SSL (Güvenli Soket Katmanı), internet üzerinde veri iletişimini şifreleyerek güvenli hale getiren bir protokoldür. İnternet kullanıcıları ile sunucular arasında iletilen hassas bilgilerin (kredi kartı bilgileri, şifreler, kişisel veriler) üçüncü şahıslar tarafından ele geçirilmesini önlemek amacıyla geliştirilmiştir. Günümüzde SSL’in yerini TLS (Transport Layer Security) almış olsa da, halk arasında bu teknoloji hala “SSL” olarak anılmaktadır.
SSL Nasıl Çalışır?
SSL, iki temel prensibe dayanır: şifreleme ve kimlik doğrulama. İşleyişini adımlarla açıklamak gerekirse:
1- SSL Sertifikası ve El Sıkışma (Handshake):
- Bir kullanıcı SSL korumalı bir siteye (örneğin,
https://www.ornek.com) bağlandığında, tarayıcı sunucudan SSL sertifikası talep eder. - Sunucu, sertifikasını ve bir public key (açık anahtar) gönderir.
- Tarayıcı, sertifikanın geçerliliğini kontrol eder (örneğin, sertifika yetkilisi tarafından imzalanmış mı, süresi dolmuş mu).
- Doğrulama başarılı olursa, tarayıcı sunucuyla şifreli bir bağlantı kurmak için bir oturum anahtarı oluşturur. Bu sürece SSL Handshake denir.
2- Asimetrik ve Simetrik Şifreleme:
- Asimetrik Şifreleme: İlk bağlantıda public ve private key kullanılır. Public key ile şifrelenen veriler, yalnızca private key ile açılabilir.
- Simetrik Şifreleme: Handshake sonrası, daha hızlı olan simetrik şifreleme (AES, DES) devreye girer. Her iki taraf da aynı oturum anahtarını kullanır.
3- Veri Aktarımı:
- Tüm veriler şifrelenerek iletilir. Kötü niyetli kişiler verilere erişse bile şifreyi çözemez.
SSL Sertifikası Türleri
SSL sertifikaları, doğrulama seviyelerine ve kullanım amaçlarına göre çeşitlenir:
- Domain Validated (DV): En basit sertifika türüdür. Yalnızca alan adı sahipliği doğrulanır. Hızlıca temin edilir, bloglar veya kişisel siteler için idealdir.
- Organization Validated (OV): Şirket bilgileri (adres, telefon) sertifika yetkilisi tarafından kontrol edilir. Kurumsal web sitelerinde kullanılır.
- Extended Validation (EV): En kapsamlı doğrulama sürecine sahiptir. Tarayıcıda yeşil adres çubuğu gösterir. Bankalar ve e-ticaret siteleri gibi yüksek güvenlik gerektiren platformlarda tercih edilir.
- Wildcard SSL: Bir ana alan adı ve tüm alt alan adlarını (subdomain) kapsar. Örneğin, (
subdomain.domain.com) - Multi-Domain SSL: Birden fazla alan adını tek sertifikada birleştirir.
SSL’in Tarihçesi
- 1994: Netscape tarafından SSL 1.0 geliştirildi, ancak güvenlik açıkları nedeniyle yayınlanmadı.
- 1995: SSL 2.0 piyasaya sürüldü, ancak ciddi zafiyetler içeriyordu.
- 1996: SSL 3.0 daha güvenli hale getirildi.
- 1999: TLS 1.0, SSL 3.0’ın geliştirilmiş versiyonu olarak standartlaştırıldı.
- 2014: SSL 3.0, POODLE zafiyeti nedeniyle resmen kullanımdan kaldırıldı.
- 2021: TLS 1.0 ve 1.1’in kullanımı büyük ölçüde sonlandırıldı. Günümüzde TLS 1.2 ve 1.3 en güvenli protokoller olarak kabul ediliyor.
SSL Neden Önemli?
- Veri Güvenliği: Şifreleme, veri hırsızlığını engeller.
- Güven ve İtibar: Tarayıcılarda görünen kilit simgesi, kullanıcılara güven verir.
- SEO Avantajı: Google, SSL sertifikalı sitelere arama sonuçlarında öncelik verir.
- Yasal Uyumluluk: GDPR, KVKK gibi veri koruma yasaları, SSL kullanımını zorunlu kılar.
SSL ile İlgili Yanlış Bilinenler
- “SSL ve TLS Aynı Şeydir”: TLS, SSL’in modern ve güvenli halidir. Günümüzde TLS kullanılır, ancak halk arasında SSL terimi yaygındır.
- “SSL Yalnızca E-Ticaret Siteleri İçin Gereklidir”: Tüm web siteleri (blog, forum, kurumsal site) SSL kullanmalıdır.
- “Ücretsiz SSL Sertifikaları Güvenilmez”: Let’s Encrypt gibi ücretsiz sertifikalar da güvenlidir, ancak doğrulama seviyeleri sınırlıdır.
SSL Nasıl Edinilir ve Kurulur?
- Sertifika Seçimi: İhtiyaca göre DV, OV veya EV sertifikalardan biri seçilir. Let’s Encrypt (ücretsiz), Comodo, Symantec, DigiCert gibi sağlayıcılar tercih edilebilir.
- Kurulum: Sertifika, web sunucusuna (Apache, Nginx) yüklenir.
.crtve.keydosyaları doğru yapılandırılmalıdır.- Test Etme: SSL Labs (https://www.ssllabs.com/ssltest/) gibi araçlarla sertifika hatası olup olmadığı kontrol edilir.
Değerlendirme
SSL/TLS, dijital dünyanın temel güvenlik taşıdır. Kullanıcıların veri gizliliğini korur, şirketlerin itibarını artırır ve yasal yükümlülükleri karşılar. HTTPS protokolünün standart hale geldiği günümüzde, her web sitesi sahibinin SSL sertifikası edinmesi bir zorunluluktur.
