SSL Nedir? Sertifika Türleri Nelerdir?

SSL veya Güvenli Yuva Katmanı, şifreleme tabanlı bir İnternet güvenlik protokolüdür. İnternet iletişiminde gizlilik, kimlik doğrulama ve veri bütünlüğünü sağlamak amacıyla ilk olarak 1995 yılında Netscape tarafından geliştirilmiştir. SSL, günümüzde kullanılan modern TLS şifrelemesinin öncüsüdür. SSL/TLS uygulayan bir web sitesinin URL’sinde “HTTP” yerine “HTTPS” bulunur.

SSL/TLS nasıl çalışır?

  • Yüksek derecede gizlilik sağlamak için SSL, web üzerinden iletilen verileri şifreler. Bu, bu verileri ele geçirmeye çalışan herkesin yalnızca şifresini çözmenin neredeyse imkânsız olduğu bozuk bir karakter karışımı göreceği anlamına gelir.
  • SSL, her iki cihazın da gerçekten iddia ettikleri kişi olduğundan emin olmak için iletişim kuran iki cihaz arasında el sıkışma adı verilen bir kimlik doğrulama işlemi başlatır.
  • SSL ayrıca, veri bütünlüğünü sağlamak için verileri dijital olarak imzalar ve verilerin amaçlanan alıcısına ulaşmadan önce kurcalanmadığını doğrular.

Her biri bir öncekinden daha güvenli olan birkaç SSL yinelemesi olmuştur. 1999’da SSL, TLS olarak güncellendi.

SSL/TLS neden önemlidir?

Başlangıçta, Web’deki veriler, mesajı yakaladıkları takdirde herkesin okuyabileceği düz metin olarak iletildi. Örneğin, bir tüketici bir alışveriş sitesini ziyaret ederse, sipariş verecektir ve web sitesine kredi kartı numarasını girerse, o kredi kartı numarası internette gizlenmeden dolaşacaktır. Bu sorunu gidermek ve kullanıcı gizliliğini korumak için SSL oluşturulmuştur. SSL, bir kullanıcı ile bir web sunucusu arasında gidip gelen herhangi bir veriyi şifreleyerek, veriye müdahale eden herkesin yalnızca karmakarışık bir karakter karmaşası görmesini sağlar.

SSL ayrıca belirli siber saldırı türlerini de durdurur. Web sunucularının kimliğini doğrular, bu önemlidir çünkü saldırganlar genellikle kullanıcıları kandırmak ve verileri çalmak için sahte web siteleri kurmaya çalışır.

SSL ve TLS aynı şey midir?

SSL, TLS (Aktarım Katmanı Güvenliği) adı verilen başka bir protokolün doğrudan öncüsüdür. 1999’da İnternet Mühendisliği Görev Gücü (IETF), SSL için bir güncelleme önerdi. Bu güncelleme IETF tarafından geliştirildiğinden ve Netscape artık dahil olmadığından, isim TLS olarak değiştirildi. SSL’nin son sürümü (3.0) ile TLS’nin ilk sürümü arasındaki farklar çok büyük değildir; isim değişikliği, sahiplik değişikliğini belirtmek için uygulandı.

SSL sertifikası nedir?

SSL, yalnızca SSL sertifikasına (teknik olarak “TLS sertifikası”) sahip web siteleri tarafından uygulanabilir. SSL sertifikası, birinin söylediği kişi olduğunu kanıtlayan bir kimlik kartı veya rozet gibidir. SSL sertifikaları, bir web sitesinin veya uygulamanın sunucusu tarafından Web’de saklanır ve görüntülenir.

Bir SSL sertifikasındaki en önemli bilgi parçalarından biri, web sitesinin genel anahtarıdır. Genel anahtar, şifreleme ve kimlik doğrulamayı mümkün kılar. Bir kullanıcının cihazı genel anahtarı görüntüler ve web sunucusuyla güvenli şifreleme anahtarları oluşturmak için kullanır. Bu arada web sunucusunun da gizli tutulan özel bir anahtarı vardır; özel anahtar, genel anahtarla şifrelenmiş verilerin şifresini çözer. SSL sertifikalarının verilmesinden sertifika yetkilileri (CA) sorumludur.

SSL sertifikası türleri nelerdir?

Birkaç farklı SSL sertifikası türü vardır. Bir sertifika, türüne bağlı olarak tek bir web sitesine veya birkaç web sitesine uygulanabilir:

  • Tek alanlı: Tek alanlı bir SSL sertifikası yalnızca bir alan için geçerlidir.
  • Joker karakter: Tek alanlı bir sertifika gibi, joker karakterli bir SSL sertifikası da yalnızca bir alan için geçerlidir. Ancak, o alanın alt alanlarını da içerir
  • Multi-domain: Adından da anlaşılacağı gibi, multi-domain SSL sertifikaları birden fazla ilgisiz alana uygulanabilir.

SSL sertifikaları ayrıca farklı doğrulama seviyelerine sahiptir. Doğrulama düzeyi geçmiş kontrolü gibidir ve seviye, kontrolün eksiksizliğine bağlı olarak değişir.

  • Etki Alanı Doğrulaması: Bu, en az sıkı doğrulama düzeyidir ve en ucuzudur. Bir işletmenin tek yapması gereken, etki alanını kontrol ettiklerini kanıtlamaktır.
  • Kuruluş Doğrulaması: Bu daha uygulamalı bir süreçtir: CA, sertifikayı talep eden kişi veya işletmeyle doğrudan iletişim kurar. Bu sertifikalar kullanıcılar için daha güvenilirdir.

Genişletilmiş Doğrulama: Bu, SSL sertifikasının verilebilmesi için bir kuruluşun tam geçmiş kontrolünü gerektirir.