Kötü niyetli saldırılara karşı web sitenizin güvenliğini artırmanın yüzlerce yol olsa da, güvenli bir platformun temellerini atmak için yapabileceğiniz temel bir şey var: SSL sertifikası almak.
Bugün web site güvenliğinizi sağlamak için SSL’nin ne olduğuna, nasıl çalıştığına ve ne işe yaradığına detaylı şekilde değineceğiz.
SSL Nedir?
SSL yani Secure Sockets Layer, “Güvenli Giriş Katmanı” anlamına gelir. Bir web tarayıcısı ile web sunucusu arasında şifreli ve kimliği doğrulanmış bağlantı kuran bir protokoldür. Amaç, web tarayıcısı ile sunucu arasında alınıp verilen tüm verileri güvenli ve özel tutmaktır. Bu, harici tarafların gelen trafikten anlamlı bilgileri almasını zorlaştırır veya imkansız kılar. Bir site, ödeme bilgileri veya e-posta adresi gibi bir kullanıcının kişisel bilgilerini istediğinde, bir SSL sertifikasına sahip olmalıdır.
Örneğin, bir e-ticaret sitesinde HTTPS yerine HTTP varsa, bu, tarayıcının tüm bilgileri sunucuya düz metin olarak göndereceği anlamına gelir. Böyle bir durumda, web trafiğinizi izleyen biri varsa, bu bilgileri görebilir ve çalabilir. Oysa web sitenizde geçerli bir SSL sertifikası varsa, bu, web sitenizin trafiğini şifreli tutacaktır. Bir SSL sertifikası yükledikten sonra, web sitenizde asma kilit işareti görüntülenir ve sayfanın tam URL’si başında ve “https: //” harfleri bulunur.
Ancak tüm bu gerçekliklere rağmen, birçok web yöneticisi hala SSL’nin nasıl çalıştığı ve neden önemli olduğu konusunda tam bir bilgiye sahip değildir
Hypertext Transfer Protocol Secure (HTTPS) Nedir?
Hypertext Transfer Protocol Secure (HTTPS) yani Güvenli Hiper Metin Transferi Protokolü, Hiper Metin Transfer Protokolü’nün (HTTP) bir uzantısıdır. Verileri bir ağ üzerinden güvenli bir şekilde aktarmak için kullanılır. HTTPS’de iletişim, TLS kullanılarak şifrelenir.
HTTPS, değiştirilen verilerin gizliliğini ve bütünlüğünü koruyarak, erişilen web sitesinin doğrulanmasını sağlar. Ayrıca, iletilen verilerin saldırılara karşı korunmasını amaçlar. HTTPS ile istenen URL (istenen belirli sayfa), sorgu parametreleri, başlıklar ve çerezler (genellikle kullanıcı hakkında tanımlayıcı bilgiler içerir) dahil olmak üzere HTTP protokolünün tamamını şifreler.
Saldırganların görebileceği tek şey, TCP / IP protokollerinin bir parçası olan ve HTTPS tarafından korunmayan web sitesi adresi ve bağlantı noktası numaralarıdır. Bu, saldırganın iletişim kurduğunuz bir web sunucusunun IP adresini, bağlantı noktası numarasını, aktarılan veri miktarını ve oturum süresini tahmin edebileceği anlamına gelir.
SSL Sertifikası Ne İşe Yarar?
Bir SSL sertifikası öncelikle kullanıcılara, web sitenizin güvenli olduğunu ve saldırılara karşı şifreleme uygulandığını gösterir. Bu durum web sitesi ziyaretçilerinizle aranızda güven oluşturmanıza yardımcı olur. Bir kullanıcı özellikle kişisel bilgilerini girmesini gerektiren bir işlem sürecindeyse, SSL sertifikası kullandığınızı görmek isteyecektir.
Özetle SSL sertifikaları, web siteniz ile ziyaretçiler arasında ek bir güvenlik düzeyi ekler.
Bu, iki koruma katmanı sağlar:
Şifreleme: Çevrimiçi bilgi paylaşmak riskli olabilir, birçok kişi yalnızca bildikleri ve güvendikleri işletmelerle işlem yapmayı tercih eder. SSL sertifikası ile müşteriler, hassas verilerinin şifreli ve güvenli olduğunu bilir. SSL sertifikalarının farklı şifreleme seviyeleri olabilir, ancak standart SSL sertifikası başlamak için yeterlidir.
Kimlik doğrulama: SSL sertifikaları, web sitesi sahibini tanımlar ve çevrimiçi işletmeler için ek bir güven düzeyi oluşturur.
SSL Sertifikası Neden Önemlidir?
Müşteri güveni, herhangi bir işletmenin temelidir. Bu durum internet tabanlı işletmeler için de geçerlidir. İşletmenizin güvensizlik veya sahtekârlıkla ilgili bir itibarı varsa, ürün veya hizmetlerinizi satarken zorlanabilirsiniz. Tersine, güvenilir, güvenli ve dürüst bir marka olarak bilinmek müşteri çekmenize yardımcı olacaktır. SSL sertifikası, mevcut ve potansiyel müşterilere güvenliklerini önemsediğinizi göstermenin bir yoludur.
Müşterileriniz SSL / TLS’nin temelini oluşturan mekanizmayı anlamasalar da, hassas bilgilerini koruduğunuzu anlar (kredi kartı numaraları, şifreler, telefon numaraları ve son kullanıcılarınızın ifşa edilmesini istemediği diğer kişisel bilgiler vb.).
Bir Web Sitesinde SSL Kullanıp Kullanılmadığı Nasıl Anlaşılır?
Bir kullanıcı ziyaret ettiği web sitesinde, geçerli bir SSL sertifikası olduğunu, iki bariz gösterge ile anlar.
Öncelikle, adres çubuğunda sitenin URL’sinden önce bir asma kilit simgesi görmelisiniz.
Ve sayfanın tam URL’si başında “http: //” yerine “https: //” harfleri bulunur.
Örnek: https://uzmanposta.com/
Yapılan araştırmalara göre, web sitelerinin %60’ından fazlası ziyaretçilerine güvenilirlik sağlamak için SSL ve HTTPS kullanır.
SSL ile TLS Arasındaki Fark Nedir?
SSL, açık internet üzerinden bağlanan bir sunucunun kimliğini sağlamak için kurulan ilk şifreleme protokolünün adıdır. Bu protokol, web üzerinde e-ticareti etkinleştirmek için 1995 yılında oluşturulmuştur. SSL 2.0, üretim sistemlerinde kullanılacak protokolün ilk versiyonudur ve çok geçmeden SSL 3.0’ın yerini almıştır. Sürüm 3.0’dan sonra, standart kurumları SSL’yi, Transport Layer Security (TLS) adı verilen daha gelişmiş bir protokolle değiştirdi. Bununla birlikte, bu noktaya kadar SSL terimi ortak tabirdi ve bu nedenle bu güne kadar TLS’nin fiili adı olarak kaldı.
SSL Sertifikaları Nasıl Çalışır?
SSL, ziyaretçinizin tarayıcısı ile web siteniz veya uygulamanız arasında çalışır. Verilerin sunucuya aktarılmasını ve sunucudan güvenli bir şekilde iletilmesini sağlayan, bilgisayar korsanlarının saldırılarını ve gizli dinlemeyi önleyen bir endüstri standardıdır.
Ayrıca, saldırganların kendi şifrelemelerini kullanarak trafiği kendi sitelerine (yazım hatası veya başka yollarla) yönlendirebilmelerinin ve müşteri verilerini bu şekilde çalmalarını da önler.
SSL, doğrudan iletim kontrol protokolünün (TCP) üzerinde çalışır ve güvenli bir bağlantı sağlarken daha yüksek protokol katmanlarının değişmeden kalmasına izin verir.
Bir SSL sertifikası doğru yapılandırılırsa, saldırganlar yalnızca bağlı olduğunuz alan adını, bağlantı noktasını ve ne kadar veri aktarıldığını görebilir. Bağlantıyı sonlandırabilirler, ancak sunucu ve kullanıcı, bağlantının bir üçüncü tarafça kesildiğini görebilir.
Alan adınızda SSL’yi etkinleştirmek için, sunucunuza bir SSL sertifikası yüklemeniz gerekir. Bir müşteri web sitenizi ziyaret ettiğinde, tarayıcısı sunucunuza bağlanacak, geçerli bir SSL sertifikası olup olmadığını kontrol edecek ve SSL bağlantısını başlatacaktır. Tüm veriler daha sonra tarayıcıları ile sunucunuz arasında geçirilmeden önce şifrelenecektir.
SSL süreci dört adıma ayrılabilir:
SSL anlaşması: Web tarayıcısı, sunucunuzda bir SSL sertifikasının varlığını doğrular.
Sunucu sertifika gönderir: SSL sertifikasının türü, şifreleme seviyesi vb. dahil olmak üzere gerekli bilgiler tarayıcıya gönderilir.
Kullanıcı sertifika geçerliliğini onaylar: Web tarayıcısı, sertifikanın güvenilir bir sertifika yetkilisinden olup olmadığını kontrol eder ve her iki tarafça desteklenen en yüksek şifreleme düzeyini kullanır.
Garantili bütünlük ve özgünlük: SSL ve TLS protokolleri, veri bütünlüğünü ve özgünlüğünü sağlamak için ileti kimlik doğrulama kodlarını (MAC) kullanır.
SSL Kullanmanın Avantajları Nelerdir?
1. Sizi ve kullanıcılarınızın verilerini korur
Sitenizde bir SSL sertifikasına sahip olmak, saldırılara karşı şifreleme uygulandığı için web sitenizin güvenli olduğunu gösterir. Siteyi ve siteden aktarılan verileri 256 bit şifreleme ile şifrelerseniz, web sitenize erişim sağlamaya çalışan kötü niyetli kişiler, bu verileri okuyamaz. Bir veri ihlali olsa ve verilerin bir kısmı ele geçirilse bile, bu veriler, içerdiği şifreleme seviyesi nedeniyle anlaşılmayı neredeyse imkansız hale getirir. Bu sayede ziyaretçileriniz verilerinin emin ellerde olduğunu bilerek kendilerini güvende hisseder.
2. Kimlik avı riskini azaltır
Kimlik avı web siteleri, kullanıcı verilerini çalmayı amaçlayanlar tarafından yapılmış sahte sitelerdir. Genellikle yasal web sitelerinin çok ikna edici kopyalarıdır ve ziyaretçileri kişisel bilgilerini girmeleri için kandırmaya çalışırlar. SSL, kimlik avını önlemenin de anahtarıdır. Web sitenizdeki geçerli bir SSL sertifikası, ziyaretçilerinizin kimlik avı saldırılarından kaçınmasına yardımcı olabilir.
3. Arama motoru sıralamanızı yükseltir
Google, 2014 yılında SSL ve HTTPS’yi arama sıralamasında bir faktör olarak dahil etmeye başlayacağını duyurdu. Bu yüzden geçerli bir SSL sertifikası olmadan bir web sitesinin Google sıralamalarında yükselmesi pek mümkün değil.
4. Müşteri ödemelerini güvence altına almak
SSL şifrelemesi, ödeme verileri için de geçerlidir. Müşterileriniz kart ayrıntılarını sitenize gönderirken, adres çubuğunuzda HTTPS olması, bu ayrıntıları şifrelediğinizi ve koruduğunuzu gösterir.
5. Güvenilirliğinizi artırmak
Tüm bu teknik noktaların ötesinde, bir SSL sertifikasına sahip olmanın en büyük avantajı, müşterilerinizin size olan güvenini artırmaktır. Web’i sık kullananlar için, URL’nizin yanında asma kilit simgesinin olması size bir meşruiyet sağlar. SSL olmadan birçok potansiyel ziyaretçi sitenizden kaçabilir.
SSL Sertifikalarının Kullanım Durumları
Milyonlarca web sitesi (bloglar ve sosyal medya siteleri dahil); kredi kartı işlemlerini, veri aktarımını ve giriş sayfalarında güvenli gezinmeyi güvence altına almak için SSL kullanır. HTTPS’yi etkinleştirerek tüketicilere web sitesinin meşru olduğunu ve işlem yapmanın güvenli olduğunu söylersiniz.
SSL aynı zamanda Google Chrome gibi önde gelen tarayıcılar tarafından da zorunlu kılınmıştır. Sertifikasız siteler, adres çubuğunda ”Güvenli Değil” uyarısına maruz kalır.
Küresel web sitelerinin, mobil ve internete bağlı cihazların büyümesi, SSL kullanımını e-ticaretin çok ötesine genişletti. Bu yüzden internet üzerinden cihazlar arasında güvenli bir şekilde veri paylaşması gereken herkes bir SSL sertifikasına ihtiyaç duyar.
SSL en çok aşağıdakileri güvence altına almak için kullanılır:
- Online kredi kartı işlemleri
- Web formları ve müşteri girişleri
- E-posta ve web posta uygulamaları
- İntranetler, dosya paylaşımı, extranetler ve dahili sunucular aracılığıyla kurumsal iletişim
- Bulut tabanlı platformlar ve sanallaştırılmış uygulamalar
- FTP üzerinden dosya aktarımı
- Mobil cihazlara ve mobil cihazlardan veri aktarımı
SSL Sertifikası Türleri Nelerdir?
Doğrulama düzeyine ve güvence altına aldıkları alan adlarının sayısına bağlı olarak bugün kullanılabilen birden fazla SSL sertifikası türü vardır.
Doğrulama düzeyine göre SSL sertifikaları aşağıdaki şekildedir:
1. Domain Validated SSL
Domain Validated (DV) SSL sertifikası, en düşük doğrulama düzeyini gerektirir. DV sertifikalarının temel amacı, alanın web sunucusu ile tarayıcısı arasındaki iletişimi güvence altına almaktır. CA, yalnızca sahibin alan adı üzerinde denetime sahip olduğunu doğrular.
2. Organization Validated SSL
Organization Validated (OV) SSL sertifikası, CA’nın bir kuruluşun alanı ve kuruluşun bilgilerini kullanma haklarını kontrol ettiği orta düzeyde bir doğrulama gerektirir. OV sertifikası, kuruluşun ve alan adının güven düzeyini artırır.
3. Extended Validated
Extended Validated (EV) SSL sertifikası, CA’nın kuruluş üzerinde yönergelere göre sıkı arka plan kontrolleri gerçekleştirdiği yüksek düzeyde bir doğrulama gerektirir. Bu, kuruluşun yasal, fiziksel ve operasyonel varlığının doğrulanmasını içerir.
Alan adına göre SSL sertifikaları aşağıdaki şekildedir:
1. Single Domain SSL (Standart SSL Sertifikaları)
Standart SSL Sertifikaları, bir tam nitelikli alan adını veya alt alan adını güvence altına alır.
2. Wildcard SSL Sertifikası
Wildcard SSL Sertifikası, bir alan adını ve sınırsız sayıda alt alan adını kapsar.
3. Multi-Domain SSL Sertifikası
Multi-Domain SSL sertifikası, SAN uzantısı yardımıyla aynı sertifikayı kullanarak birden fazla alan adını güvence altına alır. Özellikle Microsoft Exchange ve Office İletişimi ortamlarının güvenliğini sağlamak için tasarlanmıştır.
SSL Sertifikası Gerekli Mi?
Evet. Çünkü tüketiciler, SSL sertifikası olmayan web sitelerinden ayrılma konusunda eğitilir ve Google, sıralama faktörü olarak HTTPS kullanır. Geçerli bir SSL sertifikasına sahip olmanın diğer önemli nedenleri aşağıdakileri içerir:
Dönüşüm oranını iyileştirme: Tüketiciler, çevrimiçi alışveriş yaparken asma kilit ile güvenilirlik beklemeye başladı. Bu yüzden SSL olmadan gelirinizin büyük bir kısmına elveda diyebilirsiniz.
Tüketici güvenini geliştirme: Kişisel olarak tanımlanabilir herhangi bir bilgi (PII) topluyorsanız, bir SSL sertifikasına ihtiyacınız vardır.
SSL Sertifikaları Arama Sıralamalarını Etkiler Mi?
Google, 2014 yılında HTTPS’nin artık bir sıralama faktörü olduğunu doğruladığı için SSL ile arama motoru sıralamanızı yükseltebilir ve kullanıcı güvenini artırabilirsiniz.
Bir SSL sertifikası, sıralamalarda küçük bir artış sağlamanın yanı sıra, kuruluşunuzun bilgi güvenliğine önem verdiğini mevcut ve potansiyel müşterilere gösterir.
SSL Bağlantı Hatası Nedir?
SSL bağlantı hatası, erişilen sayfada bir güvenlik sorunu olduğunda ortaya çıkar. Web tarayıda meydana gelir ve erişimi kesip potansiyel bir güvenlik endişesi olduğunu bildirerek kullanıcıyı korur.
SSL bağlantı hataları çeşitli biçimlerde olabilir ve kullanılan tarayıcıya ve hata türüne göre farklılık gösterir. Bazı durumlarda https: // yeşil yerine kırmızıyla vurgulanır. Chrome’de ise, “bağlantınız gizli değil” veya “bu web sayfası kullanılamıyor” gibi mesajlarla bağlantıyı keser.
Çoğu durumda, kullanıcılar yine de siteye erişmeye karar verebilir, ancak böyle bir durumda web sitesinin her zamanki kadar güvenli olmadığını anlamanız gerekir.
SSL bağlantı hataları, geçerli bir SSL sertifikası yüklenmediğinde, süresi dolmuş bir sertifika yüklendiğinde veya SSL sertifikanızda bilinen bir güvenlik açığı olduğunda ortaya çıkar.
Sitenizde SSL bağlantı hataları varsa, site genelindeki güvenlik protokollerini güncelleyerek veya SSL sertifikanızı yükselterek / yenileyerek bunları hemen düzeltin. Aksi takdirde, güvenli olmayan sitenize güvenmeyen müşterilerden trafik ve gelir kaybetme riskiyle karşı karşıya kalırsınız.
Web Siteme Nasıl SSL Sertifikası Eklerim?
Bir SSL sertifikası yüklemek, web sitenizin nasıl ve nerede barındırıldığına bağlıdır. Sunucunuza bir SSL sertifikası eklemenin genellikle çeşitli yolları vardır. Çoğu durumda, hosting sağlayıcınız web sitenize otomatik olarak bir tür SSL sertifikası ekleyecektir (muhtemelen alan adı onaylı (DV) sertifika). Kuruluşunuzun daha güvenli bir SSL sertifikasına ihtiyacı varsa, hosting sağlayıcınız veya BT güvenlik ekibinizle görüşebilirsiniz.
SSL İle İlgili En Çok Sorulan Sorular
1. SSL cihazlar arasında uyumlu mudur?
Evet, SSL sertifikaları tüm cihazlarda geçerliliğini korur. Bunun web tarayıcısı için geçerli olduğunu ve uygulama içi web tarayıcıları için geçerli olmadığını unutmayın.
2. SSL, tüm işletim sistemlerinde çalışır mı?
Evet. İşletim sistemlerinin çoğu SSL / TLS’yi destekler ancak bazı eski işletim sistemleri yeni TLS sürümlerini desteklemeyebilir.
3. Tüm tarayıcılar SSL’yi destekliyor mu?
Evet. Tüm modern web tarayıcıları SSL’yi destekler. Firefox, Safari, Google Chrome, Microsoft Edge, SSL kullanıyor olsanız da, SSL desteklenir.
4. Bir sitenin SSL olup olmadığını nasıl anlarım?
SSL’nin doğru kurulup kurulmadığını kontrol etmek için adres çubuğundaki https: // veya asma kilit simgesini kontrol edin.