Kime güvenmeli: Farklı türde SSL sertifikaları

Güvenli bir bağlantı şifrelenmiştir ve bu nedenle güvenlidir; korumasız bir bağlantı ise güvenli değildir. Basit, değil mi? Peki ama sertifikalar nereden alınıyor ve SSL ile TLS arasında ne fark var? Hem zaten dijital bir sertifikanın güvenlikle ne ilgisi olabilir ki?

Güvenli bir bağlantı şifrelenmiştir ve bu nedenle güvenlidir; korumasız bir bağlantı ise güvenli değildir. Basit, değil mi? Peki ama sertifikalar nereden alınıyor ve SSL ile TLS arasında ne fark var? Hem zaten dijital bir sertifikanın güvenlikle ne ilgisi olabilir ki?

Bu yazıda, bu soruları cevaplamaya ve bununla ilgili diğer bazı kuşkuları ortadan kaldırmaya çalışacağız. Ama önce tarayıcınızın adresi kutusundaki HTTP ve HTTPS’nin ne anlama geldiğine bir bakalım.

Veri aktarımı için HTTP ve HTTPS

Çevrimiçi bir ziyaretçi bir internet sitesinde yazılanları okuduğu ya da buraya bir şey yazdığında, onun bilgisayarıyla o sitenin konakçı olduğu sunucu arasında bilgi alışverişi olur. Bu süreç HTTP (Bağlantılı Metin Aktarım Protokolü) denen bir veri aktarımı protokolüne tabidir.

HTTP’nin bir de HTTPS (Güvenli Bağlantılı Metin Aktarım Protokolü) uzantısı vardır Güvenli sürümde istemci ile sunucu arasındaki bilgi aktarımı şifreli biçimde yapılır, yani istemci ile sunucu arasında gidip gelen bilgiler sadece bu ikisine açıktır, üçüncü şahıslar (örneğin, Wi-Fi servis sağlayıcısı ya da yönetici) tarafından görülemez.

İstemciden sunucuya aktarılan veriler de aynı şekilde onun kendi şifreleme protokolüyle şifrelenmiş olur. Bu amaçla kullanılan protokollerin ilki SSL (Güvenli Yuva Katmanı) idi. SSL protokolünün birkaç sürümü vardı ve tamamında da bir noktadan sonra güvenlik sorunları yaşandı. Bunları yenilenmiş ve adı değiştirilmiş bir sürüm, yani bugün hala kullanılmakta olan TLS (Taşıma Katmanı Güvenliği) izledi. Ancak, SSL kısaltması değişmediği için bu yeni sürüm bugün hala genellikle eski adıyla anılır.

Şifreleme yapabilmek için bir sitenin elinde o şifreleme mekanizmasının güvenilir ve protokole uygun olduğunu teyit eden ve dijital imza olarak da bilinen bir sertifika olmalıdır. HTTPS’deki S harfine ek olarak, bir sitenin elinde böyle bir sertifika olduğunu gösteren diğer bir işaret de tarayıcının adres çubuğunda, yanında Güvenli ibaresi ya da firmanın adı yazan küçük yeşil bir asma kilit (ya da bazı tarayıcılarda bir kalkan) olmasıdır. Bunun nasıl bir şey olduğunu görmek için hemen şimdi tarayıcı pencerenizin üst tarafına bakabilirsiniz; Kaspersky Lab internet sitelerinin tamamında HTTPS kullanılır.

Bir site için SSL sertifikası nasıl alınır

Bir sertifika almanın iki yolu vardır. Bir ağ yöneticisi bu sertifikayı hazırlayıp imzalayabilir ve şifreleme anahtarları oluşturabilir. Bu tür sertifikalara kendinden imzalı sertifikalar denir. Siteye girmeye çalışan kullanıcılara sertifikanın güvenilir olmadığına dair bir uyarı mesajı gösterilir.

Bu tür sitelerde, tarayıcının türüne ve hatta aynı tarayıcının farklı sürümlerine göre değişmekle beraber, tarayıcı penceresindeki üstü çizilmiş asma kilit, kırmızı kalkan, Güvenli Değilsözcükleri, HTTPS harfleri yeşil değil kırmızı olur ya da adres çubuğundaki HTTPS harfleri üstü çizilmiş ve kırmızıyla vurgulanmıştır.

Daha iyisi, güvenilir bir belgelendirme kuruluşunun (CA) imzasını taşıyan bir sertifika satın almaktır. CA’lar site sahibinin belgelerine ve o alanı sahiplenme hakkının olup olmadığına bakar çünkü sonuçta bir sertifikanın var olması demek o kaynağın belli bir bölgede tescilli, yasal bir firmaya ait olması demektir.

Çok sayıda CA bulunmakla beraber, birinci sınıf kuruluşların sayısı bir elin parmaklarını geçmez. Bir CA’nin saygınlığı tarayıcı geliştiren firmaların ona duyduğu güvenin derecesini ve onun belgelendirdiği sitelerin görüntülenme biçimini belirler. Bir sertifikanın fiyatı, türüne ve geçerlilik süresine, ayrıca da CA’nin saygınlığına göre değişir.

SSL sertifikalarının türleri

CA imzalı sertifikalar kuruluşun güvenilirliğine, sertifikayı kimlerin ve nasıl alabildiğine ve fiyatına bağlı olarak farklı niteliklerdedir.

Alan Doğrulama Sertifikaları

Alan Doğrulama Sertifikası almak isteyen gerçek ya da tüzel kişi ya söz konusu alanın kendisine ait olduğunu ya da yönettiği sitenin orada yer aldığını kanıtlamak zorundadır. Bu sertifika güvenli bir bağlantı kurulmasını sağlar ama ait olduğu kuruluşa ait bilgi içermez ve verilmesi için de hiçbir belge gerekmez. Böyle bir belgenin alınması genellikle en çok birkaç dakika sürer.

Kuruluş Doğrulama Sertifikaları

Bunun daha yüksek seviyeli sürümleri Kuruluş Doğrulama sertifikaları olarak bilinir ve sadece o alanla kurulacak bağlantının güvenli olduğunu değil, aynı zamanda o alanın gerçekten de sertifikada belirtilen kuruluşa ait olduğunu teyit eder. Bütün belgelerin kontrol edilmesi ve bir sertifikanın hazırlanması birkaç gün sürebilir. Eğer bir sitenin Alan ya da Kuruluş Doğrulama Sertifikası varsa tarayıcının adres çubuğunda Güvenli ibaresi ve HTTPS harfleri ile beraber gri ya da yeşil bir asma kilit görülür.

Genişletilmiş Doğrulama Sertifikaları

Son olarak, üst düzey Genişletilmiş Doğrulama Sertifikaları gelir. Kuruluş Doğrulama Sertifikaları gibi bunları da sadece gerekli bütün belgeleri temin eden tüzel kişiler alabilir ve bu sertifika varsa, adres çubuğunda kuruluşun adı ve yeri yeşil renkli görülür ve yanında da yeşil bir asma kilit olur.

Genişletilmiş Doğrulama Sertifikaları tarayıcıların en güvendiği olmanın yanı sıra en pahalı sertifikalardır. Burada da, tarayıcıya bağlı olarak, kuruluşun adına ya da Güvenli kelimesine tıklandığında sertifika hakkında bilgi alınabilir (kimin tarafından ve ne zaman verildiği, geçerlilik süresi).

Sertifikalarla ilgili sorunlar

Çevrimiçi güvenlik ve kullanıcı verilerinin korunması konuları Google ve Mozilla gibi başlıca tarayıcı geliştiricilerin politikalarında yer verdiği temel ilkelerdir. Örneğin, 2017 sonbaharında Google bundan böyle HTTP bağlantı kullanan bütün sayfaları “Güvenli değil” olarak işaretleyip ifşa edeceğini ve dolayısıyla kullanıcıların bu tür sayfalara erişiminin engelleneceğini duyurdu.

Google’ın bu adımıyla beraber HTTP siteleri güvenilir bir sertifika almak zorunda kaldı. Bunun sonucunda CA hizmetlerine talep birden arttı, yetkililer belge kontrolü aşamasını hızlandırmak zorunda kaldı ve bu da kalite kontrolünü olumsuz etkiledi.

Bunun açık bir sonucu da bugünlerde güvenilir sertifikaların gerçekte tamamen güvenilir olmayan sitelere verilebilmesidir. Google’ın bir çalışmasında en büyük ve en saygın CA’lardan birinin 30.000’den fazla sertifikayı ayrıntılı inceleme yapmadan verdiği ortaya çıkarıldı. Söz konusu CA için bunun sonuçları ağır oldu: Google, doğrulama sistemi baştan aşağı elden geçirilene ve yeni standartlar getirilene kadar bu kuruluşça yayınlanan hiçbir sertifikanın dikkate alınmayacağını ifade etti. Mozilla da kendi tarayıcılarındaki sertifika doğrulamasını sertleştirmeyi planlamaktadır.

Tepkilere rağmen, bir sertifikanın ve sahibi firmanın gerçekliğinden tam olarak emin olmak hala mümkün değildir. Görünüşte tüm güvenlik şartlarını sağlayan bir Genişletilmiş Doğrulama sertifikasının varlığı halinde bile, yeşil yazıya koşulsuz biçimde güvenilemez.

Genişletilmiş Güvenlik sertifikasında durum içler acısıdır. Örneğin, kimlik avcıları bir firmayı tanınmış bir şirketin adına şüphe uyandıracak kadar benzeyen bir isim altında tescil ettirerek site için Genişletilmiş Güvenlik sertifikası alabilir. Kimlik avcısı internet sitesinin adres çubuğunda benzer isimli firmanın adı görünerek inandırıcılık sağlayacaktır. Bu nedenle kullanıcılar herhangi bir web sayfasına girdiklerinde daima uyanık olmalı ve aşağıdaki rehberlere uymalıdır.

Doğruluk Payı: Facebook’ta “BFF” güvenlik kontrolü

Zaman zaman, gerçekten akıllı biri beklenmedik sonuçlar elde etmek için meşru bir özelliği kullanabileceğini fark eder. Örneğin, Facebook, 2017’de Text Delight olarak bilinen bir özelliği kullanıma sunduğunda, bazı akıllı kullanıcılar belirli ifadelerin metin rengi değişikliklerini ve animasyonları tetiklediğini fark ettiler ve arkadaşlarına bunun başka bir anlama geldiğini söylediler: örneğin, “Kazanıp kazanmadığınızı öğrenmek için ‘tebrikler’ yazın!”

İpuçları