SSL/TLS Sertifikası nedir?
SSL/TLS sertifikası; sistemlerin, kimliği doğrulamasına ve ardından Güvenli Yuva Katmanı/Aktarım Katmanı Güvenliği (SSL/TLS) protokolünü kullanarak başka bir sisteme şifreli bir ağ bağlantısı kurmasına olanak tanıyan dijital bir nesnedir. Sertifikalar, genel anahtar altyapısı (PKI) olarak bilinen bir şifreleme sisteminde kullanılır. PKI, her ikisi de sertifika yetkilisi olarak bilinen bir üçüncü partiye güvenen iki parti arasında, bir partinin sertifikaları kullanarak diğer partinin kimliğini oluşturması için bir yol sağlar. Böylece SSL/TLS sertifikaları, ağ iletişimlerinin güvenliğini sağlamak, özel ağlar üzerindeki kaynakların yanı sıra internet üzerinden web sitelerinin kimliğini belirlemek için dijital kimlik kartları işlevi görür.
SSL/TLS sertifikaları neden önemlidir?
SSL/TLS sertifikaları, web sitesi kullanıcıları arasında güven oluşturur. İşletmeler SSL/TLS korumalı web siteleri oluşturmak için web sunucularına SSL/TLS sertifikaları yükler. SSL/TLS korumalı bir web sayfasının özellikleri aşağıdaki gibidir:
- Web tarayıcısında bir kilit simgesi ve yeşil adres çubuğu
- Tarayıcıdaki web sitesi adresinde bir https öneki
- Geçerli bir SSL/TLS sertifikası. URL adres çubuğundaki kilit simgesini tıklatıp genişleterek SSL/TLS sertifikasının geçerli olup olmadığını kontrol edebilirsiniz.
- Şifreli bağlantı kurulduktan sonra, yalnızca istemci ve web sunucusu gönderilen verileri görebilir.
SSL/TLS sertifikalarının avantajlarından bazıları aşağıda açıklanmıştır.
Özel verileri korur
Tarayıcılar, web sitesi sunucusuyla güvenli bağlantıları başlatmak ve sürdürmek için herhangi bir web sitesinin SSL/TLS sertifikasını doğrular. SSL/TLS teknolojisi, tarayıcınız ve web sitesi arasındaki tüm iletişimin şifrelenmesini sağlamaya yardımcı olur.
Müşteri güvenini güçlendirin
İnternet meraklısı müşteriler gizliliğin önemini anlar ve ziyaret ettikleri web sitelerine güvenmek ister. SSL/TLS korumalı bir web sitesi, müşterilerin güvenli olarak algıladıkları yeşil asma kilit simgesine sahiptir. SSL/TLS koruması, müşterilerin verilerini işletmenizle paylaştıklarında korunduğunu bilmelerine yardımcı olur.
Mevzuata uygunluğu destekler
Bazı işletmeler veri gizliliği ve korunması için endüstri düzenlemelerine uymalıdır. Örneğin, ödeme kartı endüstrisindeki işletmeler PCI DSS'ye uymalıdır. PCI DSS, web sunucusunun SSL/TLS sertifikası ile güvenliğini sağlamak da dahil olmak üzere güvenli çevrimiçi işlemler sağlamak için bir endüstri gereksinimidir.
SEO geliştirin
Başlıca arama motorları SSL/TLS korumasını arama motoru optimizasyonu için bir sıralama faktörü haline getirdi. SSL/TLS korumalı bir web sitesi, arama motorunda SSL/TLS sertifikası olmayan benzer bir web sitesinden daha üst sıralarda yer alacaktır. Bu, ziyaretçileri arama motorlarından SSL/TLS korumalı web sitesine artırır.
SSL/TLS sertifika teknolojisindeki temel ilkeler nelerdir?
SSL/TLS, güvenli yuva katmanı ve aktarım katmanı güvenliği anlamına gelir. Bilgisayar sistemlerinin internette birbirleriyle güvenli bir şekilde iletişim kurmasını sağlayan bir protokol veya iletişim kuralıdır. SSL/TLS sertifikaları, web tarayıcılarının SSL/TLS protokolünü kullanarak web sitelerine şifrelenmiş ağ bağlantıları tanımlamasını ve kurmasını sağlar.
Şifreleme
Şifreleme, orijinal mesajın yalnızca hedeflenen alıcı tarafından deşifre edilebilmesi için karıştırılması anlamına gelir. Örneğin, alfabedeki her harfi iki ileri taşıyarak kedi kelimesini mgfj olarak değiştirirsiniz. Alıcı kuralı (veya anahtarı) bilir ve gerçek kelimeyi okumak için her harfi iki ilerideki harf ile değiştirir. SSL/TLS şifrelemesi, bir mesajı şifrelemek ve mesajın şifresini çözmek için iki farklı anahtarla genel anahtar şifrelemesini kullanarak bu konsepte dayanır. PKI, her ikisi de sertifika yetkilisi olarak bilinen bir üçüncü partiye güvenen iki parti arasında, bir partinin sertifikaları kullanarak diğer partinin kimliğini oluşturması için bir yol sağlar. Sertifika yetkilisi sertifikayı doğrular ve iletişim başlamadan önce her iki tarafın da kimliğini onaylar.
İki anahtar türü şunlardır:
Genel anahtar
Tarayıcı ve web sunucusu, genel ve özel anahtar çiftlerini kullanıp bilgileri kodlayarak ve çözerek iletişim kurar. Genel anahtar, web sunucusunun tarayıcıya SSL/TLS sertifikasında verdiği bir şifreleme anahtarıdır. Tarayıcı, bilgileri web sunucusuna göndermeden önce şifrelemek için anahtarı kullanır.
Özel anahtar
Yalnızca web sunucusunda özel anahtar vardır. Özel anahtarla şifrelenmiş bir dosyanın şifresi yalnızca genel anahtarla çözülebilir ve bunun tersi de geçerlidir. Genel anahtar yalnızca özel anahtar tarafından şifrelenen dosyanın şifresini çözebiliyorsa, bu dosyanın şifresini çözebilmek, hedeflenen alıcı ve göndericinin iddia ettikleri kişi olduğunu garanti eder.
Kimlik doğrulaması
Sunucu SSL/TLS sertifikasındaki genel anahtarı tarayıcıya gönderir. Tarayıcı, sertifikayı güvenilir bir üçüncü taraftan doğrular. Bu şekilde, web sunucusunun iddia ettiği kişi olduğunu doğrulayabilir.
Dijital imza
Dijital imza, her SSL/TLS sertifikasına özgü bir sayıdır. Alıcı, yeni bir dijital imza oluşturur ve harici tarafların ağ üzerinden seyahat ederken sertifikayı kurcalamamasını sağlamak için bu imzayı orijinal imza ile karşılaştırır..
SSL/TLS sertifikalarını kim doğrular?
Sertifika yetkilisi (CA); web sahiplerine, web barındırma şirketlerine veya işletmelere SSL/TLS sertifikaları satan bir kuruluştur. Sertifika yetkilisi, SSL/TLS sertifikasını vermeden önce etki alanı ve sahiplik ayrıntılarını doğrular. Bir kuruluşun sertifika yetkilisi olması için işletim sistemi, tarayıcılar veya mobil cihaz şirketi tarafından belirlenen belirli gereksinimleri karşılaması ve ana sertifika yetkilisi olarak listelenmek üzere başvuruda bulunması gerekir. Bu, internet kullanıcıları arasında güven oluşturmak için önemlidir. Örneğin, Amazon Trust Services bir sertifika yetkilisidir ve web sitelerine SSL/TLS sertifikaları verebilir.
SSL/TLS sertifikasının geçerlilik süresi nedir?
SSL/TLS sertifikasının maksimum geçerlilik süresi 13 aydır. SSL/TLS sertifikasının geçerliliği yıllar içinde kademeli olarak azaltılmıştır. Buradaki amaç, işletmeleri ve web kullanıcılarını etkileyen güvenlik risklerini azaltmaktır.. Örneğin, güvenilmeyen üçüncü taraflar yetkisiz bir web sitesi oluşturmak için süresi dolmuş bir etki alanındaki geçerli bir SSL/TLS sertifikasını kullanabilir.
Geçerlilik süresi kısaltıldığında, SSL/TLS sertifikalarının kötüye kullanılma ihtimali de azaltılmış olur. SSL/TLS sertifikasının süresi dolduğunda, web ziyaretçileri tarayıcıda web sitesinin güvenli olmadığına dair bir uyarı alır. Kuruluş eski SSL/TLS sertifikasını iptal eder ve yenilenmiş bir sertifikayla değiştirir. Güvenlik olaylarını önlemek için yenileme işleminin önceki sertifikanın süresi dolmadan önce gerçekleşmesi gerekir.
SSL/TLS sertifikasına neler dahildir?
SSL/TLS sertifikası aşağıdaki bilgileri içerir.
- Etki alanı adı
- Sertifika yetkilisi
- Sertifika yetkilisinin dijital imzası
- Düzenlenme tarihi
- Son kullanma tarihi
- Genel anahtar
- SSL/TLS sürümü
TLS, taşıma katmanı güvenliği anlamına gelir. SSL/TLS protokol sürüm 3.0'ın yerine geçmiştir ve devamı niteliğindedir. SSL/TLS ile TLS arasında yalnızca küçük teknik farklılıklar vardır. SSL/TLS gibi, TLS de bir tarayıcı ile web sunucusu arasında şifreli bir veri iletim kanalı sağlar. Modern SSL/TLS sertifikaları, SSL/TLS yerine TLS protokolünü kullanır ancak SSL/TLS, güvenlik uzmanları arasında popüler bir kısaltma olmaya devam etmektedir. Tam olarak aynı olmasa da SSL ve TLS terimleri genellikle aynı anlamda kullanılır. Ayrıca, SSL/TLS olarak kriptografik şifreleme protokolünü de ifade edebilirler.
SSL/TLS sertifikası nasıl çalışır?
Tarayıcılar SSL/TLS el sıkışması yoluyla web sunucusu ile güvenli bir bağlantı başlatmak için SSL/TLS sertifikasını kullanır. SSL/TLS el sıkışması, köprü metni aktarım protokolü güvenli (HTTPS) iletişim teknolojisinin bir parçasıdır. Bu, HTTP ve SSL/TLS'nin bir kombinasyonudur. HTTP, web tarayıcılarının bir web sunucusuna düz metin olarak bilgi göndermek için kullandıkları bir protokoldür. HTTP, şifrelenmemiş verileri iletir ve bu da bir tarayıcıdan gönderilen bilgilerin üçüncü taraflarca ele geçirilebileceği ve okunabileceği anlamına gelir. Tarayıcılar tamamen güvenli iletişim için SSL/TLS ile HTTP veya HTTPS kullanır.
SSL/TLS el sıkışma
SSL/TLS el sıkışma aşağıdaki adımları içerir:
- Tarayıcı bir SSL/TLS-Secure web sitesi açar ve web sunucusuna bağlanır.
- Tarayıcı, tanımlanabilir bilgiler isteyerek web sunucusunun gerçekliğini doğrulamaya çalışır.
- Web sunucusu, ortak anahtar içeren SSL/TLS sertifikasını yanıt olarak gönderir.
- Tarayıcı, SSL/TLS sertifikasını doğrulayarak geçerli olduğundan ve web sitesi etki alanıyla eşleştiğinden emin olur. Tarayıcı SSL/TLS sertifikası ile memnun olduğunda, şifrelemek ve gizli oturum anahtarı içeren bir ileti göndermek için ortak anahtarı kullanır.
- Web sunucusu, mesajın şifresini çözmek ve oturum anahtarını almak için özel anahtarını kullanır. Daha sonra şifrelemek ve tarayıcıya bir onay mesajı göndermek için oturum anahtarını kullanır.
- Şimdi, hem tarayıcı hem de web sunucusu güvenli bir şekilde mesaj alışverişi yapmak için aynı oturum anahtarını kullanmaya geçiyor.
Oturum anahtarı
Oturum anahtarı, ilk SSL/TLS kimlik doğrulaması tamamlandıktan sonra tarayıcı ve web sunucusu arasındaki şifreli iletişimi korur. Oturum anahtarı simetrik kriptografi için bir şifre anahtarıdır. Simetrik kriptografi hem şifreleme hem de şifre çözme için aynı anahtarı kullanır. Asimetrik kriptografi muazzam bilgi işlem gücünü kaplar. Bu nedenle, web sunucusu bir SSL/TLS bağlantısını sürdürmek için daha az hesaplama gerektiren simetrik kriptografiye geçer.
AWS Certificate Manager nedir?
AWS Certificate Manager (ACM), AWS hizmetleriyle ve dahili bağlantılı kaynaklarınızla kullanmak üzere genel ve özel SSL/TLS sertifikalarını kolayca tedarik etmenize, yönetmenize ve dağıtmanıza olanak sağlayan bir hizmettir. AWS Certificate Manager, kullanıcının kendisinin yaptığı zaman alıcı SSL/TLS sertifikası satın alma, karşıya yükleme ve yenileme işlemlerini ortadan kaldırır. Bunun yerine, hızlı şekilde bir sertifika isteyip Esnek Yük Dengeleme, Amazon CloudFront dağıtımları veya Amazon API Ağ Geçidi üzerindeki API'ler gibi, ACM ile entegre AWS kaynaklarında sertifikayı dağıtabilir ve AWS Certificate Manager'ın sertifika yenileme işlemlerini gerçekleştirmesini sağlayabilirsiniz. Aynı zamanda, dahili kaynaklarınız için özel sertifikalar oluşturmanıza ve sertifika yaşam döngüsünü merkezi olarak yönetmenize de olanak sağlar.
Kuruluşlar, SSL/TLS sertifikalarının uygulamasını, dağıtımını ve yenilenmesini basitleştirmek için ACM'yi kullanır. Bir sertifika yetkilisine bir sertifika imzalama isteği (CSR) oluşturmaya ve göndermeye yönelik geleneksel süreç yerine, birkaç tıklamayla ACM tarafından yönetilen bir SSL/TLS sertifikası oluşturabilirsiniz.
Hemen bir AWS hesabına kaydolarak AWS Certificate Manager'ı kullanmaya başlayın.
SSL/TLS sertifikalarının türleri nelerdir?
SSL/TLS sertifikaları, doğrulama ve etki alanına göre farklılık gösterir. Farklı doğrulama seviyelerine sahip sertifikalar şu şekilde sınıflandırılır:
- Genişletilmiş doğrulama sertifikaları
- Kuruluş doğrulama sertifikaları
- Etki alanı doğrulama sertifikaları
Farklı etki alanı türlerini destekleyen SSL/TLS sertifikaları şunlardır:
- Tek etki alanlı sertifikası
- Wildcard sertifikası
- Çok etki alanlı sertifika
Genişletilmiş doğrulama sertifikaları
Genişletilmiş doğrulama sertifikası (EV SSL/TLS), en yüksek düzeyde şifreleme, doğrulama ve güvene sahip dijital bir sertifikadır. Bir kuruluş veya web sahibi, EV SSL/TLS'ye başvurduğunda sertifika yetkilileri tarafından sıkı denetimlere tabi tutulur. Buna, fiziksel işletme adresinin, uygun sertifika uygulamasının ve etki alanını kullanmak için münhasır hakların doğrulanması dahildir.
İşletmeler, kullanıcıları yetkisiz üçüncü şahıslara karşı korumak için EV SSL/TLS'leri kullanır. Bu, şirketin web sitesinde finansal işlemler ve tıbbi kayıtlar gibi hassas verileri işlediği durumlarda oldukça önemlidir. EV SSL/TLS sertifikası, bir tarayıcıda görüntülenebilen işletme kuruluşunun ayrıntılarını içerir.
Kuruluş doğrulama sertifikaları
Kuruluş doğrulama sertifikaları (OV SSL/TLS), doğrulama ve güven açısından EV SSL/TLS'den sonra ikinci sıradadır. Şirketler, OV SSL/TLS'ye başvurduklarında EV SSL/TLS'lerde olduğu gibi bir doğrulama sürecinden geçmelidir. İnceleme süreci daha az katı olsa da başvuru sahipleri sertifika yetkililerine etki alanı sahipliğini kanıtlamalıdır.
OV SSL/TLS sertifikası, doğrulanmış işletme bilgilerini içerir ve tarayıcıda denetlenebilir. Müşteriye yönelik ve ticari işletmeler, müşteriler arasında güven oluşturmak için OV SSL/TLS sertifikasını kullanır. OV SSL/TLS, internette gezindikleri sırada müşterilerin gizliliğini korumak için sağlam şifreleme sağlar.
Etki alanı doğrulama sertifikaları
Etki alanı doğrulama sertifikaları (DV SSL/TLS), en düşük doğrulamaya sahip dijital sertifikalardır. Ayrıca başvuru maliyeti en düşük sertifika da budur. EV SLL'ler ve OV SSL/TLS'lerin aksine, DV sertifikası başvuranlar daha esnek bir inceleme sürecinden geçer. Başvuru sahibi, bir doğrulama e-postasına veya telefon görüşmesine yanıt vererek etki alanı sahipliğini kanıtlar.
DV sertifikası, başvuru sahibinin kuruluşu veya işletmesi hakkında eksiksiz bilgi içermez. Bu nedenle, kullanıcılara yüksek güvence sağlamaz. DV sertifikaları, bloglar gibi bilgilendirici web siteleri için uygundur. Ödeme ağ geçitleri, sağlık işletmeleri veya hassas verileri işleyen diğer web siteleri için uygun değildir.
Tek etki alanlı SSL/TLS sertifikaları
Tek etki alanlı SSL/TLS sertifikası, yalnızca bir etki alanını veya alt etki alanını koruyan bir SSL/TLS sertifikasıdır. Etki alanı, bir web sitesinin ana URL'si veya adresidir (ör. amazon.com). Alt etki alanı, ana etki alanından önce gelen metin uzantısına sahip bir web adresidir (ör. aws.amazon.com).
Örneğin, http://örnek.com adresinde tek etki alanlı SSL/TLS sertifikası kullanabilirsiniz. Bununla birlikte, sertifikayı http://örnek.com ve alt.örnek.com için aynı anda kullanamazsınız.
Wildcard SSL/TLS sertifikaları
Wildcard SSL/TLS sertifikası, bir etki alanını ve tüm alt etki alanlarını koruyan bir SSL/TLS sertifikasıdır. Örneğin, http://örnek.com, blog.örnek.com ve alışveriş.örnek.com adreslerini korumak için bir wildcard SSL/TLS sertifikası kullanabilirsiniz.
Çok etki alanlı SSL/TLS sertifikaları
Çok etki alanlı sertifikalar, birleşik iletişim sertifikaları olarak da bilinir. Çok etki alanlı SSL/TLS sertifikası, sahibi aynı olan aynı veya farklı sunucularda barındırılan birden çok etki alanı için SSL/TLS koruması sunar. Örneğin, http://ornek1.com , etkialani2.co.uk, alısveris.isletme3.comve sohbet.mesaj.au için çoklu etki alanı sertifikası satın alırsınız.
AWS ile SSL Sertifikası için sonraki adımlar
AWS Yönetim Konsolu'nda AWS hibrit bulut ile oluşturmaya başlayın.