SSL sertifikası nedir?
SSL sertifikası, bir web sitesinin kimliğini doğrulayan ve şifreli bağlantı sağlayan dijital bir sertifikadır. Web tarayıcısı ile sunucu arasında güvenli bir iletişim sağlamak için kullanılır. SSL, internet bağlantılarının güvenli olmasını sağlayarak, bilgilerin üçüncü kişilerce okunmasını veya değiştirilmesini engeller. Eğer bir site SSL sertifikasına sahipse, adres çubuğunda asma kilit simgesi görünür. SSL, zamanla yerini TLS (Aktarım Katmanı Güvenliği) protokolüne bıraksa da, SSL terimi hala yaygın olarak kullanılır.
SSL sertifikaları nasıl çalışır?
SSL, kullanıcılar ve web siteleri ya da iki sistem arasında aktarılan verilerin hiçbir şekilde okunamamasını sağlar. Aktarılmakta olan verileri karmaşık hale getirmek için şifreleme algoritmaları kullanır ve bu sayede korsanların bağlantı üzerinden gönderilmekte olan verileri okumasını engeller. Bu veriler arasında isimler, adresler, kredi kartı numaraları veya diğer finansal bilgiler gibi hassas olabilecek bilgiler bulunabilir.
İşlem şu şekilde gerçekleşir:
Bir tarayıcı ya da sunucu, SSL ile güvenli hale getirilmiş bir web sitesine (yani bir web sunucusuna) bağlanma girişiminde bulunur.
Tarayıcı ya da sunucu, web sunucusundan kendisini tanımlamasını ister.
Web sunucusu, yanıt olarak tarayıcı ya da sunucuya SSL sertifikasının bir kopyasını gönderir.
Tarayıcı ya da sunucu, SSL sertifikasına güvenip güvenmediğine karar vermek için sertifikayı kontrol eder. Sertifikaya güvenirse web sunucusuna bu doğrultuda bir sinyal gönderir.
Ardından web sunucusu, SSL şifreli oturum başlatmak için dijital olarak imzalanmış bir onay ile yanıt verir.
Şifreli veriler, tarayıcı veya sunucu ile web sunucusu arasında paylaşılır.
Bu işlem bazen “SSL el sıkışması” şeklinde adlandırılır. Uzun bir işlem gibi görünse de milisaniyeler içinde gerçekleşir.
Bir web sitesi SSL sertifikası ile güvenli hale getirilmişse URL’de HTTPS (Güvenli Köprü Metni Aktarım Protokolü) kısaltması görünür. SSL sertifikası yoksa Secure (Güvenli) anlamına gelen S harfi olmadan yalnızca HTTP kısaltması görünür. Ayrıca URL adres çubuğunda bir asma kilit simgesi de gösterilir. Bu simge, güveni temsil eder ve web sitesini ziyaret edenlere güvence verir.
SSL sertifikasının ayrıntılarını görüntülemek için tarayıcı çubuğundaki asma kilit simgesine tıklayabilirsiniz. Genelde SSL sertifikalarında şu ayrıntılar yer alır:
Sertifikanın hangi etki alanı adı için düzenlendiği
Sertifikanın hangi kişi, kurum ya da cihaz için düzenlendiği
Sertifikayı düzenleyen Sertifika Yetkilisi
Sertifika Yetkilisinin dijital imzası
İlişkili alt etki alanları
Sertifikanın düzenlenme tarihi
Sertifikanın sona erme tarihi
Ortak anahtar (public key – özel anahtar gösterilmez)
SSL sertifikası neden gereklidir?
Kullanıcı verilerinin güvende olmasını sağlamak, web sitesinin sahipliğini doğrulamak, saldırganların sitenin sahte bir sürümünü oluşturmasını engellemek ve kullanıcılara güven vermek için web sitelerinin SSL sertifikasına sahip olması gerekir.
Web sitesi kullanıcılardan oturum açmalarını, kredi kartı numarası gibi kişisel bilgiler girmelerini veya sağlık yardımları ya da finansal bilgiler gibi gizli bilgileri görüntülemelerini istiyorsa verilerin gizliliğini korumak şarttır. SSL sertifikaları çevrimiçi işlemlerin gizli kalmasını sağlar ve kullanıcılara web sitesinin gerçek olup özel bilgileri paylaşmak için güvenli olduğuna dair güvence verir.
Şirketler için asıl önemli olan ise HTTPS web adresi için SSL sertifikasının gerekli olmasıdır. HTTPS, HTTP’nin güvenli versiyonudur; bu da HTTPS web sitelerinin trafiğinin SSL ile şifrelendiği anlamına gelir. Çoğu tarayıcı, SSL sertifikasına sahip olmayan HTTP sitelerini “güvenli değil” olarak işaretler. Bu, kullanıcılara sitenin güvenli olmayabileceğine dair net bir sinyal verir ve henüz yapmamış olan işletmeleri HTTPS’ye geçiş yapmaya teşvik eder.
SSL sertifikası, aşağıdaki gibi bilgilerin güvende olmasını sağlamaya yardımcı olur:
Oturum açma bilgileri
Kredi kartı işlemleri veya banka hesabı bilgileri
Kişiyi tanımlayabilecek bilgiler (tam ad, adres, doğum tarihi, telefon numarası vb.)
Yasal belgeler ve sözleşmeler
Tıbbi kayıtlar
Tescilli bilgiler
SSL sertifikası türleri
Farklı doğrulama seviyelerine sahip farklı SSL sertifikası türleri mevcuttur. Altı başlıca SSL türü şunlardır:
Genişletilmiş Doğrulama sertifikaları (EV SSL)
Kuruluş Doğrulama sertifikaları (OV SSL)
Etki Alanı Doğrulama sertifikaları (DV SSL)
Wildcard SSL sertifikaları
Çok Etki Alanlı SSL sertifikaları (MDC)
Birleşik İletişim Sertifikaları (UCC)
Genişletilmiş Doğrulama sertifikaları (EV SSL)
Genişletilmiş Doğrulama (EV) SSL sertifikası, en yüksek güvenlik seviyesi ve fiyatla sunulan SSL sertifikası türüdür. Genellikle çevrimiçi ödeme işlemleri yapan veya veri toplayan yüksek profilli web siteleri tarafından tercih edilir. EV SSL sertifikası yüklendiğinde, tarayıcı adres çubuğunda HTTPS kısaltması, bir kilit simgesi, işletmenin adı ve ülke bilgileri görüntülenir. Bu sayede, kullanıcılar siteyi kötü amaçlı sitelerden ayırt edebilir. EV SSL sertifikası almak isteyen web sitesi sahiplerinin, etki alanlarına yönelik yasal haklara sahip olduklarını doğrulamak için belirli bir kimlik doğrulama sürecinden geçmeleri gerekir.
Etki Alanı Doğrulama sertifikaları (DV SSL)
Etki Alanı Doğrulama (DV) SSL sertifikası, doğrulama süreci en basit olan SSL sertifikası türüdür; bu nedenle düşük seviyede güvenlik ve minimum şifreleme sağlar. Genellikle çevrimiçi ödeme veya veri toplama içermeyen bloglar veya bilgilendirme siteleri gibi daha basit web siteleri için tercih edilir. Bu, en ucuz ve hızlı şekilde temin edilebilen SSL sertifikalarından biridir. Doğrulama süreci, web sitesi sahibinin yalnızca bir e-posta ya da telefon araması ile etki alanına sahip olduğunu kanıtlamasını gerektirir. Tarayıcı adres çubuğunda, işletme adı yerine sadece HTTPS ve asma kilit simgesi görünür.
Wildcard SSL sertifikaları
Wildcard SSL sertifikaları, tek bir sertifika ile bir ana etki alanı ve sınırsız sayıda alt etki alanını güvence altına almanıza olanak tanır. Bu tür bir sertifika, birden fazla alt etki alanını güvenli hale getirmek için her biri için ayrı SSL sertifikası almaktan çok daha maliyet etkilidir. Wildcard SSL sertifikaları, genel etki alanı adıyla birlikte yıldız (*) sembolünü içerir. Bu sembol, aynı ana etki alanına sahip tüm geçerli alt etki alanlarını kapsar. Örneğin, *web sitesi için bir Wildcard sertifikası aşağıdaki etki alanlarını güvenli hale getirebilir:
t-cloud.com.tr
docs.t-cloud.com.tr
vdc.t-cloud.com.tr
Çok Etki Alanlı SSL Sertifikası (MDC)
Çok Etki Alanlı SSL sertifikası, birden fazla etki alanı ve/veya alt etki alanını güvence altına almak için kullanılabilir. Bu sertifika, yerel veya dahili etki alanları dışında, farklı Üst Düzey Etki Alanı (TLD) sahip benzersiz etki alanları ve alt etki alanlarını da kapsar.
ornek.com
org
bu-domain.net
ornekdomain.com.tr
ornek.com
ornek.org
Çok Etki Alanlı SSL sertifikaları, varsayılan olarak alt etki alanlarını desteklemez. Eğer bir Çok Etki Alanlı sertifika ile hem www.ornek.com hem de ornek.com etki alanlarını güvence altına almanız gerekiyorsa, sertifika alırken her iki ana etki alanının da belirtilmesi gerekir.
Birleşik İletişim Sertifikası (UCC)
Birleşik İletişim Sertifikaları (UCC), aynı zamanda Çok Etki Alanlı SSL sertifikası olarak kabul edilir. Başlangıçta Microsoft Exchange ve Live Communications sunucularını güvence altına almak için tasarlanmış olan UCC’ler, günümüzde birden fazla etki alanını tek bir sertifikayla güvenli hale getirmek isteyen herhangi bir web sitesi sahibi tarafından kullanılabilir. UCC Sertifikaları, kurumsal doğrulama gerektirir ve tarayıcıda bir asma kilit simgesi gösterir. Ayrıca, UCC’ler, yeşil adres çubuğu ile en yüksek güven seviyesini sağlamak amacıyla EV SSL sertifikası olarak da kullanılabilir.
Web siteniz için en uygun sertifika türünü seçmek, farklı SSL sertifikası seçenekleri hakkında bilgi sahibi olmanızı gerektirir.
SSL sertifikası nasıl alınır?
SSL sertifikaları, doğrudan bir Sertifika Yetkilisinden (CA) temin edilebilir. Sertifika Yetkilileri (bazı yerlerde Sertifikalandırma Yetkilisi olarak da adlandırılır), her yıl milyonlarca SSL sertifikası düzenler ve internetin güvenli ve şeffaf bir şekilde işlemesinde kritik bir rol oynar.
İhtiyacınız olan güvenlik seviyesine bağlı olarak, SSL sertifikaları ücretsiz olabileceği gibi, yüzlerce dolara da mal olabilir. Hangi sertifikaya ihtiyacınız olduğunu belirledikten sonra, bu türde SSL sertifikası sağlayan bir Sertifika Yetkilisi seçmeniz gerekir.
SSL sertifikası alma süreci şu adımlardan oluşur:
Hazırlık: Sunucuyu kurun ve WHOIS kaydınızın güncel olup, Sertifika Yetkilisine gönderdiğiniz bilgilerle (şirket adı, adres vb.) uyumlu olduğundan emin olun.
CSR oluşturma: Sunucunuzda bir Sertifika İmzalama İsteği (CSR) oluşturun. Bu adımda barındırma sağlayıcınızdan destek alabilirsiniz.
Doğrulama: Etki alanınızı ve şirket bilgilerinizi doğrulamak amacıyla CSR’yi Sertifika Yetkilinize gönderin.
Sertifikayı yükleme: Sertifika Yetkilisinden aldığınız sertifikayı yükleyin.
Yapılandırma: Eğer web sitenizi kendiniz barındırıyorsanız, sertifikayı kendi sunucunuzda yapılandırmanız gerekir.
Alacağınız sertifikanın türü ve sağlayıcı seçimi, sertifika alma sürecinin ne kadar süreceğini belirler. Farklı doğrulama düzeylerine göre süreler değişir. Örneğin, basit bir Etki Alanı Doğrulama SSL sertifikası birkaç dakika içinde alınabilirken, Genişletilmiş Doğrulama sertifikası bir hafta kadar sürebilir.
Bir SSL sertifikası birden çok sunucuda kullanılabilir mi?
Bir SSL sertifikasını aynı sunucu üzerinde birden fazla etki alanı için kullanmak mümkündür. Ayrıca, bazı tedarikçiler, tek bir SSL sertifikasını birden fazla sunucu üzerinde kullanmanıza olanak tanıyabilir. Bu özellik, bahsedilen Çok Etki Alanlı SSL sertifikalarından kaynaklanmaktadır.
Çok Etki Alanlı SSL Sertifikaları, adından da anlaşılacağı gibi birden fazla etki alanıyla çalışır. Bu etki alanlarının sayısı, sertifikayı düzenleyen Sertifika Yetkilisine bağlıdır. Çok Etki Alanlı SSL Sertifikaları, tek bir etki alanını güvence altına almak için kullanılan Tek Etki Alanlı SSL Sertifikalarından farklıdır.
Bu sertifikalar aynı zamanda SAN (Sübjekt Alternatif Adı) sertifikaları olarak da bilinir, bu da konuyu daha karmaşık hale getirebilir. SAN, birden fazla etki alanını tek bir sertifika altında listelemenize olanak tanıyan bir özelliktir.
Ayrıca, Birleşik İletişim Sertifikaları (UCC) ve Wildcard SSL Sertifikaları da birden fazla etki alanı için kullanılabilir. Wildcard SSL Sertifikaları, sınırsız sayıda alt etki alanını kapsayabilme özelliğine sahiptir.
SSL sertifikasının süresi dolduğunda ne olur?
SSL sertifikalarının belirli bir geçerlilik süresi vardır; sonsuza kadar geçerli olamazlar. Certificate Authority/Browser Forum, SSL sertifikalarının en fazla 27 ay (yaklaşık 2 yıl) geçerli olmasını öneriyor. Sertifikayı süresi dolmadan önce yenilerseniz, üç ay daha ekstra süre eklenebilir. Bu geçerlilik süresi, sertifikayla ilişkili bilgilerin güncel ve doğru olmasını sağlamak için gereklidir, çünkü internet üzerindeki şirketler ve web siteleri zaman içinde değişebilir.
Önceden SSL sertifikaları 5 yıl geçerli olabiliyorken, bu süre 3 yıla, en son ise 2 yıla düşürüldü. 2020 yılında Google, Apple ve Mozilla, bir yıllık sertifika uygulamasını devreye soktu. Bu uygulama, Eylül 2020’den sonra geçerli oldu. Sertifikaların geçerlilik süresi gelecekte daha da kısalabilir.
Bir SSL sertifikasının süresi dolduğunda, siteye erişim sağlanamaz ve kullanıcılar, “Bu site güvenli değil” gibi uyarılar alır. Kullanıcılar devam etme seçeneği bulunsa da, güvenlik riskleri nedeniyle bu önerilmez. Geçerlilik süresi dolmuş bir sertifika, web sitesi sahipleri için yüksek bir hemen çıkma oranına yol açabilir.
Büyük işletmeler, SSL sertifikalarının süresinin bitişini takip etmekte zorluk yaşayabilir. Küçük işletmeler birkaç sertifika ile bu süreci kolayca yönetebilirken, büyük kuruluşlar çok sayıda sertifikaya sahip olabilir. Bu tür büyük işletmelerin, sertifikalarını takip etmek için bir yönetim platformu kullanması önerilir. Sertifikaların geçerlilik süresi sona ermeden önce yenilenmesi gerektiğini hatırlatan bildirimler, genellikle 90 gün önceden gönderilir ve doğru kişilere ulaşması sağlanmalıdır.
Bir sitenin SSL sertifikası olup olmadığı nasıl anlaşılır?
Bir web sitesinin SSL sertifikasına sahip olup olmadığını anlamanın en kolay yolu, tarayıcınızdaki adres çubuğuna bakmaktır:
URL’nin HTTP yerine HTTPS ile başlaması, sitenin SSL sertifikasıyla güvence altına alındığını gösterir.
Güvenli sitelerde genellikle kapalı bir asma kilit simgesi görünür. Bu simgeye tıklayarak güvenlik bilgilerini inceleyebilirsiniz. En güvenilir sitelerde ise adres çubuğunda yeşil bir asma kilit simgesi yer alır.
Bağlantı güvenli değilse, tarayıcılar farklı uyarılar gösterir. Bunlar arasında kırmızı asma kilit, açık asma kilit, adresin üzerinde çizgi veya asma kilit simgesinin yanında uyarı üçgeni gibi işaretler olabilir.
Çevrimiçi oturumunuzun güvenli olduğundan nasıl emin olursunuz?
Kişisel verilerinizi ve ödeme bilgilerinizi yalnızca EV veya OV sertifikasına sahip sitelere göndermelisiniz, çünkü DV sertifikaları e-ticaret siteleri için güvenli değildir. EV sertifikalı sitelerde şirket adı adres çubuğunda görünür, OV sertifikalı sitelerde ise asma kilit simgesine tıklayarak şirket bilgilerini görebilirsiniz. DV sertifikalı sitelerde ise yalnızca asma kilit simgesi bulunur.
Web sitesinin gizlilik politikasını okuyarak verilerinizin nasıl kullanılacağını öğrenin. Güvenilir şirketler, veri toplama ve kullanım süreçlerinde şeffaftır. Ayrıca, web sitesindeki güven işaretleri ve logolarına dikkat edin; tanınmış güvenlik rozetleri siteye güven sağlayabilir. Ayrıca, fiziksel adres, telefon numarası ve iade politikası gibi bilgileri kontrol ederek sitenin güvenilirliğini değerlendirebilirsiniz.
Kimlik avı saldırılarından korunmak için şüpheli sitelere dikkat edin. Kimlik avı dolandırıcıları, orijinal sitelere benzer sahte siteler oluşturabilir. Bu sitelerde SSL sertifikası olsa bile dikkatli olmanız gerekir. Her zaman URL’yi kontrol edin ve doğru siteye bağlandığınızdan emin olmak için adresi doğrudan tarayıcınıza yazın. Ayrıca, şüpheli bir siteye kişisel bilgilerinizi girmeyin.
Cihazlarınızın güvenli olduğundan emin olun. Güvenlik yazılımları, kimlik avı sitelerini tespit etmenize yardımcı olabilir. İnternette güvenliğiniz için SSL sertifikalarını doğru şekilde tanımak ve şüpheli sitelerden uzak durmak, dolandırıcılıklardan kaçınmanızı ve kişisel verilerinizi korumanızı sağlar.
