|
SSL Nedir?
"Secure Sockets Layer" kısaltması olarak adlandırılan SSL ,Sunucu ile istemci arasındaki iletişimin
şifrelenmiş şekilde yapılabilmesine imkan veren standartlaşmış bir teknolojidir.
En yaygın kullanım
şekli, web ortamında, Sunucu ile tarayıcı(Internet Explorer gibi..) arasındaki iletişimin
şifrenlenmesi şeklindedir. SSL, standart bir algoritmadır.Milyonlarca web sitesinde güvenli veri iletişimi için kullanılmaktadır.
SSL fonksiyonun çalışabilmesi için sunucu tarafında bir anahtar ve istemci tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır.
Özellikleri
Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar
Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
Iletilen dokümanların tarih ve zamanını doğrular
Doküman arşivi oluşturulmasını kolaylaştırır
Sertifikasyon Kurumu
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.
SSL Nasıl Çalışır?
SSL Public Key/Private Key
adı verilen anahtarların kullanımına dayalı bir şifreleme yöntemidir. SSL çalışma mantığını
şöyle açıklayalım;
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu anahtarlar, dijital olarak kodlanmış yazılımdan başka bir
şey değil!... Ve bir anahtarın kilitlediği veriyi, sadece diğeri açabiliyor.
Anahtarlarınızı yarattıktan sonra (ki bu işlem tamamen otomatiktir, yapmanız gereken özel bir
şey yoktur.), anahtarlardan biri (private key) sizde kalır. Diğer anahtar (public key) ise,
bağlantı kurmak istediğiniz kişilere gönderilir.
Size dışarıdan mesaj göndermek isteyen kişi, public key ile göndermek istediği
mesajı güvence altına alır ve size gönderir. Artık o bilgi, size ulaşırken yolda alıkonsa bile,
şifrenin çözülebilmesi için sizde kalan private key gerekecektir. Kullanılan SSL yönteminin
karmaşıklığına göre (40 bit, 128 bit) şifre birinin eline geçse bile, bu bilginin çözülmesi çok ileri tekniklerle dahi çok uzun zaman alacaktır.
Sonuç olarak SSL iki bilgisayar arasındaki bilginin diğer kişiler tarafından görüntülenmeden, doğrudan iletişimde olan iki bilgisayar arasında ve güvenli bir
şekilde iletilmesini sağlar.
Elektronik sertifika sağlayıcı firmaların verdiği hizmet tam olarak nedir?
Sertifika sağlayıcı firmaların ilk görevi,SSL fonksiyonunun çalışabilmesi için gerekli servisi sağlamaktır.Bu servisi kabaca
şu şekilde açıklayabiliriz.
Kullanıcı güvenli web sitesine giriş yaptığında sunucu ile tarayıcı arasında SSL oturumu başlatılır. Sunucu tarafından, tarayıcıya fonksiyonun çalışabilmesi, yani oturum açıldıktan sonra artık göndericeği
şifrelenmiş verilerin açılabilmesi için ihtiyaç duyacağı anahtarları nereden ve ne
şekilde alacağını bildirir.
Sertifika sağlayıcı firma, talebin geldiği adresi doğrular var tarayıcıya gerekli
anahtarları gönderir.
Bu aşamadan sonra tarayıcı sunucudan gelen verileri elindeki anahtarlarla çözer yada sunucuya göndereceği verileri sunucunun çözebileceği
şekilde şifreleyip gönderir.
Eğer SSL anahtarlarınının talep edildiği adres ve diğer kriterler doğru değil ise yada sertifikanın süresi
dolmuş ise tarayıcı ihtiyacı olan anahtarları alamaz, dolayısıyla güvenli oturum doğru
şekilde başlamaz ve sertifika geçersiz uyarısıyla karşılaşılır.
Sertifika sağlayıcı firmaların bir diğer görevide tescil dir.Burada Tescil sertifikanın alındığı internet adresinin hangi gerçek yada tüzel kişiye ait olduğununun bir otorite tarafından
onaylanması ve duyurulmasıdır.
Elektronik Ticaret yapan web siteleri içeriklerinde yanıltıcı iletişim bilgileri verebilirler.Fakat ilgili sitenin güzenli alanındaki sertifika detaylarında, sertifika sahibi firmaya ait tescil
edilmiş bilgilere ulaşılabilir.
Türkiyede Faaliyet gösteren SSL
firmaları ne kadar güvenli?
Şuan Türkiye'de faaliyet gösteren SSL
firmaları yurtdışı firmaların temsilciliği şeklinde.D olayısıyla son kimlik doğrulama işlemi her
şekilde yurtdışından yada yurtdışı firmanın belirlediği formatlarda yapılmakta. Fakat çok yakında dijital imza uygulamasının aktif olarak kullanılmaya başlanmasıyla birkaç yerli firmanın bu konuda yetkilendirileceğini biliyoruz.
Herhangi bir sitede gördüğümüz SSL sağlayıcı firma
logoları ne anlama geliyor. Bu logoların doğruluğu nasıl kesinleştirilebilir?
Tabiki bu logoların gerçekte sertifika olmadan kullanımı engellenemez. O yüzden safya içinde yer
verilmiş bu tip logolar güvenli alan için referans alınmamalıdır. Kullanıcı, sertifika
detayları hakkında doğru bilgiye ssl oturumu başladığında tarayıcının alt tarafında beliren kilit işaretine tıklayarak ulaşabilir.
SSL e sahip bir siteden kredi
kartı bilgilerinin çalınabilme ihtimali nedir?
SSL fonksiyonu müşterinin tarayıcısından, sunucuya kredi
kartı bilgilerinin şifrelenmiş şekilde ulaşmasını sağlar. Kötü niyetli kimseler bu aşamada özel yazılım yada cihazlarla
ağ trafiğini izleyebilirler, ağda gidip gelen paketlerin içeriğini görüntüleyebilirler. Fakat peket içerikleri
şifreli olduğu için istedikleri bilgiye ulaşamıyacaklardır. Şifreli metinleri çözmek içinse, çok çok güçlü bilgisayarlarla bile yıllarca sürecek, ancak deneme yanılma yöntemiyle bulabilecekleri bir anahtara
ihtiyaçları olacaktır.Bu şartlarda, ssl ile kredi kartının satıcı firmanın sunucusuna
ulaşırılması son derece güvenlidir. Fakat ssl tabiki sunucu üzerinde kayıtlı tutulan kredi
kartı bilgilerini korumaz. Kaydı Tutulan Kredi kartı bilgilerinin güvenliği tümüyle web sitesinin yönetimine aittir. Bu durumda doğru olan kredi
kartı bilgilerinin veri tabanında tutulmaması yada tutulacaksa şifrenelenmiş şekilde saklanmasıdır.
SSL
Sertifikaları konusunda çok değişik fiyat alternatifileri görüyoruz. 20 dolarlık bir ssl ile 300 dolarlık bir ssl
sertifikası arasındaki fark nedir?
SSL in amacı güvenlik ve
aynı zamanda güven sağlamaktır. Sertika alımıyla birlikte, sertifikayı alan site için bir sigorta poliçesi düzenlenir.Bu poliçe
sertifikayı alan firmanın alışveriş yapacak müşterilerine kendisinden kaynaklancak zararların, başka bir firma tarafında tazmin edilebilmesi içindir. Bunu kabaca
şehirlerarası otobüs firmalarının yolcularını sigortalatması gibi düşünebilirsiniz. Arada oluşan fiyat farklılıklarıda düzenlenen poliçenin tazmin bedeline göre yada
sertifikayı sağlayan firmanın ticari itibarının daha büyük olmasına göre değişmektedir. Yoksa teknik anlamda sunulan hizmet tümünde
aynı sayılır. Elektronik ticaret genelde birebir iletişim olmadığı ve sahteciliğin kolayca yapılabildiği bir ortam olduğu için firmalar çeşitli tiplerde güvence sunma
programları oluşturmuşlardır.Temelde SSL serifikası vardır.Bunun haricinde e-trust,trust logo gibi 3.parti tescil
artı güvence sunma programları oluşturulmuştur.
SSL e sahip bir siteden kredi
kartı bilgilerinin çalındığını varsayalım. Bu durumda SSL sağlayıcının yükümlülükleri nelerdir?
Kayıtlı Kredi
kartı bilgilerinin sorumluluğu sertifikayı veren firmaya ait değildir.Bu tamamen siteyi işleten firmaya aittir. Müşteri
Sertifikayı veren kuruluşa ancak ücretini ödediği halde hizmet alamadığı ve firmaya ulaşamadığı gibi durumlarda başvurabilir.
Müşterinin burada sertifikayı veren firmaya yada otoriteye güvenerek ilgili web sitesinden alışveriş yaptığı varsayılıyor.Dolayısıyla müşteri
karşılaştığı zararlarda güveni sağlayan firmadan tazminat talep edebilir.
InstantSSL ve RAPID SSL in diğer sertifikalardan farkı varmı?
Evet var. Verisign ve Thawte gibi firmalar son kullanıcıya sadece 40-bit SSL sertifikası vermektedir. Oysa siz bizden 128-Bit cok güçlü SSL sertifikası almaktasınız. Bundan başka teknik olarak hiç bir farkı yoktur. Firmanızın kimliği yine GTE Cyber Trust GEOTRUST tarafından onaylanmaktadır.
InstantSSL ve RAPID SSL müşterimin tarayıcısında çalışacakmı?
Evet.Instant SSL ve RAPID SSL sertifikası tüm endüstri standartlarını desteklemektedir. Bilinen tüm popüler tarayıcılarla uyumludur.daha fazla bilgi için browser uyumluluk raporlarını inceleyebilirsiniz.
InstantSSL ve RAPID SSL hangi web sunucularını destekliyor?
Verdiğimiz sertifikalar bilinen bütün popüler web sunucularını desteklemektedir.
Sertifikasyon işlemi ne kadar sürüyor?
CSR bilginiz, ödemeniz ve sizden istenen belgeler elimize ulaştıktan en fazla 1 iş günü içerisinde sertifikasyon işlemi sonuçlanır.
|
