SSL Nedir ve Nasıl Çalışır?
İnternet üzerinde veri güvenliği, özellikle kişisel bilgiler, ödeme verileri veya kimlik doğrulama detayları söz konusu olduğunda son derece kritik bir konudur. Bu güvenliği sağlamak için en yaygın kullanılan teknolojilerden biri SSL (Secure Sockets Layer) protokolüdür. Günümüzde yerini TLS (Transport Layer Security) alsa da, “SSL” terimi yaygın kullanımda kalmaya devam etmektedir.
SSL Nedir?
SSL, istemci (örneğin bir tarayıcı) ile sunucu (örneğin bir web sitesi) arasındaki veri aktarımını şifreleyerek üçüncü tarafların bu verileri okumasını veya değiştirmesini engelleyen bir güvenlik protokolüdür. SSL, hem kimlik doğrulaması (authentication) sağlar hem de veri bütünlüğünü (data integrity) ve gizliliği (confidentiality) garanti altına alır.
SSL Neden Gereklidir?
1. Veri Gizliliği: Aktarılan bilgilerin yalnızca ilgili taraflar arasında kalmasını sağlar.
2. Kimlik Doğrulama: Web sitesinin gerçekten iddia ettiği kişi/kurum olduğunu doğrular.
3. Veri Bütünlüğü: Verilerin aktarım sırasında bozulmadan veya değiştirilmeden ulaştığını garanti eder.
4. Güven Oluşturma: Kullanıcılar, adres çubuğundaki kilit simgesi ve "https://" protokolü ile web sitesine güven duyar.
SSL Nasıl Çalışır?
SSL, genel ve özel anahtar kriptografisi (asymmetric encryption) ile simetrik anahtar kriptografisini (symmetric encryption) birlikte kullanır. İşlem şu adımlarla özetlenebilir:
1. SSL/TLS El Sıkışma (Handshake)
-Tarayıcı, sunucuya bağlanır ve desteklediği SSL/TLS sürümlerini ve şifreleme algoritmalarını sunar.
-Sunucu, sertifikasını gönderir (genellikle bir X.509 sertifikası). Bu sertifika, sunucunun kamuya açık (public) anahtarını içerir ve bir sertifika otoritesi (CA) tarafından imzalanmıştır.
-Tarayıcı, sertifikanın geçerliliğini kontrol eder (CA imzası, süre, domain adı).
-Eğer geçerliyse, tarayıcı sunucunun açık anahtarıyla bir “session key” (oturum anahtarı) şifreleyerek gönderir.
-Sunucu, kendi özel anahtarıyla bu şifreli oturum anahtarını çözer ve artık iki taraf da aynı simetrik anahtarı paylaşır.
-Bu noktadan sonra veri transferi simetrik şifreleme ile devam eder (daha hızlı olduğu için).
SSL Sertifikaları Türleri
DV (Domain Validation) – Sadece domain doğrulanır. En basit ve hızlı olandır.
OV (Organization Validation) – Domain + şirket bilgileri doğrulanır.
EV (Extended Validation) – En yüksek güven seviyesi. Tarayıcıda yeşil adres çubuğu gibi detaylar sunar.
SSL ile İlgili Sık Karşılaşılan Terimler
HTTPS: SSL/TLS ile şifrelenmiş HTTP trafiği.
CA (Certificate Authority): Sertifika imzalayan güvenilir kuruluş.
CSR (Certificate Signing Request): SSL sertifikası oluşturmak için sunucudan gönderilen talep.
Chain of Trust: Tarayıcı, bir sertifikanın doğruluğunu CA zinciriyle kontrol eder.
SSL/TLS Hataları ve Güvenlik Uyarıları
-“Certificate not trusted” hatası: Sertifika geçersiz veya CA güvenilir değil.
-“Mixed content” uyarısı: Sayfa HTTPS olsa da bazı kaynaklar HTTP üzerinden yükleniyor.
-Eski SSL sürümleri (SSL 2.0/3.0): Güvenlik açıklarına karşı artık desteklenmemelidir; modern sistemlerde TLS 1.2 veya 1.3 kullanılmalıdır.
Her ne kadar teknik olarak yerini TLS almış olsa da, günlük kullanımda “SSL sertifikası” kavramı geçerliliğini korumaktadır. Kurumların ve bireylerin, veri güvenliğini sağlamak ve kullanıcı güvenini kazanmak için SSL/TLS protokolünü doğru bir şekilde kullanmaları kritik öneme sahiptir.
yazar: Asrın Haktan Şahin