SSL nedir ?
"Secure Sockets Layer" kısaltması olarak
adlandırılan SSL ,Sunucu ile istemci arasındaki
iletişimin şifrelenmiş şekilde yapılabilmesine
imkan veren standartlaşmış bir teknolojidir.
En yaygın kullanım şekli, web ortamında, Sunucu
ile tarayıcı(Internet Explorer gibi..)
arasındaki iletişimin şifrenlenmesi şeklindedir.
SSL, standart bir algoritmadır.Milyonlarca web
sitesinde güvenli veri iletişimi için
kullanılmaktadır.
SSL fonksiyonun çalışabilmesi için sunucu
tarafında bir anahtar ve istemci tarafında
çalışacak bir sertifikaya ihtiyaç duyulmaktadır.
Özellikleri
- Mesajların şifrelenmesi ve deşifre edilmesindeki
güvenlik ve gizliliği sağlar
- Mesajı gönderenin ve mesajı alanın doğru yerler
olduğunu garanti eder
- İletilen dokümanların tarih ve zamanını doğrular
- Doküman arşivi oluşturulmasını kolaylaştırır
Sertifikasyon Kurumu
Dijital sertifikaların verilmesi
ve yönetilmesini gerçekleştiren kurumdur. Dijital
sertifikalar bu kurumların gizli anahtarıyla imzalanır.
SSL Nasıl Çalışır ?
SSL Public Key/Private Key adı verilen
anahtarların kullanımına dayalı bir şifreleme
yöntemi...
SSL çalışma mantığını şöyle açıklayalım:
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu
anahtarlar, dijital olarak kodlanmış yazılımdan
başka bir şey değil!... Ve bir anahtarın
kilitlediği veriyi, sadece diğeri açabiliyor.
Anahtarlarınızı yarattıktan sonra (ki bu işlem
tamamen otomatiktir, yapmanız gereken özel bir
şey yoktur.), anahtarlardan biri (private key)
sizde kalır. Diğer anahtar (public key) ise,
bağlantı kurmak istediğiniz kişilere gönderilir.
Size dışarıdan mesaj göndermek isteyen kişi,
public key ile göndermek istediği mesajı güvence
altına alır ve size gönderir. Artık o bilgi,
size ulaşırken yolda alıkonsa bile, şifrenin
çözülebilmesi için sizde kalan private key
gerekecektir. Kullanılan SSL yönteminin
karmaşıklığına göre (40 bit, 128 bit) şifre
birinin eline geçse bile, bu bilginin çözülmesi
çok ileri tekniklerle dahi çok uzun zaman
alacaktır.
Sonuç olarak SSL iki bilgisayar arasındaki
bilginin diğer kişiler tarafından
görüntülenmeden, doğrudan iletişimde olan iki
bilgisayar arasında ve güvenli bir şekilde
iletilmesini sağlar.
Elektronik sertifika sağlayıcı firmaların
verdiği hizmet tam olarak nedir ?
Sertifika sağlayıcı firmaların ilk görevi,SSL
fonksiyonunun çalışabilmesi için gerekli servisi
sağlamaktır.Bu servisi kabaca şu şekilde
açıklayabiliriz.
- Kullanıcı güvenli web sitesine giriş
yaptığında sunucu ile tarayıcı arasında SSL
oturumu başlatılır. Sunucu tarafından,
tarayıcıya fonksiyonun çalışabilmesi, yani
oturum açıldıktan sonra artık göndericeği
şifrelenmiş verilerin açılabilmesi için ihtiyaç
duyacağı anahtarları nereden ve ne şekilde
alacağını bildirir.
- Sertifika sağlayıcı firma, talebin geldiği
adresi doğrular var tarayıcıya gerekli
anahtarları gönderir.
- Bu aşamadan sonra tarayıcı sunucudan gelen
verileri elindeki anahtarlarla çözer yada
sunucuya göndereceği verileri sunucunun
çözebileceği şekilde şifreleyip gönderir.
- Eğer SSL anahtarlarınının talep edildiği adres
ve diğer kriterler doğru değil ise yada
sertifikanın süresi dolmuş ise tarayıcı ihtiyacı
olan anahtarları alamaz, dolayısıyla güvenli
oturum doğru şekilde başlamaz ve sertifika
geçersiz uyarısıyla karşılaşılır.
Sertifika sağlayıcı firmaların bir diğer
görevide tescil dir.!
Burada Tescil sertifikanın alındığı internet
adresinin hangi gerçek yada tüzel kişiye ait
olduğununun bir otorite tarafından onaylanması
ve duyurulmasıdır.
Elektronik Ticaret yapan web siteleri
içeriklerinde yanıltıcı iletişim bilgileri
verebilirler.Fakat ilgili sitenin güzenli
alanındaki sertifika detaylarında, sertifika
sahibi firmaya ait tescil edilmiş bilgilere
ulaşılabilir.
Türkiyede Faaliyet gösteren SSL firmaları ne
kadar güvenli ?
Şuan Türkiye'de faaliyet gösteren SSL
firmaları yurtdışı firmaların temsilciliği
şeklinde.Dolayısıyla son kimlik doğrulama
işlemi her şekilde yurtdışından yada
yurtdışı firmanın belirlediği formatlarda
yapılmakta.
Fakat çok yakında dijital imza uygulasının
aktif olarak kullanılmaya başlanmasıyla
birkaç yerli firmanın bu konuda
yetkilendirileceğini biliyoruz.
Herhangi bir sitede gördüğümüz SSL sağlayıcı
firma logoları ne anlama
geliyor. Bu logoların doğruluğu nasıl
kesinleştirilebilir?
Tabiki bu logoların gerçekte sertifika
olmadan kullanımı engellenemez.O yüzden
safya içinde yer verilmiş bu tip logolar
güvenli alan için referans alınmamalıdır.
Kullanıcı, sertifika detayları hakkında
doğru bilgiye ssl oturumu başladığında
tarayıcının alt tarafında beliren kilit
işaretine tıklayarak ulaşabilir.
SSL e sahip bir siteden kredi kartı bilgilerinin
çalınabilme ihtimali nedir ?
SSL fonksiyonu müşterinin tarayıcısından,
sunucuya kredi kartı bilgilerinin
şifrelenmiş şekilde ulaşmasını sağlar. Kötü
niyetli kimseler bu aşamada özel yazılım
yada cihazlarla ağ trafiğini izleyebilirler,
ağda gidip gelen paketlerin içeriğini
görüntüleyebilirler.
Fakat peket içerikleri şifreli olduğu için
istedikleri bilgiye ulaşamıyacaklardır.
Şifreli metinleri çözmek içinse, çok çok
güçlü bilgisayarlarla bile yıllarca sürecek,
ancak deneme yanılma yöntemiyle
bulabilecekleri bir anahtara ihtiyaçları
olacaktır.Bu şartlarda, ssl ile kredi
kartının satıcı firmanın sunucusuna
ulaşırılması son derece güvenlidir.
Fakat ssl tabiki sunucu üzerinde kayıtlı
tutulan kredi kartı bilgilerini korumaz.
Kaydı Tutulan Kredi kartı bilgilerinin
güvenliği tümüyle web sitesinin yönetimine
aittir.
Bu durumda doğru olan kredi kartı
bilgilerinin veri tabanında tutulmaması yada
tutulacaksa şifrenelenmiş şekilde
saklanmasıdır.
SSL Sertifikaları konusunda çok değişik
fiyat alternatifileri görüyoruz. 20 dolarlık
bir ssl ile 300 dolarlık bir ssl
sertifikası
arasındaki fark nedir ?
SSL in amacı güvenlik ve aynı zamanda güven
sağlamaktır.
Sertika alımıyla birlikte , sertifikayı alan
site için bir sigorta poliçesi düzenlenir.Bu
poliçe sertifikayı alan firmanın alışveriş
yapacak müşterilerine kendisinden
kaynaklancak zararların, başka bir firma
tarafında tazmin edilebilmesi içindir. Bunu
kabaca şehirlerarası otobüs firmalarının
yolcularını sigortalatması gibi
düşünebilirsiniz.
Arada oluşan fiyat farklılıklarıda
düzenlenen poliçenin tazmin bedeline göre
yada sertifikayı sağlayan firmanın ticari
itibarının daha büyük olmasına göre
değişmektedir.
Yoksa teknik anlamda sunulan hizmet tümünde
aynı sayılır.
Elektronik ticaret genelde birebir iletişim
olmadığı ve sahteciliğin kolayca
yapılabildiği bir ortam olduğu için firmalar
çeşitli tiplerde güvence sunma programları
oluşturmuşlardır.Temelde SSL serifikası
vardır.Bunun haricinde e-trust,trust logo
gibi 3.parti tescil artı güvence sunma
programları oluşturulmuştur.
SSL e sahip bir siteden kredi kartı
bilgilerinin çalındığını
varsayalım. Bu durumda SSL sağlayıcının
yükümlülükleri nelerdir ?
Kayıtlı Kredi kartı bilgilerinin sorumluluğu
sertifikayı veren firmaya ait değildir.Bu
tamamen siteyi işleten firmaya aittir.
Müşteri Sertifikayı veren kuruluşa ancak
ücretini ödediği halde hizmet alamadığı ve
firmaya ulaşamadığı gibi durumlarda
başvurabilir.
Müşterinin burada sertifikayı veren firmaya
yada otoriteye güvenerek ilgili web
sitesinden alışveriş yaptığı
varsayılıyor.Dolayısıyla müşteri
karşılaştığı zararlarda güveni sağlayan
firmadan tazminat talep edebilir.
InstantSSL in
diğer sertifikalardan farkı varmı ?
Evet var.!Verisign ve Thawte gibi firmalar son kullanıcıya
sadece 40-bit SSL sertifikası vermektedir. Oysa
siz bizden 128-Bit cok güçlü SSL sertifikası almaktasınız.Bundan
başka teknik olarak hiç bir farkı yoktur.Firmanızın
kimliği yine GTE Cyber Trust tarafından onaylanmaktadır.
InstantSSL müşterimin
tarayıcısında çalışacakmı ?
Evet.Instant SSL sertifikası tüm endüstri standartlarını
desteklemektedir.Bilinen tüm popüler tarayıcılarla
uyumludur.daha fazla bilgi için browser uyumluluk
raporlarını inceleyebilirsiniz.
InstantSSL hangi
web sunucularını destekliyor ?
InstantSSL bilinen bütün popüler web sunucularını
desteklemektedir.
Sertifikasyon
işlemi ne kadar sürüyor ?
CSR bilginiz,ödemeniz ve sizden istenen belgeler
elimize ulaştıktan en fazla 2 iş günü içerisinde
sertifikasyon işlemi sonuçlanır.
Sertifikasyon
işlemi için hangi belgeler gerekmekte ?
Bize ulaştırmanız gereken belgeler
Tüzel kimlik belgeleri
Ticari Sicil Gazetesi Fotokopisi,Vergi levhası Fotokopisi,İmza
Sirküleri fotokopisi,Firma sahibinin nufus belgesi
fotokopisi
Alan adı kullanma izin belgesi
Güvenli alan sertifikası talep ettiğiniz alan adı
kayıt blgileri firma kayıt bilgileri ile aynı olmalı
yada alan adı sahibi tarafından firma adına kullanımına
izin verdiğini belgeleyen imzalı belge.
InstantSSL hakkında
daha detaylı bilgiyi nasıl elde edebilirim ?
Firmamız
COMODO Security Solutions 'ın uluslararası
partnerlerinden biri olarak faaliyet göstermektedir.
Verilen sertifakaların tümü GTE Cyber Trust root
sertifikasına sahiptir.Sertifika özelliği olarak
diğer daha pahalı sertifikalardan farkı yoktur.Bütün
endüstri standartlarına uygundur.Tüm tarayıcılar
tarafından desteklenmektedir.
|
