Ağ iletişiminde, veriler karmaşık borular içinde ilerleyen kartpostallar gibidir; geleneksel yöntemlerde herhangi bir ara düğüm içeriğini kolayca okuyabilir. Bu güvenlik riskini gidermek için SSL (Güvenli Bağlantı Katmanı) protokolü ve onun halefi TLS (İletim Katmanı Güvenliği) protokolleri ortaya çıkmıştır. SSL sertifikası, bu güvenlik sisteminin temel taşıdır ve web sitelerinin kimliğinin doğrulanmasını ve iletişim verilerinin şifrelenmesini sağlar.
Basitçe söylemek gerekirse, SSL sertifikası, bir web sitesinin kimlik bilgilerini (örneğin alan adı, şirket adı) ve şifreleme/şifre çözme işlemleri için kullanılan asimetrik anahtarları bir araya getiren dijital bir dosyadır. Kullanıcılar, SSL/TLS özelliği aktif olan bir web sitesine (genellikle “https://” ile başlar ve tarayıcı adres çubuğunda kilit simgesi ile belirtilir) eriştiğinde, tarayıcı sunucu ile “SSL el sıkışması” adı verilen karmaşık bir süreç gerçekleştirir. Bu süreçte, sunucunun sunduğu SSL sertifikasının gerçek ve geçerli olup olmadığı doğrulanır. Doğrulama başarılı olduktan sonra, taraflar arasında şifreli bir iletişim kanalı kurulur ve bundan sonra iletilen giriş bilgileri, ödeme verileri, kişisel bilgiler gibi tüm veriler yüksek seviyede şifrelenir. Bu sayede dinleme, değişiklik ve sahtecilik gibi eylemler etkili bir şekilde önlenir.
SSL sertifikasının temel çalışma prensibi
SSL/TLS protokolünün temel hedefleri üç noktada özetlenebilir: Kimlik doğrulama, veri şifreleme ve veri bütünlüğünün kontrolü. SSL sertifikaları, bu hedeflere ulaşmada kilit rol oynar.
Tavsiye edilen okuma SSL Sertifikaları Kılavuzu: Türler, Çalışma Prensibi ve En İyi Dağıtım Uygulamaları。
Asimetrik şifreleme ile simetrik şifrelemenin birleştirilmesi
SSL/TLS protokolü, asimetrik şifreleme ve simetrik şifrelemenin avantajlarını ustaca birleştirir. Başlangıçtaki “el sıkışma” (handshake) aşamasında, kimlik doğrulaması yapmak ve geçici bir “oturum anahtarı” belirlemek için RSA, ECC gibi asimetrik şifreleme algoritmaları kullanılır. Bu oturum anahtarı, AES gibi simetrik şifreleme algoritmaları için kullanılır. Asimetrik şifrelemenin hesaplama süreci karmaşıktır ve hızı yavaştır; ancak güvenliği yüksektir, bu nedenle anahtarların güvenli bir şekilde aktarılması için uygundur. Simetrik şifreleme ise hızlıdır ve büyük miktarda verinin gerçek zamanlı olarak şifrelenmesi ve şifresinin çözülmesi için uygundur. El sıkışma işlemi tamamlandıktan sonra, tüm iletişim verileri bu verimli oturum anahtarı kullanılarak şifrelenir.
Sertifika İhraç Kuruluşu’nun (CA – Certificate Authority) Güven Zinciri
Tarayıcılar, bir SSL sertifikasının güvenilir olup olmadığını nasıl belirler? Bu, işletim sistemi ve tarayıcıda önceden yerleştirilmiş olan “kök sertifika” listesine bağlıdır; bu kök sertifikalar, dünya çapında tanınan ve önde gelen sertifika veren kuruluşlardan gelir. Bir SSL sertifikası talep ettiğinizde, CA (Sertifika Yetkilisi) kuruluşu kimliğinizi doğruladıktan sonra (doğrulama sürecinin detayları sertifika türüne göre değişir), kendi özel anahtarı ile sertifika talebinizi imzalar ve nihai SSL sertifikasını oluşturur.
Tarayıcı web sitenizin sertifikasını aldığında, “web sitenizin sertifikası -> ara CA sertifikası -> kök CA sertifikası” şeklindeki güven zincirini takip eder. Zincirdeki her imza geçerli olduğu ve kök sertifikanın tarayıcının güven kütüphanesinde bulunduğu sürece, tarayıcı web sitenizin sertifikasını güvenilir olarak değerlendirir ve böylece güvenlik kiliti işaretini gösterir.
SSL el sıkma süreci özeti.
1. Müşteri Tarafı (Client): Tarayıcı, sunucuya desteklediği SSL/TLS sürümleri, şifreleme algoritmaları listesi gibi bilgileri gönderir.
2. Sunucu: “Merhaba!” diyerek, her iki tarafın da desteklediği bir şifreleme paketini seçer ve SSL sertifikasını (ortak anahtarı içeren) tarayıcıya gönderir.
3. Sertifika Doğrulaması: Tarayıcı, sunucu sertifikasının geçerliliğini ve meşruiyetini doğrular (sertifikanın süresi dolmuş mu, alan adı eşleşiyor mu, güvenilir bir CA tarafından mı imzalanmış?).
4. Anahtar Değişimi: Tarayıcı, bir “ön anahtar” oluşturur ve bu anahtarı sunucunun sertifikasındaki kamuya açık anahtar kullanılarak şifreler; ardından şifreli anahtarı sunucuya gönderir. Sadece ilgili özel anahtara sahip olan sunucu bu anahtarı çözebilir.
5. Oturum Anahtarının Oluşturulması: Taraflar, önceden belirlenmiş ana anahtar ve el sıkma işlemi sırasında değiştirilen rastgele sayıları kullanarak, aynı oturum anahtarını bağımsız olarak hesaplarlar.
6. Şifreli iletişim başlar: Taraflar, birbirlerine sonraki iletişimlerinde oturum anahtarı kullanacaklarını bildirirler. Bundan sonra, tüm uygulama katmanı verileri (HTTP) şifreli bir kanal üzerinden iletilir.
Ana SSL sertifika türlerinin ayrıntılı açıklaması.
Doğrulama seviyelerine ve işlevsellik kapsamına göre, SSL sertifikaları farklı güvenlik ihtiyaçlarını karşılamak için aşağıdaki kategorilere ayrılır:
Tavsiye edilen okuma SSL Sertifikası Kapsamlı Rehberi: Türler, Çalışma Prensibi ve Kurulum/Dağıtım Uygulamaları。
Domain doğrulama sertifikası.
DV sertifikaları, en hızlı verilen ve en düşük maliyetli sertifika türleridir. CA (Certificate Authority) kuruluşları, başvuru sahibinin bir alan adı üzerindeki kontrol haklarını doğrular; bu genellikle alan adı çözümleme kayıtlarının kontrolü veya yönetici e-postasına gönderilen doğrulama e-postaları yoluyla yapılır. DV sertifikaları yalnızca “bu alan adı altındaki iletişimin şifreli olduğunu” kanıtlar; ancak web sitesi operatörünün gerçek kimliğini doğrulamaz.
DV sertifikaları, kişisel bloglar, küçük web siteleri veya test ortamları için çok uygundur ve HTTPS şifrelemesini hızlı bir şekilde etkinleştirmeniz gereken durumlarda kullanılır.
Kuruluş doğrulama sertifikası.
OV sertifikaları, DV sertifikalarının temelinde, başvuru sahibi kuruluşların (örneğin şirketler, hükümet kurumları) gerçekliğinin doğrulanmasını da içerir. Sertifika yetkilendirme kuruluşları (CA’lar), şirketlerin ticari kayıt bilgilerini, telefon numaralarını vb. inceleyer ve bu bilgiler sertifikaya eklenir. Ancak normal kullanıcılar web sitesini ziyaret ettiklerinde bu bilgileri doğrudan göremezler; sertifikanın ayrıntılarını görmek için tarayıcıdaki kilit simgesine tıklamaları gerekir.
OV sertifikaları, şirketlere ve kuruluşlara daha güçlü bir kimlik onayı sağlar ve güvenilirliklerini önemli ölçüde artırır. E-ticaret siteleri, kurumsal web siteleri gibi ticari kuruluşlar için standart bir seçenektir.
Genişletilmiş doğrulama sertifikası.
EV sertifikaları, en yüksek doğrulama seviyesine ve en sıkı inceleme süreçlerine sahip sertifikalardır. CA (Certificate Authority – Sertifika Yetkilisi), sadece OV (Organizational Validation – Kurumsal Doğrulama) seviyesindeki organizasyon doğrulamalarını tamamlamakla kalmaz; aynı zamanda organizasyonun yasalara ve düzenlemelere uygun bir şekilde faaliyet gösterdiğinden de emin olmak için daha kapsamlı incelemeler yapar. En belirgin özelliği, EV sertifikası bulunan web sitelerine eski nesil popüler tarayıcılardan erişildiğinde adres çubuğunda şirket adının doğrudan yeşil renkte görünmesidir; bu da kullanıcılara en yüksek düzeyde görsel güven hissi verir. Modern tarayıcı arayüzleri birleşme eğiliminde olsa da, EV sertifikalarının arka plandaki sıkı doğrulama standartları ve şirket kimliğine verilen en yüksek düzeydeki onay değişmemiştir.
EV sertifikaları, güven ve marka imajı açısından çok yüksek standartlara sahip olan büyük şirketler, finans kuruluşları, ödeme platformları gibi web sitelerinde kullanılır.
Tavsiye edilen okuma SSL Sertifikası Ayrıntılı İncelemesi: Web Siteniz İçin Güvenlik Kalkanı Oluşturma ve HTTPS Şifreleme Rehberi。
Kapsama alanına göre sınıflandırma
SSL sertifikaları, sadece verilen güvenlik seviyesini doğrulamanın yanı sıra, korunan alan adı sayısına göre de sınıflandırılabilir:
* 单域名证书: 仅保护一个具体的域名(如 www.example.com 或 example.com)。
* 通配符证书: 保护一个主域名及其所有同级子域名(如 *.example.com Koruyabilir. blog.example.com, shop.example.com (Bunlar gibi özellikler sayesinde) yönetimi çok kolay hale geliyor.
* 多域名证书: 一张证书可以保护多个完全不相关的域名(如 example.com, example.net, anothersite.orgFarklı markalara veya iş kollarına sahip kuruluşlar için uygundur.
SSL sertifikası nasıl talep edilir ve kurulur?
SSL sertifikası başvuru ve dağıtım süreci, farklı servis sağlayıcıları ve sunucu ortamlarında bazı küçük farklılıklar gösterse de, temel adımlar benzerdir.
İlk adım: Sertifika imza isteği oluşturun.
Web sunucunuzda bir CSR (Certificate Signing Request) dosyası oluşturmanız gerekiyor. Bu işlem sırasında bir çift anahtar oluşturulur: özel anahtar ve genel anahtar. Özel anahtarın gizli tutulması ve sunucuda güvenli bir şekilde saklanması şarttır; kesinlikle dışarı sızdırılmamalıdır. CSR dosyasında, genel anahtarınızın yanı sıra başvurmak istediğiniz alan adı, kuruluş bilgileriniz gibi bilgiler de bulunmaktadır. Lütfen CSR dosyasındaki bilgileri dikkatlice kontrol edin; bir kez CA’ya (Certificate Authority) gönderildikten sonra bu bilgiler değiştirilemez.
İkinci adım: CSR'yi göndermek ve doğrulamayı tamamlamak.
Oluşturulan CSR’yi (Certificate Signing Request) seçtiğiniz sertifika veren kuruluşa veya bayiye gönderin. Başvurduğunuz sertifika türüne (DV, OV, EV) göre, ilgili CA’nın (Certificate Authority) gerekliliklerine uygun doğrulama süreçlerini tamamlamanız gerekecektir. DV sertifikalarının doğrulaması en hızlıdır; OV/EV sertifikaları için ise kuruluşunuzla ilgili belgeleri sunmanız ve doğrulama amacıyla telefon görüşmeleri yapmanız gerekebilir.
Üçüncü Adım: Sertifikayı indirin ve yükleyin.
Doğrulama işlemi tamamlandıktan sonra, CA (Sertifika Yetkilisi) sizin SSL sertifika dosyanızı verir (genellikle…). .crt 或 .pem Format (sertifika zinciri dosyalarını da içerebilir). Sertifika dosyalarını (ve varsa ara sertifika zincirlerini) sunucunuza yüklemeniz ve bunları ilk adımda oluşturduğunuz özel anahtarla birlikte yapılandırmanız gerekmektedir. Belirli yapılandırma yöntemleri sunucu yazılımınıza bağlıdır.
Dördüncü Adım: Sunucu Yapılandırması
Yaygın web sunucuları için, SSL/TLS’yi etkinleştirmek amacıyla bazı ayarlamalar yapmanız gerekmektedir. Örneğin:
* Apache: 修改 httpd.conf Veya sitenin sanal sunucu yapılandırma dosyasında belirtilen… SSLCertificateFile(Sertifika dosyasının yolunu) ve SSLCertificateKeyFile(Özel anahtar dosyası yolunu belirtir.)
*Nginx: Site için sunucu bloğu yapılandırmasını değiştirin.* listen 443 ssl; Komutun ardından, belirtilen… ssl_certificate(Sertifika dosyasının yolunu belirtin; genellikle sertifika zincirini de içermelidir) ve ssl_certificate_key(Özel anahtar dosyası yolunu belirtir.)
* 云平台/面板: 如果您使用cPanel、Plesk或阿里云、腾讯云等云平台,它们通常提供图形化的SSL证书安装界面,您只需上传证书文件内容即可。
Yapılandırma tamamlandıktan sonra, yapılandırmanın etkinleşmesi için Web sunucusunu yeniden başlatın.
Beşinci Adım: Test Etme ve Doğrulama
Yükleme tamamlandıktan sonra, web sitenizi ziyaret edin ve doğru ayarların yapıldığından emin olun. https:// Önek sorunsuz bir şekilde açılıyor ve tarayıcının adres çubuğunda güvenlik kiliti işareti görünüyor. Sertifikanın doğru şekilde yüklendiğini, yapılandırmasının kontrol edildiğini ve herhangi bir güvenlik açığının olup olmadığını görmek için çevrimiçi SSL denetim araçları (örneğin SSL Labs’in SSL Server Test) kullanabilirsiniz.
SSL Sertifikalarının Bakımı ve Yönetimi
Sertifikaların dağıtılması bir kez yapıldıktan sonra sorun olmaz anlamına gelmez; etkili bir yaşam döngüsü yönetimi son derece önemlidir.
Geçerlilik Süresi ve Yenileme
Şu anda, önde gelen CA (Certificate Authority – Sertifika Yetkilendirme Kuruluşları) kuruluşları tarafından verilen SSL sertifikalarının en uzun geçerlilik süresi bir yıldır. Sertifika süresi dolduğunda, web siteleri güvenlik uyarıları ile karşılaşır ve kullanıcılar sitelere erişemez. Bu nedenle, sertifikanın süresi dolmadan önce yenilenmesi gerekmektedir. Yenileme işleminin en az bir ay önce başlatılması önerilir. Birçok barındırma hizmet sağlayıcısı ve sertifika sağlayıcısı otomatik yenileme özelliğini desteklemektedir; bu özelliğin etkinleştirilmesi düşünülebilir.
Zorunlu HTTPS ve Yönlendirme
Sertifika yüklendikten sonra, web sitesinin HTTP üzerinden gelen tüm istekleri otomatik olarak HTTPS sürümüne yönlendirmesini ayarlamak gerekmektedir. Bu, kullanıcıların her zaman güvenli bir bağlantı üzerinden gezinmelerini sağlamak ve arama motoru optimizasyonuna yardımcı olmak için web sunucusu ayarlarına 301 kalıcı yönlendirme kuralı ekleyerek gerçekleştirilebilir.
Anahtar ve Sertifika Güvenliği
Özel anahtarın güvenliği, sertifikanın kendisiyle eşdeğerdir. Sunucu özel anahtar dosyasına yalnızca sunucu işlemlerinin okuma iznine sahip olmasını sağlamak çok önemlidir. Anahtar çiftlerini düzenli olarak değiştirmek iyi bir güvenlik uygulamasıdır ve bu işlem, sertifikanın yenilenmesi sırasında da yapılabilir. Çok kritik çevrimiçi hizmetler için, özel anahtarların en yüksek seviyede fiziksel güvenlik sağlaması amacıyla donanım tabanlı güvenlik modülleri kullanılması düşünülmelidir.
Özetle.
SSL sertifikaları, başlangıçta isteğe bağlı bir gelişmiş güvenlik özelliği olarak kullanılmakta iken, günümüzde modern internet siteleri için vazgeçilmez bir altyapı haline gelmiştir. Sadece adres çubuğundaki güvenliği simgeleyen “küçük kilit”ten ibaret değil; aynı zamanda kullanıcı güvenini kazanmak, veri varlıklarını korumak, uyumluluk gereksinimlerini karşılamak ve arama motoru sıralamalarını artırmak için de temel bir araçtır. Bir web sitesinin niteliğine (kişisel, ticari, finansal) göre uygun sertifika türünü seçmek, her web sitesi sahibinin sahip olması gereken temel bilgilerdendir. Doğru başvuru, kurulum ve bakım süreçlerini izleyerek, hem kendinizin hem de kullanıcılarınızın daha güvenli ve güvenilir bir çevrede bulunmasını sağlayabilirsiniz.
Sıkça Sorulan Sorular.
Neden web sitem SSL sertifikasının güvenli olmadığını gösteriyor?
Bu uyarının yaygın nedenleri şunlardır: 1) Sertifika süresi dolmuştur; 2) Sertifikanın verildiği alan adı, gerçekte ziyaret ettiğiniz alan adıyla eşleşmiyor; 3) Sertifika zinciri eksiktir ve sunucu ara sertifikaları doğru şekilde yapılandırmamıştır; 4) Web sitesi hala bazı HTTP kaynaklarını (örneğin resimler, betikler) karma şekilde yüklemektedir, bu da “karışık içerik” uyarısına neden olur; 5) Tarayıcı veya işletim sistemi, sertifikayı veren CA (Sertifika Yetkilisi) kuruluşuna güvenmiyor.
HTTPS siteleri mutlaka ve kesinlikle güvenli midir?
HTTPS, verilerin aktarım sırasındaki gizliliğini ve bütünlüğünü sağlar; ancak tüm güvenlik sorunlarını çözmez. Web sitesi sunucusunun kendisinde güvenlik açıkları (örneğin SQL enjeksiyonu, çapraz sitelik betikler) olup olmadığını garanti etmez ve web sitesi içeriğinin yasal veya zararsız olduğunu da garanti etmez. Sadece bilgisayarınızdan hedef sunucuya kadar olan yolun “şifreli bir kanal” olduğunu sağlar.
Ücretsiz SSL sertifikalarının ücretli olanlardan ne farkı var?
免费的SSL证书(如Let‘s Encrypt颁发的)通常是DV证书,提供了与付费DV证书同等级别的加密强度,非常适合个人和小型项目。主要区别在于:免费证书有效期较短(通常90天),需要频繁自动续订;一般只提供基础的技术支持;不提供针对证书本身的经济损失担保(如保险)。付费证书则提供OV/EV等更高级别的身份验证、更长的可选有效期、专业的技术支持、品牌信任度以及保险保障。
Bir SSL sertifikası birden fazla sunucuda kullanılabilir mi?
Tabii ki, ancak belirli koşulların karşılanması gerekiyor. Yeter ki bu sunucularda aynı sertifikayı ve ilgili özel anahtarı yükleyin. Bu genellikle yük dengeleme kümeleri veya ana/yardımcı sunucu ortamlarında kullanılır. Lütfen unutmayın ki, bu durumda özel anahtarın birden fazla sunucu arasında dağıtılması gerekmektedir; bu nedenle anahtarın güvenliğine özellikle dikkat etmelisiniz ve aktarım veya depolama sırasında sızdırılmasını önlemelisiniz.
OV (Organizational Validation) veya EV (Extended Validation) sertifikası için hangi belgelerin hazırlanması gerekmektedir?
Genellikle aşağıdakilerin hazırlanması gerekmektedir: 1) Geçerli kurumsal ticaret kayıt belgeleri (örneğin işletme lisansı); 2) Başvuru yapan birimin sabit telefon numarası; CA (Certificate Authority) bu numarayı doğrulama amacıyla arayacaktır; 3) Başvuru sahibinin kişisel kimlik bilgileri ve yetki belgeleri (örneğin kimlik kartı, yetki belgesi). EV sertifikaları için inceleme süreci daha katıdır ve daha fazla hukuki ve operasyonel belge sunulması gerekebilir; ayrıca inceleme süresi de nispeten daha uzundur. Özel gereksinimler için seçtiğiniz sertifika veren kuruluşla iletişime geçmelisiniz.
Bir sonraki adım, bundan sonra ne yapmalıyım?
Daha fazla okuma ve pratik bilgiler.
Aşağıdaki içerikler bu makalenin konusuyla ilgilidir ve daha fazla okumak için uygundur. Öncelikle mevcut sorununuza en yakın makaleden başlayın, sonra çevresel konulara doğru ilerleyin, genellikle daha iyi sonuçlar alırsınız.
- SSL sertifikası nedir? Prensipinden kullanma başvurusuna kadar her şey ayrıntılı olarak açıklanmıştır.
- SSL Sertifikası nedir? Dijital sertifikaların çalışma prensibini, türlerini ve kurulum rehberini tek bir makalede öğrenin.
- SSL Sertifikası Derinlemesine Analizi: Başlangıçtan Uzmanlığa, Web Sitelerinin Güvenliğini Kapsamlı Bir Şekilde Koruma
- SSL sertifikası nedir ve nasıl çalışır?
- Kapsamlı SSL Sertifikası Rehberi: Prensiplerden Türlerine, Kurulumdan Yönetimine Kadar Pratik Açıklamalar