SSL nedir ?
"Secure Sockets Layer" kısaltması olarak adlandırılan SSL, Sunucu ile istemci arasındaki iletişimin şifrelenmiş şekilde yapılabilmesine imkan veren standartlaşmış bir teknolojidir. En yaygın kullanım şekli, web ortamında, Sunucu ile tarayıcı(Internet Explorer gibi..) arasındaki iletişimin şifrelenmesi şeklindedir. SSL, standart bir algoritmadır. Milyonlarca web sitesinde güvenli veri iletişimi için kullanılmaktadır. SSL fonksiyonun çalışabilmesi için sunucu tarafında bir anahtar ve istemci tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır.
Özellikleri
- Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar.
- Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder.
- İletilen dokümanların tarih ve zamanını doğrular
- Doküman arşivi oluşturulmasını kolaylaştırır.
Sertifikasyon Kurumu
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.
SSL Nasıl Çalışır ?
SSL Public Key /Private Key adı verilen anahtarların kullanımına dayalı bir şifreleme yöntemi...
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu anahtarlar, dijital olarak kodlanmış yazılımdan başka bir şey değil!... Ve bir anahtarın kilitlediği veriyi, sadece diğeri açabiliyor. Anahtarlarınızı yarattıktan sonra (ki bu işlem tamamen otomatiktir, yapmanız gereken özel bir şey yoktur.), anahtarlardan biri (private key) sizde kalır. Diğer anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere gönderilir. Size dışarıdan mesaj göndermek isteyen kişi, public key ile göndermek istediği mesajı güvence altına alır ve size gönderir. Artık o bilgi, size ulaşırken yolda alıkonsa bile, şifrenin çözülebilmesi için sizde kalan private key gerekecektir. Kullanılan SSL yönteminin karmaşıklığına göre (40 bit, 128 bit) şifre birinin eline geçse bile, bu bilginin çözülmesi çok ileri tekniklerle dahi çok uzun zaman alacaktır. Sonuç olarak SSL iki bilgisayar arasındaki bilginin diğer kişiler tarafından görüntülenmeden, doğrudan iletişimde olan iki bilgisayar arasında ve güvenli bir şekilde iletilmesini sağlar.
Elektronik sertifika sağlayıcı firmaların verdiği hizmet tam olarak nedir ?
Sertifika sağlayıcı firmaların ilk görevi,SSL fonksiyonunun çalışabilmesi için gerekli servisi sağlamaktır.Bu servisi kabaca şu şekilde açıklayabiliriz.
- Kullanıcı güvenli web sitesine giriş yaptığında sunucu ile tarayıcı arasında SSL oturumu başlatılır. Sunucu tarafından, tarayıcıya fonksiyonun çalışabilmesi, yani oturum açıldıktan sonra artık göndereceği şifrelenmiş verilerin açılabilmesi için ihtiyaç duyacağı anahtarları nereden ve ne şekilde alacağını bildirir.
- Sertifika sağlayıcı firma, talebin geldiği adresi doğrular var tarayıcıya gerekli anahtarları gönderir.
- Bu aşamadan sonra tarayıcı sunucudan gelen verileri elindeki anahtarlarla çözer yada sunucuya göndereceği verileri sunucunun çözebileceği şekilde şifreleyip gönderir.
- Eğer SSL anahtarlarının talep edildiği adres ve diğer kriterler doğru değil ise yada sertifikanın süresi dolmuş ise tarayıcı ihtiyacı olan anahtarları alamaz, dolayısıyla güvenli oturum doğru şekilde başlamaz ve sertifika geçersiz uyarısıyla karşılaşılır.
Sertifika sağlayıcı firmaların bir diğer görevi de tescildir.!
Burada Tescil sertifikanın alındığı internet adresinin hangi gerçek yada tüzel kişiye ait olduğunun bir otorite tarafından onaylanması ve duyurulmasıdır. Elektronik Ticaret yapan web siteleri içeriklerinde yanıltıcı iletişim bilgileri verebilirler. Fakat ilgili sitenin düzenli alanındaki sertifika detaylarında, sertifika sahibi firmaya ait tescil edilmiş bilgilere ulaşılabilir.
Türkiye'de Faaliyet gösteren SSL firmaları ne kadar güvenli ?
Şuan Türkiye'de faaliyet gösteren SSL firmaları yurtdışı firmaların temsilciliği şeklinde. Dolayısıyla son kimlik doğrulama işlemi her şekilde yurtdışından yada yurtdışı firmanın belirlediği formatlarda yapılmakta. Fakat çok yakında dijital imza uygulamasının aktif olarak kullanılmaya başlanmasıyla birkaç yerli firmanın bu konuda yetkilendirileceğini biliyoruz.
Herhangi bir sitede gördüğümüz SSL sağlayıcı firma logoları ne anlama geliyor. Bu logoların doğruluğu nasıl kesinleştirilebilir?
Tabiki bu logoların gerçekte sertifika olmadan kullanımı engellenemez.O yüzden sayfa içinde yer verilmiş bu tip logolar güvenli alan için referans alınmamalıdır. Kullanıcı, sertifika detayları hakkında doğru bilgiye SSL oturumu başladığında tarayıcının alt tarafında beliren kilit işaretine tıklayarak ulaşabilir.
SSL e sahip bir siteden kredi kartı bilgilerinin çalınabilme ihtimali nedir ?
SSL fonksiyonu müşterinin tarayıcısından, sunucuya kredi kartı bilgilerinin şifrelenmiş şekilde ulaşmasını sağlar. Kötü niyetli kimseler bu aşamada özel yazılım yada cihazlarla ağ trafiğini izleyebilirler, ağda gidip gelen paketlerin içeriğini görüntüleyebilirler.
Fakat paket içerikleri şifreli olduğu için istedikleri bilgiye ulaşamayacaklardır. Şifreli metinleri çözmek içinse, çok çok güçlü bilgisayarlarla bile yıllarca sürecek, ancak deneme yanılma yöntemiyle bulabilecekleri bir anahtara ihtiyaçları olacaktır.Bu şartlarda, ssl ile kredi kartının satıcı firmanın sunucusuna ulaştırılması son derece güvenlidir.
Fakat ssl tabi ki sunucu üzerinde kayıtlı tutulan kredi kartı bilgilerini korumaz. Kaydı Tutulan Kredi kartı bilgilerinin güvenliği tümüyle web sitesinin yönetimine aittir. Bu durumda doğru olan kredi kartı bilgilerinin veri tabanında tutulmaması yada tutulacaksa şifrelenmiş şekilde saklanmasıdır.
SSL Sertifikaları konusunda çok değişik fiyat alternatifleri görüyoruz. 20 dolarlık bir ssl ile 300 dolarlık bir ssl sertifikası arasındaki fark nedir ?
SSL in amacı güvenlik ve aynı zamanda güven sağlamaktır. Sertifika alımıyla birlikte , sertifikayı alan site için bir sigorta poliçesi düzenlenir.Bu poliçe sertifikayı alan firmanın alışveriş yapacak müşterilerine kendisinden kaynaklanacak zararların, başka bir firma tarafında tazmin edilebilmesi içindir. Bunu kabaca şehirlerarası otobüs firmalarının yolcularını sigortalatması gibi düşünebilirsiniz.
Arada oluşan fiyat farklılıkları da düzenlenen poliçenin tazmin bedeline göre yada sertifikayı sağlayan firmanın ticari itibarının daha büyük olmasına göre değişmektedir. Yoksa teknik anlamda sunulan hizmet tümünde aynı sayılır. Elektronik ticaret genelde birebir iletişim olmadığı ve sahteciliğin kolayca yapılabildiği bir ortam olduğu için firmalar çeşitli tiplerde güvence sunma programları oluşturmuşlardır. Temelde SSL sertifikası vardır. Bunun haricinde e-trust, trust logo gibi 3.parti tescil artı güvence sunma programları oluşturulmuştur.
SSL e sahip bir siteden kredi kartı bilgilerinin çalındığını varsayalım. Bu durumda SSL sağlayıcının yükümlülükleri nelerdir ?
Kayıtlı Kredi kartı bilgilerinin sorumluluğu sertifikayı veren firmaya ait değildir. Bu tamamen siteyi işleten firmaya aittir. Müşteri Sertifikayı veren kuruluşa ancak ücretini ödediği halde hizmet alamadığı ve firmaya ulaşamadığı gibi durumlarda başvurabilir. Müşterinin burada sertifikayı veren firmaya yada otoriteye güvenerek ilgili web sitesinden alışveriş yaptığı varsayılıyor.Dolayısıyla müşteri karşılaştığı zararlarda güveni sağlayan firmadan tazminat talep edebilir.
|