bir zorluk teşkil eder. Küçük ve orta büyüklükteki işletmelerin (KOBİ) yönetmesi gereken bir veya yalnızca birkaç tane sertifika bulunurken pazarlar arası işlem yapan, çok sayıda web sitesi ve ağa sahip kuruluş düzeyindeki şirketlerin çok fazla sertifikası olabilir. Bu düzeyde, bir SSL sertifikasını süresi dolmadan önce yenilememek, yetersizlikten ziyade ihmalkârlığın bir sonucudur. Büyük işletmelerin, SSL sertifikalarının geçerlilik süresinin ne zaman biteceğini takip etmesi için en iyi yol bir sertifika yönetim platformu kullanmaktır. Pazarda, çevrimiçi aramayla bulabileceğiniz birçok farklı ürün mevcuttur. Kuruluşlar, bu platformlar sayesinde tüm altyapılarındaki dijital sertifikaları görebilir ve yönetebilir. Bu platformlardan birini kullanıyorsanız sertifikaların yenilenme zamanını takip etmek için düzenli olarak platforma giriş yapmanız önemlidir.
Bir sertifikayı süresi dolmadan önce yenilemezseniz sertifika geçerliliğini kaybeder ve artık web sitenizde güvenli işlemler yürütemezsiniz. Sertifika Yetkilisi (CA), geçerlilik tarihinden önce SSL sertifikanızı yenilemeniz için istemde bulunacaktır.
SSL sertifikalarınızı almak için kullandığınız Sertifika Yetkilisi veya SSL hizmeti, belirlenen aralıklarda size sürenin dolmak üzere olduğuna dair bildirimler yollar. Bunlar genelde 90 gün öncesinden başlar. Bu hatırlatmaların, hatırlatmanın gönderileceği zamana kadar şirketten ayrılabilecek veya başka bir role geçebilecek tek bir kişi yerine bir e-posta dağıtım listesine gönderilmesini sağlamaya çalışın. Bu hatırlatmaları doğru zamanda doğru kişilerin görmesini sağlamak için bu dağıtım listesinde şirketinizden hangi paydaşların yer aldığını düşünün.
Sitenin SSL sertifikasına sahip olup olmadığını anlamanın en kolay yolu tarayıcınızdaki adres çubuğuna bakmaktır:
Kişisel verilerinizi ve çevrimiçi ödeme ayrıntılarınızı yalnızca EV ya da OV sertifikalarına sahip web sitelerine gönderin. DV sertifikaları, e-ticaret web siteleri için uygun değildir. Adres çubuğuna bakarak sitenin EV ya da OV sertifikasına sahip olup olmadığını anlayabilirsiniz. EV SSL sertifikası varsa şirketin adı doğrudan adres çubuğunda görünür. OV SSL sertifikası varsa asma kilit simgesine tıklayarak şirketin adını ve bilgilerini görebilirsiniz. DV SSL sertifikası varsa yalnızca asma kilit simgesi görünür.
Web sitesinin gizlilik ilkesini okuyun. Böylece verilerinizin nasıl kullanılacağını öğrenebilirsiniz. Meşru şirketler, verilerinizi nasıl topladıkları ve verilerle ne yaptıkları konusunda şeffaftır.
Web sitelerindeki güven işaretlerine ya da göstergelerine dikkat edin.
Bu işaretler arasında, SSL sertifikasının yanı sıra web sitesinin belirli güvenlik standartlarını karşıladığını gösteren tanınmış logolar ya da rozetler bulunur. Ek olarak bir sitenin gerçek olup olmadığını anlamak için fiziksel adres ve telefon numarası olup olmadığını kontrol edebilir, iade politikasını kontrol edebilir ve fiyatların gerçek olamayacak kadar iyi olmayıp inandırıcı olduğuna dikkat edebilirsiniz.
Kimlik avı dolandırıcılıklarına karşı tetikte olun.
Siber saldırganlar, insanları kandırarak bir şey satın almalarını ya da kimlik avı sitesinde oturum açmalarını sağlamak için mevcut web sitelerini taklit eden web siteleri oluşturabilirler. Bir kimlik avı sitesinin SSL sertifikası alarak sizinle site arasında akan trafiğin tamamını şifrelemesi mümkündür. HTTPS sitelerinde gerçekleşen kimlik avı dolandırıcılıklarının sayısı her geçen gün artıyor ve asma kilit simgesinden dolayı güvende hisseden kullanıcılar kandırılıyor.
İlgili makaleler: