SSL‘in açılımı “Secure Sockets Layer” yani “Güvenli Soket Katmanı“dır. SSL’den HTTPS NEDİR NE İŞE YARAR? isimli makalemizde bahsetmiştik. Şimdi biraz daha detaya inebiliriz.
SSL, PC (istemci) ile server (sunucu) arasındaki veri iletişiminin şifreli bir şekilde yapılmasını sağlar ve default’ta yani ön tanımlı olarak 443 portunu kullanır. Eğer bir web sitesi SSL sertifika hizmetlerinden birini kullanıyor ise bu işlem HTTPS protokolü ile gerçekleşir. Yani Internet Explorer, Google Chrome veya Mozilla Firefox gibi web tarayıcımızda (web browser) girdiğimiz website adresinin başında HTTPS yazıyor ise; iletişim, SSL sertifika hizmeti yardımıyla ve HTTPS protokolü ile şifreli şekilde geçekleşiyor demektir.
Şimdi SSL sertifika hizmetinin genel çalışma mantığını açıklayalım.
Sunucu sertifika üretir. Ayrıca sertifika yanında, hem herkese açık anahtar yani “public key” hem de özel anahtar yani “private key” üretir. Sertifikalar; firmanın iddia ettiği firma olduğunu onaylayan ve güvenilen organizasyonlar tarafından verilir. Verisign, Godaddy, Rapidssl ve Globalsign gibi organizasyonları SSL sertifikası alabileceğiniz firmalara örnek olarak verebiliriz. Bir sunucuya sertifika alabilmek için sertifika otoritesine sunucunun private key’i ile oluşturulmuş bir CSR dosyası yani “certificate signing request–sertifika imzalama isteği” yollamalıdır. Firmanın iddia ettiği firma ise sertifika otoritesi elektronik olarak imzalanmış bir sertifika oluşturur ve firmaya verir. Otorite elektronik imzayı sertifika içeriğinden bir hash üretip bunu da şifreleyerek oluşturur. Bu imzayı da sertifika içerisine dahil eder. Böylece sertifika imzalanmış olur. Bu imza sunucu firmasının damgasıdır. Otoriteden sertifika talep eden firma, gelen bu sertifikayı sunucusuna yükler.
SSL sertifika hizmeti ile “kimlik doğrulama” yani “authentication” yapılır. Bunun için sunucu tarafında sertifikalar vardır. Böylece istemci tarafındaki web tarayıcı (web browser), alışveriş yapmak istediği firma ile bağlantı kurduğundan emin olur. Sertifika; firma hakkında bilgileri, sertifika seri numarasını, sertifika son kullanma tarihini ve sertifika veren firmanın elektronik imzasını içerirken aynı zamanda da “public key”i içerir.
Sunucuya bir SSL isteği geldiğinde, sertifika istemci tarafındaki web tarayıcıya (web browser) yollanır. Web tarayıcı sunucudan sertifikayı aldığında sertifikadan içerdiği tüm bilgileri ve public key’i okuyabilir. İstemci tarafındaki web tarayıcı gerçekten istediği firma ile bağlantı kurduğunu anlamak için sertifika içerisindeki sayısal imzayı denetlemelidir. Bunun için web tarayıcı üzerinde zaten var olan sertifika otoritesinin public key’i ile sayısal imzayı çözerek otoritenin ürettiği hash değerini elde eder. Daha sonra sertifika içeriğinden kendisi de bir hash değeri üretir ve bu iki değeri karşılaştırır. Eğer hash değerleri aynı ise “firma otorite tarafından onaylanmış ve iddia ettiği firmadır” sonucuna varılır.
OSI modelinin 5. katmanı olan oturum katmanında el sıkışma tamamlanmış oldu. Yani web tarayıcımızın public key ile şifrelediği veriyi doğru kişi ya da kuruma gönderdiğimizden emin olduk.
SSL sertifika hizmeti ile verinin değişip değişmediğinden “hashing tekniği” ile emin olunur. Bunun için istemci yani PC’mizdeki web tarayıcı (web browser) sunucuya desteklediği MD5, Des gibi şifreleme tekniklerini yollar. Sunucuda kendi desteklediği şifreleme tekniklerine bakar ve eşleşenleri listeler. Listeden en iyisini yani en güçlü olan şifreleme tekniğini seçer. Sonuç olarak hem istemci hem de sunucuda aynı şifreleme tekniği seçilir. Örneğin; hem istemci tarafındaki web tarayıcıda hem de sunucuda MD5 şifreleme tekniği seçilir. İstemci tarafında gönderilecek data’dan yani veriden MD5 şifreleme tekniği ile bir hash değeri üretilir. Üretilen hash’lere bakıldığında hiçbir şey anlaşılmaz yani verinin ne olduğu anlaşılamaz, karmakarışık bir şeydir. Zaten “hash”in Türkçe karşılığı “karışık şey”dir. Veri ve hash aynı anda sunucuya ulaştığında, sunucu tarafında da MD5 şifreleme tekniğiyle bu veriden bir hash üretilir. Alınan ve üretilen hash’ler karşılaştırılır. Hash’ler aynı ise “veri yolda gelirken değişmemiştir” sonucuna ulaşılır. MD5 ile şifrelenmiş bir metnin değerini buradan görebiliriz.
Ayrıca SSL sertifikalarında şifreleme de önemlidir. Şifreleme teknikleri; simetrik ve asimetrik şifreleme olarak ikiye ayrılır.
- Simetrik Şifreleme: Sunucuda da istemcide de aynı tek bir anahtar yani key vardır. Gönderilen veri o key ile şifrelenir. Alıcı veriyi alınca yine aynı key ile veriyi çözer. Görüldüğü üzere güvenlik düzeyi düşüktür.
- Asimetrik Şifreleme: Sunucuda hem herkese açık anahtar yani “public key” hem de özel anahtar yani “private key” vardır. Sunucuya gönderilen veri public key ile şifrelenmiş şekilde gönderilir. Yani istemcinin web tarayıcısı (web browser) veriyi public key ile şifreler ve sunucuya gönderir. Sunucu ise veriyi sadece kendisinin bildiği private key ile çözer. Böylece araya girenler private key’i bilmediği için veriden hiçbir şey anlamazlar.
Tüm bu şifreleme işlemleri belli bir kapasite de yapılır. Örneğin “128 bit şifreleme tekniği, 40 bit şifreleme tekniğinden daha güçlüdür” diyebiliriz. Yukarıda bahsedilen MD5 128 bit’lik yüksek düzeyli bir şifreleme tekniğidir.
SSL sertifika hizmeti alacağınız firmaya göre çeşitlilik arz eder. Farklı SSL sertifikalarının da farklı özellikleri vardır. DV (Domain Validation) SSL, OV (Organizational Validation) SSL ve EV (Extended Validation) SSL gibi SSL sertifika çeşitleri vardır. Örnek olması açısından Globalsign firmasının SSL sertifika özelliklerine baktığımızda;
1. DV (Domain Validation) SSL: Sadece sunucu adını doğrular.
- 2048 bit şifreleme tekniği,
- Sertifikayı çok hızlı oluşturma ve birkaç dakika içerisinde teslimat,
- Willcard SSL ve SAN SSL türleri seçeneği.
Google chrome web tarayıcısındaki görünümü;
2. OV (Organizational Validation) SSL: Alan adını ve alan adına sahip olan firmanın bilgilerini doğrular.
- 2048 bit şifreleme tekniği,
- 1 ve ya 2 gün içerisinde inceleme ve teslimat,
- Willcard SSL ve Multi-domain SSL türleri seçeneği.
Google chrome web tarayıcısındaki görünümü;
3. EV (Extended Validation) SSL: Alan adını ve alan adına sahip firmanın çok detaylı ve kapsamlı bilgilerini doğrular.
- 2048 bit şifreleme tekniği,
- En üst düzey güvenlik,
- Tarayıcı da firma ismi görüntülenir,
- 3 gün içerisinde inceleme ve teslimat,
- Multi-domain SSL türü seçeneği.
Google chrome web tarayıcısındaki görünümü;
Seçeceğimiz sertifika çeşidinin güvenlik düzeyi arttıkça fiyatı da artmaktadır. Güvenliğin son derece önemli olduğu internet bankacılığı gibi sitelerde Extended Validation SSL kullanılması önerilir.
Burada Willcard SSL, SAN SSL ve Multi-domain SSL paketlerinden de bahsedelim. Bu paketler bize farklı özellikleri sunar. Willcard SSL tek bir alan adı için birçok sunucu kullanmamızı sağlar. Her sunucu için “*.yourdomain.com.tr” şeklinde “sub domain” kullanılır. SAN SSL paketi ise aynı şirketin farklı alan adlarına ait sunucuları için kullanılır. Multi-domain SSL ise her ikisinin özelliklerini hatta IP adresi doğrulaması gibi bazı ilave özellikler de barındıran bir pakettir.
Son olarak örnek olması açısından Internet Explorer’dan Vakıfbank’ın internet bankacılığına tıklayarak sertifikasını inceleyebiliriz.
Burada sertifikayı isteyen firma, sertifikayı veren organizasyon, sertifika türü ve ya geçerlilik tarihi gibi farklı bilgileri sertifika üzerinde görebiliriz.
