Bilgi aktarımında güvenlik, tüm internet kullanıcıları için olduğu kadar kişisel web siteleri ve iş siteleri için de önemlidir. Kullanıcılar, geldikleri sitenin iddia ettiği gibi olduğundan emin olmak ister. Bu konuda emin olmak için Sertifika nedir sorusuna cevap verebilmeli ve ilgili kavramlara aşina olmalıyız, Faradars web sitesi ile ortaklaşa hazırlanan bu yazımızda sizlere bu kavramları eksiksiz bir şekilde anlatacağız.
Sertifika nedir ve iş dünyasında neden önemlidir?
Sertifika, Web Sitesi Güvenlik Sertifikası veya web sitesi güvenlik sertifikası anlamına gelir. Bu sertifika iki şeyi gösterir. Biri sitenin kimliğinin geçerliliğini ölçmek, diğeri ise güvenlikleri için bilgileri şifrelemek. Bu nedenle, kendinizi İnternet ve ağ güvenliği konusunda eğitmek ve bu kimlik doğrulama ve şifreleme araçlarının ne işe yaradığını anlamak, web sitenizi ve müşteri bilgilerinizi korumanın ilk adımıdır.
Bir taksi şoförü için sürücü belgesi ne ise, web sitesi lisansı da çevrimiçi işletme sahipleri için odur; Her iki durumda da, işinizi yürütebilmeniz için kimliğinizi doğrulamak için sertifikayı kullanırsınız ve aynı zamanda buna sahip olmak iş güvenliği sorunlarıyla ilişkilendirilir.
Sertifika veren otorite nedir?
Bir web sitesi güvenlik sertifikası, aslında Sertifika Yetkilisi (CA) olarak bilinen güvenilir bir üçüncü taraf işletmeden alınan dijital bir onay mührüdür. Başka bir deyişle, sertifika, bir CA tarafından yayınlanan ve web sitesinin şifreli bir bağlantı kullanılarak korunduğunu gösteren bilgileri içeren dijital bir dosyadır. Bu sertifikayı şu isimlerle de tanıyoruz:
SSL sertifikası (veya daha doğrusu TLS sertifikası)
HTTPS sertifikası
SSL sunucu sertifikası
Sertifikanın amaçları nelerdir?
Sertifika nedir sorusuna cevap verebilmek için amaçlarını iyi bilmeliyiz. Site güvenlik sertifikası, web sitenizin adres çubuğunda o güzel asma kilidi görüntülemenizi sağlayan bir sertifika türüdür. Bu nedenle, adını ne koyarsanız koyun, SSL sertifikalarının amaçları çok önemlidir. Bu sertifika aşağıdaki amaçlara sahiptir:
Web sitelerinin güvenliğini sağlama
kimlik onayı
Müşteri memnuniyeti
Marka için güvenilirlik oluşturun
Müşteriler için güvenli alışveriş yapma
Marka sadakati oluşturun ve satın alımları tekrarlayın
İş büyümesi ve gelişimi
Sertifika ile site kimlik doğrulaması nedir?
Bir kullanıcı olarak Amazon gibi bir siteden satın almak istediğinizde, bu web sitesinin sahte bir versiyonuyla uğraşmamanız sizin için önemlidir; Çünkü bu durumda satın alma işleminin tüm adımlarını tamamlayacak ve söz konusu ürün için ödeme yapacaksınız; Ancak bu para site sahiplerinin hesabına yatırılmayacak ve tarafınıza herhangi bir mal gönderilmeyecektir.
Siber suçun inanılmaz seviyelerde meydana geldiğini ve yalnızca 2018’de dünyanın dört bir yanındaki çevrimiçi işletmelere ve tüketicilere en az 1,5 trilyon dolara mal olduğunu asla unutmayın. Öte yandan, kimlik hırsızlığı da üst düzeyde yaşanıyor ve siber alandaki fırsatçılar, meşru bir görünümle dolandırıcılık yapmak için sahte web siteleri oluşturuyor. Ancak sertifika kimlik doğrulaması nedir ve nasıl yapılır?
Sitenin güvenlik sertifikası, söz konusu sitenin iddia ettiği site olduğunu gösteriyor. Site için bu kimlik doğrulama, hesap oluşturma sırasında siber uzay kullanıcıları için iki adımlı kimlik doğrulamaya benzer. Web sitelerinin sertifika alabilmeleri için kimliklerini de kanıtlamaları gerekir. Ardından kilit simgesi ve Https kısaltması ile web sitesinin güvenli olduğundan emin olabilirsiniz.
Sertifika alanında SSL ve HTTPS arasındaki bağlantı nedir?
Üniversite ders ve kurslarını tamamlayarak başarılı bir şekilde yüksek lisans derecesi elde ettiğinizi varsayalım; Bu durumda, master HTTPS ile ve derece SSL ile karşılaştırılabilir. Bu nedenle SSL, sitenizin HTTPS protokolünü kullandığını ve web sitesi güvenlik sertifika yetkilisi tarafından onaylanmış güvenli bir site olduğunu gösteren bir sertifikadır.
HTTP protokolüne aşinalık
Kısaltılmış http protokolünün adı Hiper Metin Aktarım Protokolüdür. Bu protokol, istemci ile sunucu arasında veri aktarımından sorumludur. İstemci, bir sunucuya istekte bulunan bir bilgisayardır.
http protokolünün kullanımı açısından bir adres girdiğinizde sunucuya talebiniz iletilir ve sunucu size istediğiniz sitenin bilgisini gönderir. Bu protokolün koşulları altında gönderilen ve alınan tüm veriler güvensizdir. İşte tam da bu durumda https protokolü oluşturulmuş ve tanımlanmıştır. Google arama motoru 2017 yılından itibaren https protokolünü tanımladıktan sonra bu protokolü kullanmayan sitelerin adreslerinin yanına Güvenli Değil etiketi koyma kararı aldı.
HTTPS protokolü nasıl çalışır?
Sertifika nedir sorusuna https protokolünü bilmeden cevap vermek mümkün değildir. https protokolünün adı, “güvenli köprü metni aktarım protokolü” anlamına gelen Güvenli Köprü Metni Aktarım Protokolü teriminin kısaltmalarını içerir. Bu protokol, siber uzay kullanıcıları ve sunucuları arasında ve sunucular ve web siteleri arasında güvenli bilgi aktarımı imkanı sağlar. özellik, bilgi şifreleme yoluyla sağlanır. Bu protokol aynı zamanda sitenin kimliğini doğrulamak için de kullanılır.
SSL sertifikası nedir?
sertifikasının adı Secure Sockets Layer’ın kısaltmasıdır. SSL aslında belirli standartları olan bir güvenlik teknolojisidir. Bu sertifika, sunucu ve tarayıcı arasında şifreli bir bağlantı kurar. Bu sertifikaya göre sunucu ile kullanıcının kullandığı tarayıcı arasındaki bilgiler gizli kalmaktadır. Yani bir web sitesinin SSL sertifikası yoksa bilgileriniz bilgisayar korsanlarının eline geçmiş olacaktır.
Bilgisayar korsanlarının ilgilendiği bilgiler yurt içi veya yurt dışı her türlü finansal işlem ve şifreler, hesap bilgileri olabilir. Bu bilgilere yönelik bilgisayar korsanlığı saldırıları ve siber suç eylemleri gerçekleştirme çeşitli şekillerde yapılır.
Örneğin, bu saldırıların yaygın türlerinden biri, sitenin bulunduğu sunucuya küçük bir casus yazılım programı yüklemektir. Siteyi ziyaret edenler sitenin formlarından birine bilgilerini doldururken casus yazılım devreye giriyor ve bu bilgileri kaydedip hacker’a gönderiyor. Ancak ideal olarak, SSL sertifikası bilgisayar korsanı saldırılarını ve veri hırsızlığını önler.
Güvenlik sertifikasına sahip olmak neden her zaman güvenlik anlamına gelmez?
SSL sertifikası web sitenizi daha güvenli hale getirir dedik; Ve bunun böyle olduğunu bir kez daha vurguluyoruz; Ancak bir SSL sertifikasına sahip olmak, ona sahip olan sitenin güvenli olduğu anlamına gelmez! Bu, bir web sitesinin temel bir SSL sertifikası kullanabileceği, ancak yine de kötü amaçlı bir site olabileceği anlamına gelir. Bunun nedeni, siber suçluların veri şifreleme yöntemleri ve SSL sertifikaları da kullanmasıdır.
Kimlik Avı Koruması Çalışma Grubu (APWG), dünyadaki kimlik avı web sitelerinin yarısından fazlasının HTTPS protokolünü kullandığını bildiriyor. Kimlik avı, siber suçluların elektronik iletişim araçlarıyla kullanıcı adı, parola, 16 haneli banka hesap numarası, ikinci parola ve CVV2 gibi bilgileri çalmasının bir yoludur.
Evet, kimlik avı yalnızca bir e-posta sorunu değildir. Siber suçlular, kullanıcıları kandırmak ve bilgilerini almak için kimlik avı web sitelerini veya sahte siteleri kullanır. Bunu, mevcut en önemli SSL sertifikası türü olan Etki Alanı Onaylı (DV) SSL sertifikalarını kullanarak yaparlar. Asıl sorun, bazı Sertifika Yetkililerinin (CA) bu sertifikaları ücretsiz sağlamasıdır. Daha fazla bilgi için, SSL sertifikalarının türleri hakkında bilgi edinmek daha iyidir.
SSL sertifika türlerini tanımak
Bu sertifikaların özelliklerini ve farklılıklarını bilmeyen site sahipleri için SSL sertifikası seçmek zor olacaktır. Öte yandan, sanal alan kullanıcılarının bu sertifikalara aşina olmaları, internet alanındaki genel güvenlik kavramlarına aşina olmalarına yardımcı olur.
1. DV SSL sertifikası
DV türü SSL sertifikası, dv veya etki alanı doğrulama şirketleri ile ilişkili bir sertifika türüdür. Bu tür sertifikalarda alan adının, sertifikayı talep eden kişinin mülkiyetinde olduğundan emin olmak için alan adını veren otorite tarafından kontrol edilir. Bu tür bir sertifika, hem bilgilerin şifrelenmesi ve gizliliğinin onaylanması hem de alan adının onaylanması anlamına gelir.
2. OS SSL sertifikası
OV tipi SSL sertifikası, tarayıcı ile sunucu arasındaki bilgilerin şifrelenmesi ve alan adının doğrulanmasının yanı sıra firmanızın veya kuruluşunuzun adının da doğrulanıp doğrulandığı bir SSL sertifikası türüdür. Bu sertifika, izleyicilerinin şirketin resmi web sitesine kesinlikle gireceğinden emin olmak isteyen web siteleri için uygundur. Ayrıca bu sertifika türünde site ziyaretçisi ilgili ikona tıklayarak firmanızın resmi adını görebilir ve bundan emin olabilir.
3. EV sertifikası
EV tipi SSL sertifikası, başka bir SSL sertifikası türüdür ve en eksiksiz olanıdır. Bu sertifika, DV ve OV sertifikalarının tüm avantajlarına sahiptir ve aynı zamanda kullanılarak, site muhatabının tarayıcı adres çubuğundaki alan adının yanına şirketin resmi adı eklenir. Bu nedenle, sitenizin izleyicileri bu ismi gördüklerinde herhangi bir endişe duymadan sitenize girecektir.
4. WILDCARD sertifikası
Joker karakter sertifikası aslında OV ve DV tipi SSL sertifikalarını aldıktan sonra alabileceğiniz teknik bir olasılıktır. Bu sertifika, sitenin ana alan adının ve tüm alt alan adlarının güvenliğini sağlar. Örneğin, example.com adlı bir siteniz varsa, aynı zamanda support.example.com gibi bir alt alan adının güvenliğini de sağlayabilirsiniz.
Wildcard sertifikası kullanmıyorsanız, sitenizin her alt alan adı için ayrı SSL sertifikası edinmelisiniz. Bu nedenle, bu sertifika, birden fazla alt alan adına sahip olan ve hepsini bir SSL sertifikası ile güvence altına almak isteyen işletmeler ve siteler için uygundur.
Web sitesi güvenlik sertifikası nasıl alınır?
Tipik olarak, SSL sertifika yetkilileri bu tür sertifikaları vermek için bir ücret talep eder. Chrome ve Firefox dahil olmak üzere her saygın tarayıcı, kullanıcılarına geçerli sertifika veren yetkililerin bir listesini sağlar. Bu, bu tarayıcıların bu yayın organlarını tanıdığı ve onlara güvenebileceğiniz anlamına gelir.
sertifikaları almanın sonucu, bir kullanıcı tarayıcının üst çubuğuna bir adres girdiğinde, istenen web sitesi güvenlik sertifikasını tarayıcıya sağlamasıdır. Bu sertifika tarayıcı tarafından onaylanırsa ve güncel ise, site bilgileri kullanıcıya veya site yetkilisine sağlanacaktır, aksi takdirde bir hata mesajı ile karşılaşacaksınız.
Web sitesi güvenlik sertifikası alma süreci, istenen bilgi ve belgelerin sertifikayı sağlayan şirketin e-posta adresine gönderilmesiyle başlar ve sertifika yetkilisi tarafından kimlik doğrulaması yapıldıktan sonra web sitesi alınan sertifikayı etkinleştirebilir.
Sertifika almanın başka bir yolu, veren makamın web sitesinden sunucudaki birkaç dosyayı taşımasını veya DNS ayarlarını değiştirmesini istemesidir. Bu sayede sertifikayı veren yetkili, sertifikayı talep eden kişinin site yöneticisi olduğundan emin olur. Web sitesi sertifikaları vermek için bazı güvenilir otoriteler arasında Microsoft, Neutron, Goddee bulunur.
Sertifikanın faydaları nelerdir?
Web sitesi güvenlik sertifikasına sahip olmak size çeşitli açılardan faydalar sağlar. Örneğin, bu avantajlardan bazıları bilgi güvenliği ile ilgilidir; Bazıları web sitesinin SEO sıralamasını yükseltirken, diğerleri markaya olan güveni artırarak müşteri memnuniyeti ve güvenini sağlar. Sertifikanın bazı faydalarını birlikte inceleyelim.
1. Hassas bilgilerin korunması
İnternette gönderilen bilgiler, hedef sunucuya ulaşana kadar bir bilgisayardan diğerine aktarılır. Bilgileriniz şifrelenmemişse, sizinle sunucu arasındaki herhangi bir bilgisayar, kredi kartı bilgileriniz, kullanıcı adınız, şifreniz veya iletişim bilgileriniz dahil olmak üzere bilgilerinizin tamamını veya bir kısmını görebilir ve alabilir.
Bir SSL sertifikası, amaçlanan sunucuya ulaşana kadar okunamayacak şekilde bilgileri şifreler. Bilgiler bilgisayarınızdan web sunucularına giderken hiç kimse araya giremez veya bilgileri görüntüleyemez.
2. İşletme kimliği doğrulaması
Bir SSL sertifikasının birincil kullanımı, bilgileri sunucuya ulaşana kadar güvenli kalacak şekilde şifrelemektir. Web sitesinin orijinalliğini doğrulamak, SSL sertifikasının ikinci ana işlevidir. Web siteniz için SSL sertifikası sipariş ettiğinizde, alan adının işletmenize ait olduğundan emin olmak için kimlik doğrulama işlemi gerçekleştirilir. True Business ID SSL sertifikası gibi bazı sertifikalar ek doğrulama sağlar. Elbette siparişi vermek ve yenilemek zordur ve daha maliyetlidir.
3. Markaya olan güveni artırmak
Bir SSL sertifikanız olduğunda bilgili kullanıcılar, sertifikada listelenen işletme bilgilerinin kullandıkları web sitesiyle eşleştiğinden emin olmak için sertifika bilgilerine bakabilir. Kullanıcı bilgilerini sağlamak için bir formun bulunduğu güvenli olmayan sayfaların aksine, tarayıcıdaki adres çubuğunda, Chrome ve Firefox gibi tarayıcılarda “güvenli değil” gibi büyük kırmızı bir mesaj gösterilir. Böyle bir mesaj, marka güvenilirliğini ve müşteri güvenini büyük ölçüde azaltır.
4. Arama motorlarında daha iyi sıralama
Birkaç yıldır Google arama motoru, sıralama faktörlerinden biri olarak HTTPS protokolünü (SSL sertifikasına sahip güvenli web siteleri) kullandı. Banklino sitesi tarafından yapılan araştırmalar da Google arama motoru için bu önemi doğrulamaktadır. Dolayısıyla, bir SSL sertifikasına sahip olmayarak ve dolayısıyla güvenli HTTPS sayfalarına sahip olmayarak, web sitenizin arama motorlarındaki sıralamasına zarar veriyorsunuz.
5. Kullanıcı gizliliği güvenliği
Hiçbir kullanıcı, kendisi ve iş yaptığı işletme dışında, finansal işlemleri, satın almaları, tercihleri ve ilgi alanları hakkında bilgi sahibi olmakla ilgilenmez. İşletme sahipleri bir SSL sertifikası kullanmadıklarında, aslında web sitesi izleyicilerinin gizlilik güvenliğini tehlikeye atıyorlar. Bunu alırken, kullanıcıların bilgilerinin gizli kalacağından emin olabilirler.
6. Site hızını artırın
HTTPS protokolündeki şifreleme işlemi, bu protokolü HTTP protokolünden biraz daha yavaş hale getirir; Ancak diğer yandan, HTTPS protokolünü kullanmak ve bir web sitesi güvenlik sertifikasına sahip olmak, en son web güvenlik teknolojilerini kullanmanın ön koşullarından biridir. Örneğin, HTTPS protokolünü kullanmak, TLS1.3 ve http/2 gibi protokolleri kullanarak site sayfalarının hızını artırmanıza olanak tanır.