SSL Nedir?

SSL Nedir? sorusu; web sitelerinin güvenliğini önemseyenlerin sorması gereken önemli bir soru. Bugün, Google sıralamalarını etkilediğini de göz önünde bulundurarak SSL’in tarihsel gelişimine, önemine ve türlerine değinmeye çalışacağız.

SSL Nedir?

SSL (Secure Sockets Layer); Güvenli Soket Katmanı anlamına geliyor. İnternet kullanıcılarının web sitelerinde paylaştığı kredi kartı bilgileri gibi hassas verilerin korunması için tasarlanan SSL; şifrelemeye dayalı bir sertifika sistemi.

SSL, web sitelerinin içeriklerinin depolandığı sunucular ile internet kullanıcıları arasında, şifrelenmiş bir bağlantı oluşturmak için kullanılan bir güvenlik çözümü.

SSL’in amacı; sunucu ile tarayıcı (Chrome veya Safari gibi bir web tarayıcısı) arasında iletilen tüm verilerin gizli kalmasını sağlamak. Böylece hassas bilgilerin korumasız bir protokol üzerinden aktarılması engelleniyor ve SSL sertifikasına sahip olan siteler siber suçluların hedefi olmaktan çıkıyor.

Peki bir web sitesinin SSL sertifikasının olup olmadığını nereden anlaşılır?

Bir web sitesi SSL ile korunuyorsa, adres çubuğunda kilit simgesi görünür.

Kilit simgesine tıklandığında SSL sertifikasını veren otorite ve web sitesi sahibinin kurumsal adı gibi bilgiler öğrenilebilir. Bilindiği gibi Google Chrome gibi tarayıcılar son yıllarda SSL sertifikasına sahip olmayan siteleri “güvenli değil” şeklinde etiketliyor; bu da itibar kaybına ve hemen çıkma oranlarının artmasına neden oluyor.

Chrome’da bir sayfa açtığınızda adres çubuğunda aşağıdaki simgelerden birini görünür. Simgeleri tıkladığınızda “Bağlantı Güvenli”, “Sertifika Geçerli”, “Bu Siteye Bağlantınız Güvenli Değil” gibi uyarılar gösterilir.

  • Kilitle Güvenli (Sitede paylaştığınız bilgiler SSL ile şifrelenerek aktarılır)
  • Site bilgilerini görüntüle Bilgi / Güvenli değil (Sitede paylaştığınız bilgiler kötü niyetli kişilerin eline geçebilir)
  • Tehlikeli Güvenli değil / Tehlikeli (Mümkünse siteyi kullanmayın)

SSL’in Tarihçesi

Hem TLS hem de SSL, internette güvenli veri aktarımına yardımcı olan protokoller. Aslında TLS, SSL’in daha güncel ve daha güvenli sürümü ancak internet kullanıcıları TLS’yi “SSL” olarak adlandırmakta ısrar ediyor. SSL’den TLS’ye dönüşümün nasıl gerçekleştiğini merak ediyorsanız işte detaylar:

SSL’in ilk versiyonu savunma düzeyi yetersiz bulunduğundan piyasaya hiç sürülmemiştir.

SSL, internette iletişimi şifrelemek için 90’lı yıllarda Netscape tarafından geliştirilmiş bir güvenlik protokolü. 1996’da SSL v3.0 olarak bilinen 3. versiyonu piyasaya sürülmüş ve şaşırtıcı iyileştirmeler sağlamış. TLS’nin sahneye çıkması ise 1999. Şu an tüm Dünya’da kullanılmakta olan ve SSL olarak adlandırdığımız sertifikalar aslında TLS’nin son sürümleri; yani TLS v1.2 ve TLS v1.3.

SSL’in Özellikleri

  • SSL bağlantısı üzerinden aktarılan tüm bilgiler sağlam ve karmaşık algoritmalarla şifrelenir ve deşifre edilmeleri neredeyse imkansızdır. Kullanıcıların bir web sitesinde paylaştığı şifre ve banka bilgileri gibi hassas veriler SSL olmadığında düz metin olarak aktarılır ve kötü niyetli kişiler bu verileri görebilir.

  • SSL; aktarım sırasında veri kaybı veya değişikliği olmasını engeller.

  • İnternet üzerinde kurulan iletişimleri şifrelemek ve güvenliğini sağlamak için kullanılan SSL yalnızca bir istemci ile bir sunucu arasındaki iletişimin güvenliğini sağlamakla kalmaz. E-posta ve VoIP iletişimlerini de güvence altına alır.
  • SSL kötü niyetli kişilerin bir web sitesinin benzerini tasarlayarak kullanıcıları kandırmalarını önlemeye de yardımcı olur (Kilit ikonuna tıklandığında sitenin doğrulanan resmi sahibinin adı görülür).

  • Google’ın web sitelerini arama sonuçlarında sıralamak için kullandığı kriterlerden biri de güvenilirlik. Google; kullanıcıları güvenli olmayan web sitelerine göndermek istemez. SSL sertifikasına sahip olan sitelerin Google sıralamalarında daha avantajlı olacağı Google tarafından resmen duyurulmuştur. SSL, bir web sitesinin Google arama sonuçlarında daha üst sıralarda yer almasını sağlar.

  • SSL sertifikalarının yarattığı güven algısı işletmelerin ve web sitelerinin itibarında olumlu pay sahibidir. Özellikle e-ticaret sitelerinin varlığını sürdürebilmeleri, güvenlik konusunda titiz davranmalarıyla doğru orantılıdır. Müşterilerin hassas verileri e-ticaret sitelerinde paylaşabilmesi için bu güvenin temin edilmesi gereklidir.

SSL Türleri

SSL sertifikalarının; doğrulama düzeyi (DV SSL, OV SSL, EV SSL) ve güvence altına aldıkları alan adlarının sayısına (Multi Domain SSL, Wildcard SSL) göre farklı türleri bulunuyor.

Aslında tüm SSL sertifikaları aynı düzeyde şifreleme sunuyor ancak, her birinin doğrulama düzeyi web sitesinin türüne göre değişiyor. Karmaşık bir ödeme sistemine sahip bir e-ticaret sitesinin sahip olması gereken SSL türü, kişisel bir web sitesinden daha kapsamlı bir doğrulama süreci gerektiriyor.

DV SSL

DV SSL (Domain Validation – Alan Adı Doğrulamalı), bir alan adının kime ait olduğunun otomatik olarak doğrulanmasını içeriyor. Dakikalar içinde elde edilebilen bu SSL türü için herhangi bir evrak istenmiyor. En düşük düzeyde doğrulama seviyesine sahip olduğundan kişisel web siteleri ve bloglar için öneriliyor.

OV SSL

OV SSL (Organization Validation – Kurum Doğrulamalı), bir web sitesinin sahibi olan kuruluşun yasal varlığını doğrulayan SSL türü. Hassas kullanıcı bilgilerini toplayan küçük ve orta ölçekli şirketler ve platformlar için ideal. Tarayıcıdaki asma kilit simgesi tıklandığında, OV SSL’in yüklü olduğu sitenin orijinal site olduğunu anlamaya yarıyor.

EV SSL

EV SSL (Extended Validation – Genişletilmiş Doğrulama), en kapsamlı doğrulama prosedürlerine sahip SSL türü. Finans kurumlar ve e-ticaret mağazaları için uygun. En pahalı SSL sertifikası olan EV SSL’i almak isteyen işletmeler; ticari varlığının resmiyeti açısından detaylı bir doğrulama işleminden geçiyor. İşletme sahibi alan adı üzerinde tam yetkiye sahip olduğunu ve kurumun resmi sahibi olduğunu gösteren çok sayıda belgeyi ibraz etmek zorunda, bu nedenle doğrulama süreci uzun.

Multi Domain SSL

Multi Domain (Çoklu Alan Adı) SSL, birden fazla web sitesi ve alt alan adını tek bir SSL sertifikası ile güvence altına almaya yarıyor. Sertifika alınan otoriteye bağlı olarak bir tek SSL sertifikası; 250’ye kadar web sitesini koruyabiliyor.

Wildcard SSL

Wildcard SSL, tek bir alan adını ve forum.alanadınız.com, blog.alanadınız.com gibi sınırsız sayıda alt alan adını koruyor. Bu, elbette ki her bir alt alan adı için tekli sertifikalar kullanmaktan daha büyük kolaylık sunuyor.

SSL Nasıl Çalışır?

SSL sertifikası, aslında bir web sitesinin barındığı sunucuya yüklenen bir veri dosyası. SSL sertifikasına sahip bir web sitesinde kredi kartı bilgileri gibi bir veri girdiğinizde, bu bilgi parçası okunamayan bir karakter dizisine dönüştürülüyor. Örneğin, 1234 şeklindeki bir şifre, ^% jfdgrt5 / * u gibi bir karakter dizisine çevriliyor. Böylece, veriler bir şekilde ele geçirilse bile, herhangi bir hacker’ın bu bilgiyi yorumlaması imkansız hale geliyor.

Teknik olarak SSL’in çalışma mantığı şu aşamalara dayanıyor:

  1. Bir web sitesine girdiğinizde, tarayıcı ile web sitesinin depolandığı web sunucusu arasında bir iletişim gerçekleşir: Tarayıcı, SSL (https) ile güvenli bir şekilde sunucuya bağlanır.
  2. Sunucu, genel anahtar dahil olmak üzere SSL sertifikasının bir kopyasını gönderir (Günümüzde kullanılan hemen hemen tüm şifreleme yöntemleri, genel ve özel anahtarlar kullanır. Bunların, eskiden kullanılan simetrik anahtarlardan çok daha güvenli kabul edilir.)
  3. Tarayıcı sertifikayı kontrol eder ve geçerliyse sunucunun genel anahtarını kullanarak simetrik bir oturum anahtarı oluşturur, şifreler ve geri gönderir.
  4. Sunucu, özel anahtarını kullanarak simetrik oturum anahtarının şifresini çözer ve şifreli oturumu başlatmak için şifrelenmiş bir oturum anahtarını geri gönderir.

SSL Sertifikası ve SEO İlişkisi

Arama Motoru Optimizasyonu yani SEO, web sitenizin arama motoru sonuç sayfalarından daha fazla organik trafik alacak şekilde optimize edilmesi olarak biliniyor.

Google’ın Ağustos 2014’te SSL’i bir sıralama faktörü olarak duyurması, SEO çalışmalarını önemseyenleri heyecanlandırmıştı. Google, 2017’de; daha da ileri giderek SSL sertifikası olmayan ve kişisel bilgiler isteyen sitelerde güvenlik uyarısı görüntülemeye başladı. Böylece web sitelerinin; arama sonuçlarında daha üst sıralarda görünmek için SSL sahibi olması, neredeyse bir ön koşula dönüşmüş oldu.

Bu nedenle Google tarafından bir web sitesinin güvenilirliğini puanlarken ağırlık verilen kriterlerden biri olan SSL’in; sitenizin arama motoru sıralamalarını yükseltmenin en kolay yöntemlerinden biri olduğunu söyleyebiliyoruz.

Özet

SSL ile web sitelerinin güvence altına alınması lüks değil, gerekliliktir. Ancak SSL, sanıldığının aksine sitenizi veya doğrudan yazılımsal altyapınızın güvenliğine odaklanmaz: SSL sertifikasının odaklandığı nokta veri aktarımının güvenliğidir.

Özetle SSL Nedir? sorusunu ziyaretçilerinizin güvenini kazanmanızı, internet üzerinde kurduğunuz iletişimin güvence altına alınmasını sağlayan ve arama motoru sıralamalarınızı yükseltmeye yarayan güvenlik çözümü şeklinde yanıtlayabiliriz.

Bu makaleyi yararlı buldunuz mu?