SSL, bir web tarayıcısı ile bir web sunucuyu arasında şifreli iletişimi sağlayan bir güvenlik teknolojisidir. SSL’in açılımı Secure Sockets Layer yani Türkçe karşılığı ile Güvenli Yuva Katmanıdır. Daha basit bir tanımla SSL sertifikalı bir web site kullanıcılar için güvenlik sağlar.
Bir web tarayıcısından, web sunucusuna veya diğer başka yerlere iletilen verilen açık bir metin olarak iletilir. Eğer SSL sertifikası kullanılmazsa ciddi bir güvenlik sorunu oluşabilir. Kötü niyetli saldırganlar bir kredi kartının numarası ve CVC numarasını, kullanıcının kişisel bilgileri, şifrelerini ve siteye girilen diğer tüm her şeye erişim sağlayabilir demektir. Bu nedenle, iletilen verileri şifrelemek için SSL veya TLS kriptografik protokolü kullanır. Güvenli bir bağlantının varlığı “s” son ekiyle belirtilir. Bu bağlantı protokolüne “HTTPS” (yani “Güvenli Hiper Metin Aktarım Protokolü”) adı verilir. SSL sertifikası bulunmayan bir web sitesinin protokolü “HTTP” olarak görünecektir.
Neden SSL Kullanmalıyım?
SSL nedir sorusuna verdiğimiz yanıt aslında bu soruyu cevaplıyor. Web sitenizi olası güvenlik tehditlerinden korumak için SSL gereklidir. Daha detaylı olarak incelersek şunları söyleyebiliriz:
- Veri hırsızlığından korunma.
- Yanıltıcı veri gönderiminden kaçınma.
- Web sitesi itibarını arttırma.
- Sertifika sitenin yasal faaliyetlerde bulunduğunu doğrulama.
- Arama motorlarında web sitesi sıralamasını geliştirme.
SSL sertifikası sitenin güvenilirliğini artırır. Kişisel verileri saklıyorsanız, mal satıyorsanız veya ücretli bir hizmet sağlıyorsanız, bir sertifikaya ihtiyacınız vardır. Google ve Yandex, gizli kullanıcı bilgilerini toplamasanız bile siteye bir SSL sertifikası yüklemenizi önerir. Google’un bir açıklaması şöyledir:
“Sitenizi her zaman HTTPS ile korumalısınız, gizli bilgileri bile işlemeyin. Bu yalnızca sitelerdeki verilerin ve kullanıcıların kişisel bilgilerinin güvenliğini sağlamakla kalmaz, aynı zamanda birçok yeni tarayıcı işlevinin, özellikle ilerici web uygulamalarında çalışması için de gereklidir. “
SSL Nasıl Çalışır?
Bir e-ticaret sitesine sahip olduğunuzu varsayalım. Bir kullanıcı sitenizden bir sipariş vermeye karar verdi. Ürünü seçti ve ödeme yapmak için kredi kartı bilgilerini girdi. Kullanıcı ödemeyi yapmak için butona bastığında, girilen bilgiler kullanıcının web tarayıcısından sitenin web sunucusuna aktarılır. Tam bu esnada kötü niyetli bir saldırgan kullanıcının bilgilerine erişebilir.
Ancak, web sitesinde SSL ile güvenli bir bağlantı sağlanıyorsa işler daha karmaşık hale gelir. Kullanıcının web tarayıcısı ile web sunucusu arasında güvenli bir bağlantı kurulur. Böylece, tarayıcı kullanıcının bilgilerini sunucuya iletmeden önce rastgele bir karakter kümesine dönüştürür. Daha sonra bilgiler sunucuya iletilir. Web sunucusuna iletilen kullanıcı bilgileri yalnızca sunucuda bulunan özel SSL anahtarı ile çözülebilir. Saldırganlar kullanıcıların bilgisine ulaşabilse bile ellerine sadece anlamsız karakterler geçecektir.
Peki saldırganlar size özel olan ve kullanıcıların bilgilerinin güvenliğini sağlayan bu SSL anahtarını kıramaz mı?
SSL Anahtarı Kırılabilir mi?
SSL şifrelemesi çok karmaşıktır. Şifreyi bulabilmek için saldırganın brute force olarak adlandırdığımız kaba kuvvet saldırısını yapması gerekir. Bu saldırı, deneme yanılma yoluyla genellikle otomatik programlarla yapılır. Ancak SSL anahtarı o kadar uzundur ki, olası seçeneklerin yarısından azını denemek bile yıllar sürecektir. Doğru hatırlıyorsam (şuanda kaynağı hatırlayamıyorum) bir SSL şifresinin kırılmasının yaklaşık 65 yıl süreceği söyleniyordu.