HTTPS ve SSL Sertifikası Nedir?

SSL’in açılımı Secure Sockets Layer yani Güvenli Giriş Katmanıdır. Kullanıcı ve internet sitesi arasında güvenli iletişimi sağlayan katmandır. SSL Sertifası internet sayfası üzerinde güvenli gezinmeyi sağlayan bir anahtardır.

SSL Sertifikası kullanan bir internet sitesinin verisi internet üzerinde şifrelenmiş bir şekilde durmaktadır. Bu verinin ziyaretçi tarafından görüntülenebilmesi için şifreyi çözen bir mekanizmaya sahip olması gerekir. SSL Sertifikası işte bu mekanizmadır, şifrelenmiş olan veriyi çözüp ziyaretçinin karşısına çıkartır yani internet sitesi ve ziyaretçi arasındaki veri akışı şifrelenmiş olur. İnternet sitesi sadece kendini değil kişisel hassas verileri talep eden bir internet sitesi (banka, e-ticaret vs.) ise SSL kullanımında ziyaretçiyi de korumuş olur.

SSL sertifikası kullanmayan bir internet sitesinden alışveriş yapmaya kalkışan ziyaretçi war driving ve web attack gibi saldırı yöntemleriyle hassas verilerini (ad, soyad, tc kimlik no, kredi kartı vs.) kötü niyetli kişilerin eline teslim edebilir.

Protokol Nedir?

Protokol bir amaç için tanımlanmış bir kural grubudur. Bu makalede bahsedilen protokol ise iletişim protokolüdür.

Sunucudan gönderilen veri hedef bilgisayara ulaştığında, hedefteki bilgisayarın bu veriyi anlaması gerekir. Bunu şuna benzetebiliriz, sadece Türkçe bilen biri Türkçe bir makaleyi okuduğunda yazının ne anlattığını anlar. Makale farklı bir dil ile yazıldığında ise anlamaz yani bu kişi için yazının Türkçe protokolünde olması gerekir.

HTTP nedir?

HTTP’nin açılımı Hypertext Transfer Protokoldür, bunun anlamı iletişimin hypertext transferi ile olduğudur. HTTP yazı, video, ses, resim gibi çeşitli veri türlerinin tamamının internet üzerinde veri haberleşmesini sağlayan bir iletişim protokolüdür.

HTTP’nin geliştirilmesi 1989 yılında İngiliz mühendis Tim Berners-Lee  tarafından CERN’de başlatılmış IETF (Internet Engineering Task Force) ve W3C (World Wide Web Consortium) tarafından desteklenmiştir, 1991 yılında ise Dünya’ya duyurulmuştur. O günlerden günümüze geliştirmesi devam etmekte olup Google Chrome ve Firefox gibi tarayıcıları internet dünyasına dahil etmiştir.

HTTP istek tabanlıdır, haberleşen sunucu ve ziyaretçi istek-cevap yolu ile birbirleriyle iletişimi sağlarlar. Ziyaretçi sunucudan bir istekte bulunur sunucu buna cevap verir.

HTTP ve HTTPS Arasındaki Farklılıklar

HTTP’nin açılımının Hypertext Transfer Protokol olduğunu söylemiştik HTTPS ise Hypertext Transfer Protokol Secure yani sondaki “S” harfi (secure) güvenlik anlamına gelmektedir. Bu tek ekstra harfe sahip olan internet sitelerinin daha güvenli olduğu anlamına gelir. Güvenlik için geçerli bir SSL sertifikasına sahip olmak gerekmektedir.

• SSL sertifikası ile ziyaretçi ve sunucu arasındaki bağ şifrelenir, HTTP ile HTTPS arasındaki en büyük fark da budur.
• Şifrelenen veri şifresiz veriye göre daha büyük olacağından, internet sitesinin tarayıcı tarafından görüntülenme süresi uzayacaktır.
• HTTPS ulaştırılan verinin doğru olup olmadığını TLS (Transfer Layer Security) ile teyit eder, sunucu-ziyaretçi, ziyaretçi-sunucu arasında gönderilen verinin değiştirilip değiştirilmediği kontrol edilir.
• Google yaptığı duyuru ile HTTPS’li internet sitelerinin aramalarda ufakta olsa ön sıralarda çıkmasında etkili olacağını dile getirdi.

TLS (Transfer Layer Security) Nedir?

TLS (Transfer Layer Security), internet üzerinde gizlilik ve güvenliği sağlayan bir iletişim protokolüdür.

TLS (Transfer Layer Security) önceden SSL (Secure Socket Layer)’ın altında gelişimine devam eden bir yapıdaydı. 2018 yılında TLS 1.3 ile yaygınlaşmaya başladı. Şifreleme, kimlik doğrulama ve veri bütünlüğü olarak üç temel yapısı vardır.

• Şifreleme, veri transfer sırasında şifrelenir.
• Kimlik doğrulama, verinin doğru noktaya ulaşıp ulaşmadığını kontrol eder.
• Veri bütünlüğü, veri doğru noktaya ulaştıktan sonr verinin eksik, fazla ve değişiklik olup olmadığını kontrol eder.

HTTPS Önemi

Sunucu ve ziyaretçi arasındaki ilişkinin HTTP ile şifresiz anlaşılır text alışverişi olduğundan bahsettik. Bu iletişim halka açık bir kablosuz ağ üzerinden yapıldığında araya giren kötü niyetli kişi aradan bu şifresiz olan text bilgilerini çalabilir. HTTPS yani SSL kullanan bir site de ise sunucu ve ziyaretçi arasındaki ilişki şifrelenmiş text ile olur işte bu HTTPS kullanımının en önemli sebebidir. Bundan dolayı da Google arama motoru HTTPS kullanan sitelerin rank sisteminde öncelikli olduğunun duyurusunu yapmıştır.

Encryption Seviyeleri

Encryption bilginin gizlenmesi şifrelenmesi anlamına gelir. 64 bit HTTPS şifrelemesi, 128 bir HTTPS şifreleme, 256 bit HTTPS şifreleme gibi metotlar piyasada yer almaktadır. 256 bit versiyonu yüksek bir şifreleme tekniğidir, şifrelenmiş verinin çözümlenmesi zordur. Şifrelenmiş olan veriyi ele geçiren kötü niyetli kişinin işi oldukça güçtür.

256 bit SSL sertifikasına sahip bir internet sitesinin bu şifreleme metodunu kullanabilmesi için hem sunucunun hem de ziyaretçi bilgisayarının 256 bit SSL sertifikasını desteklemesi gerekmektedir.

HTTP ve HTTPS Karşılaştırması Hangisi Kullanılmalı?

İnternet sitesi için güvenlik önlemlerinin alınması önemlidir. Kullanıcıların bağlandığı bir forum sitesi ya da internet üzerinden alışveriş yapılan bir e-ticaret sitesi için güvenlik daha da önemlidir, bu tip internet sitelerinde güvenlik aynı zamanda bir prestijdir. SSL sertifikası kullanımı bir tercihtir, bu sunucu için ayrıca bir yük demektir, daha çok veri akışı anlamına gelir.

Bir blog sitesinde ya da bir haber sitesinde SSL sertifikası kullanımı tercih edilse bile şart değildir çünkü ziyaretçiler hem kişisel verilerini hem de kredi kartı gibi hassa verilerini vermezler. Site sahibi prestij açısından SSL sertifikasını tercih edebilir, bu arama motorlarında üst sıralara daha kolay çıkması için bir yol olabilir.

---

SSL Sertifika Çeşitleri Nelerdir?

Domain SSL

Sunucu ve tarayıcı arasındaki iletişimi şifrelemek için kullanılan sertifika türüdür. Alan adı sahibinin kime ait olduğu ya da şifrelemenin kim tarafından yapıldığı gibi bilgileri içermeden şifreleme yapılır. Tarayıcıda alan adının yanında yeşil kilit sembolü vardır.

Organization SSL

SSL sertifika sağlayıcısı alan adı sahibinin şirket bilgilerini onaylaması ile oluşturulur. Şirket bilgileri ile alan adı bilgilerinin eşleşip eşleşmediği kontrolü yapılır. SSL sertifikasının teslim edilmesi birkaç günü bulabilir. Tarayıcıda alan adının yanında firma ismi yazar.

Extented Validation SSL

SSL sertifika sağlayıcısı alan adı sahibinin şirket bilgilerini, operasyonlarını ve şirketi ayrıntılı bir şekilde inceledikten sonra teslim eder. Şifrelemenin kim tarafından ne zaman yapıldığı gibi bilgiler verinin içinde yer alır. Tarayıcıda alan adının yanında hem firma adı hem kilit hem de logo vardır.

Sonuç

İnternet sitenizin güvenli halde olması için çeşitli sebepleriniz olabilir ancak HTTPS ve SSL sertifikası ile ziyaretçileriniz kendilerini daha güvenli bir ortamda hissederler, bu bile HTTPS kullanımı için yeterli bir sebep olabilir. Yıllardır süre gelen güvenlik çalışmaları ile verilerin şifrelenmesi bu kadar kolaylaşmışken bu fırsatı değerlendirmek gerekir.

---

Kaynak:

• https://www.atakdomain.com/blog/ssl-sertifikasi-nedir-ssl-sertifikasi-turleri-nelerdir#:~:text=SSL%20Sertifikas%C4%B1%20%C3%87e%C5%9Fitleri,Extended%20Validation)%20SSL’dir.
• https://www.namecheap.com/support/knowledgebase/article.aspx/9727/38/what-is-ssl-certificate-encryption-strength#:~:text=All%20our%20SSL%20certificates%20now,session%20steps%20down%20to%20128.
• https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/
• https://seopressor.com/blog/http-vs-https/
• https://www.izooto.com/blog/understanding-http-https-protocols
• https://en.wikipedia.org/wiki/HTTPS
• https://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol