|
SSL Nedir ?
SSL Nasıl Çalışır ?
Elektronik sertifika sağlayıcı firmaların verdiği
hizmet tam olarak nedir ?
Türkiyede Faaliyet gösteren SSL firmaları ne kadar güvenli ?
Herhangi bir sitede gördüğümüz SSL sağlayıcı firma logoları ne anlama
geliyor. Bu logoların doğruluğu nasıl kesinleştirilebilir?
SSL e sahip bir siteden kredi kartı bilgilerinin çalınabilme ihtimali
nedir ?
SSL Sertifikaları konusunda çok değişik fiyat alternatifileri
görüyoruz. 20 dolarlık bir ssl ile 300 dolarlık bir ssl sertifikası Arasındaki
fark nedir ?
SSL e sahip bir siteden kredi kartı bilgilerinin
çalındığınıvarsayalım. Bu durumda SSL sağlayıcının yükümlülükleri nelerdir ?
SSL Nedir ?
"Secure Sockets Layer" kısaltması olarak adlandırılan SSL
,Sunucu ile istemci arasındaki iletişimin şifrelenmiş şekilde yapılabilmesine
imkan veren standartlaşmış bir teknolojidir.
En yaygın kullanım şekli, web ortamında, Sunucu ile tarayıcı(Internet Explorer
gibi..) arasındaki iletişimin şifrenlenmesi şeklindedir.
SSL, standart bir algoritmadır.Milyonlarca web sitesinde güvenli veri iletişimi
için kullanılmaktadır.
SSL fonksiyonun çalışabilmesi için sunucu tarafında bir anahtar ve istemci
tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır.
SSL Nasıl Çalışır ?
SSL Public Key/Private Key adı verilen anahtarların kullanımına dayalı bir
şifreleme yöntemi...
SSL çalışma mantığını şöyle açıklayalım:
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu anahtarlar, dijital olarak
kodlanmış yazılımdan başka bir şey değil!... Ve bir anahtarın kilitlediği
veriyi, sadece diğeri açabiliyor.
Anahtarlarınızı yarattıktan sonra (ki bu işlem tamamen otomatiktir, yapmanız
gereken özel bir şey yoktur.), anahtarlardan biri (private key) sizde kalır.
Diğer anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere
gönderilir.
Size dışarıdan mesaj göndermek isteyen kişi, public key ile göndermek istediği
mesajı güvence altına alır ve size gönderir. Artık o bilgi, size ulaşırken
yolda alıkonsa bile, şifrenin çözülebilmesi için sizde kalan private key
gerekecektir. Kullanılan SSL yönteminin karmaşıklığına göre (40 bit, 128 bit)
şifre birinin eline geçse bile, bu bilginin çözülmesi çok ileri tekniklerle
dahi çok uzun zaman alacaktır.
Sonuç olarak SSL iki bilgisayar arasındaki bilginin diğer kişiler tarafından
görüntülenmeden, doğrudan iletişimde olan iki bilgisayar arasında ve güvenli
bir şekilde iletilmesini sağlar.
Elektronik sertifika sağlayıcı firmaların verdiği hizmet tam olarak nedir ?
Sertifika sağlayıcı firmaların ilk görevi,SSL fonksiyonunun çalışabilmesi için
gerekli servisi sağlamaktır.Bu servisi kabaca şu şekilde açıklayabiliriz.
- Kullanıcı güvenli web sitesine giriş yaptığında sunucu ile tarayıcı arasında
SSL oturumu başlatılır. Sunucu tarafından, tarayıcıya fonksiyonun
çalışabilmesi, yani oturum açıldıktan sonra artık göndericeği şifrelenmiş
verilerin açılabilmesi için ihtiyaç duyacağı anahtarları nereden ve ne şekilde
alacağını bildirir.
- Sertifika sağlayıcı firma, talebin geldiği adresi doğrular var tarayıcıya
gerekli anahtarları gönderir.
- Bu aşamadan sonra tarayıcı sunucudan gelen verileri elindeki anahtarlarla
çözer yada sunucuya göndereceği verileri sunucunun çözebileceği şekilde
şifreleyip gönderir.
- Eğer SSL anahtarlarınının talep edildiği adres ve diğer kriterler doğru değil
ise yada sertifikanın süresi dolmuş ise tarayıcı ihtiyacı olan anahtarları
alamaz, dolayısıyla güvenli oturum doğru şekilde başlamaz ve sertifika geçersiz
uyarısıyla karşılaşılır.
Sertifika sağlayıcı firmaların bir diğer görevide tescil dir.
Burada Tescil sertifikanın alındığı internet adresinin hangi gerçek yada tüzel
kişiye ait olduğununun bir otorite tarafından onaylanması ve duyurulmasıdır.
Elektronik Ticaret yapan web siteleri içeriklerinde yanıltıcı iletişim bilgileri
verebilirler.Fakat ilgili sitenin güzenli alanındaki sertifika detaylarında,
sertifika sahibi firmaya ait tescil edilmiş bilgilere ulaşılabilir.
Türkiyede Faaliyet gösteren SSL firmaları ne kadar güvenli ?
Şuan Türkiye'de faaliyet gösteren SSL firmaları yurtdışı firmaların temsilciliği
şeklinde. Dolayısıyla son kimlik doğrulama işlemi her şekilde yurtdışından yada
yurtdışı firmanın belirlediği formatlarda yapılmakta.
Fakat çok yakında dijital imza uygulasının aktif olarak kullanılmaya
başlanmasıyla birkaç yerli firmanın bu konuda yetkilendirileceğini biliyoruz.
Herhangi bir sitede gördüğümüz SSL sağlayıcı firma logoları ne anlama geliyor. Bu
logoların doğruluğu nasıl kesinleştirilebilir?
Tabiki bu logoların gerçekte sertifika olmadan kullanımı engellenemez.O yüzden
safya içinde yer verilmiş bu tip logolar güvenli alan için referans
alınmamalıdır.
Kullanıcı, sertifika detayları hakkında doğru bilgiye ssl oturumu başladığında
tarayıcının alt tarafında beliren kilit işaretine tıklayarak ulaşabilir.
SSL e sahip bir siteden kredi kartı bilgilerinin çalınabilme ihtimali nedir ?
SSL fonksiyonu müşterinin tarayıcısından, sunucuya kredi kartı bilgilerinin
şifrelenmiş şekilde ulaşmasını sağlar. Kötü niyetli kimseler bu aşamada özel
yazılım yada cihazlarla ağ trafiğini izleyebilirler, ağda gidip gelen
paketlerin içeriğini görüntüleyebilirler.
Fakat peket içerikleri şifreli olduğu için istedikleri bilgiye
ulaşamıyacaklardır. Şifreli metinleri çözmek içinse, çok çok güçlü
bilgisayarlarla bile yıllarca sürecek, ancak deneme yanılma yöntemiyle
bulabilecekleri bir anahtara ihtiyaçları olacaktır.Bu şartlarda, ssl ile kredi
kartının satıcı firmanın sunucusuna ulaşırılması son derece güvenlidir.
Fakat ssl tabiki sunucu üzerinde kayıtlı tutulan kredi kartı bilgilerini
korumaz. Kaydı Tutulan Kredi kartı bilgilerinin güvenliği tümüyle web sitesinin
yönetimine aittir.
Bu durumda doğru olan kredi kartı bilgilerinin veri tabanında tutulmaması yada
tutulacaksa şifrenelenmiş şekilde saklanmasıdır.
SSL Sertifikaları konusunda çok değişik fiyat alternatifileri görüyoruz. 20
dolarlık bir ssl ile 300 dolarlık bir ssl sertifikası Arasındaki fark nedir ?
SSL in amacı güvenlik ve aynı zamanda güven sağlamaktır.
Sertika alımıyla birlikte , sertifikayı alan site için bir sigorta poliçesi
düzenlenir.Bu poliçe sertifikayı alan firmanın alışveriş yapacak müşterilerine
kendisinden kaynaklancak zararların, başka bir firma tarafında tazmin
edilebilmesi içindir. Bunu kabaca şehirlerarası otobüs firmalarının yolcularını
sigortalatması gibi düşünebilirsiniz.
Arada oluşan fiyat farklılıklarıda düzenlenen poliçenin tazmin bedeline göre
yada sertifikayı sağlayan firmanın ticari itibarının daha büyük olmasına göre
değişmektedir.
Yoksa teknik anlamda sunulan hizmet tümünde aynı sayılır.
Elektronik ticaret genelde birebir iletişim olmadığı ve sahteciliğin kolayca
yapılabildiği bir ortam olduğu için firmalar çeşitli tiplerde güvence sunma
programları oluşturmuşlardır.Temelde SSL serifikası vardır.Bunun haricinde
e-trust,trust logo gibi 3.parti tescil artı güvence sunma programları
oluşturulmuştur.
SSL e sahip bir siteden kredi kartı bilgilerinin çalındığınıvarsayalım. Bu
durumda SSL sağlayıcının yükümlülükleri nelerdir ?
Kayıtlı Kredi kartı bilgilerinin sorumluluğu sertifikayı veren firmaya ait
değildir.Bu tamamen siteyi işleten firmaya aittir.
Müşteri Sertifikayı veren kuruluşa ancak ücretini ödediği halde hizmet alamadığı
ve firmaya ulaşamadığı gibi durumlarda başvurabilir.
Müşterinin burada sertifikayı veren firmaya yada otoriteye güvenerek ilgili web
sitesinden alışveriş yaptığı varsayılıyor.Dolayısıyla müşteri karşılaştığı
zararlarda güveni sağlayan firmadan tazminat talep edebilir.
|
