SSL Sertifikası Nedir? Nasıl Alınır?

Kötü niyetli üçüncü tarafların da bulunduğu internet ortamını daha güvenli hâle getiren detaylardan biri ise SSL sertifikalarıdır.

SSL Sertifikası Nedir? Ne İşe Yarar?

SSL (Secure Sockets Layer/Güvenli Giriş Katmanı) sertifikası, kişilerin internet ortamındaki bilgilerini koruma amacıyla geliştirilmiş bir güvenlik protokolüdür. Girilen bir sitede paylaşılan veriler, bu sertifikalar tarafından 126/258 bit şifreleme teknolojisi ile şifrelenir. Böylece üçüncü kişi ve kurumların bu bilgilere erişmesi ve bilgilerin ele geçirilerek kötü amaçlar için kullanılması önlenir.

Kullanıcıdan sunucuya iletilen bilgiler şifrelendiği için sızıntı riski minimuma iner. Bu sertifikalar, web sitelerinde HTTPS protokolü ile birlikte çalışır ve her sitede olması artık bir zorunluluk hâline gelmiştir. Sertifikalar formlar üzerinden gönderilen şifre, adres, telefon numarası gibi bilgileri korur ve bu bilgilerden en önemlisi, online ödeme sırasında girilen banka ve kredi kartı bilgileridir.

SSL Sertifikası Almak Neden Önemlidir?

SSL sertifikası almak, hem kullanıcı hem de web sitesi sahibi adına güvenli internet kullanımı için önemlidir. Kullanıcının bilgilerini korumak, web sitesi için de önemli olduğu için kullanıcı deneyimini artırır. Ayrıca internet ortamındaki görünürlüğün yüksek olması da bu detaya bağlıdır.

Sertifikası bulunan bir sitenin adresinde “http” yerine “https” harfleri yer alır. Bu hem arama motorunun hem de kullanıcıların dikkat ettiği bir detaydır. Çünkü başında “https” yazan web siteleri güvenlidir. Kullanıcılar güvenilir web sitelerine daha fazla yönelirler ve bu sitelere daha fazla güven duyarlar.

İşin arama motoru kısmı da webdeki görünürlük adına ciddi önem taşır. Başta Google olmak üzere pek çok arama motoru servisi, SSL sertifikası olan siteleri öne çıkarırken “http” ile başlayan siteleri arka plana atar. Arama sonuçlarında üst sıralarda yer alma konusunda belirleyici unsurlar arasında sertifika detayı da vardır.

SSL Sertifikaları Nasıl Çalışır?

1. Bir tarayıcı ya da sunucu, güvenli bir web sitesine bağlanmaya çalıştığında, SSL ile korunmuş bir bağlantı kurar.
2. Tarayıcı ya da sunucu, kendisini tanımlaması için web sunucusuna talepte bulunur.
3. Web sunucusu, cevaben SSL sertifikasının bir kopyasını gönderir.
4. Tarayıcı ya da sunucu, bu sertifikayı kontrol ederek güvenilir bulursa, bu durumu web sunucusuna bildiren bir sinyal gönderir.
5. Web sunucusu daha sonra, dijital olarak imzalanmış bir onayla SSL şifreli oturumu başlatmak için yanıt verir.
6. Şifreli veriler, tarayıcı veya sunucu ile web sunucusu arasında paylaşılır.

SSL Sertifikasının Türleri Nelerdir?

SSL sertifikası özellikleri itibariyle bazı farklı türleri bulunan bir protokoldür. Bu türlerin her biri farklı bir kullanım amacına hitap eder. Dolayısıyla her web sitesi için aynı sertifikayı kullanmak söz konusu değildir. Ayrıca SSL sertifikası fiyatları da türlere göre değişkenlik gösterir. Sertifika türlerinden bazıları ve özellikleri aşağıdaki gibidir.

• Etki Alanı Doğrulama Sertifikaları (DV SSL)    
• Wildcard SSL Sertifikaları
• Çok Etki Alanlı SSL Sertifikaları (MDC)    
• Genişletilmiş Doğrulama Sertifikaları (EV SSL)
• Birleşik İletişim Sertifikaları (UCC)    
• Kuruluş Doğrulama Sertifikaları (OV SSL)

Etki Alanı Doğrulama Sertifikaları, içerisinde çok fazla kullanıcı bilgisi barındırmayan siteler için kullanışlıdır. Üye girişi ya da ödeme gibi bilgi paylaşımı gerektirmeyen sitelerde kullanılan bu sertifikalar, en düşük düzeyde koruma ve güvenlik sunar. Bu nedenle kolay bir şekilde alınır ve fiyatı da diğerlerine göre daha düşüktür. Sadece bilgi vermeyi hedefleyen blog tarzı siteler için verimlidir.

Çok Etki Alanlı SSL Sertifikaları, birden fazla etki alanını güvenli hâle getirmek için kullanılan bir güvenlik protokolüdür. Üst düzey etki alanları ile birlikte alt etki alanları da aynı sertifika ile korunabilir. Örneğin “www.websitesi.com, www.websitesi.net, www.websitesi.org” gibi farklı varyantları bulunan sitelerin tamamı için tek bir MDC sertifikası yeterlidir. Fakat kayıt sırasında tüm ana sunucuların isimleri ayrıca belirtilmelidir ve yerel etki alanları dahil değildir.

Birleşik İletişim Sertifikaları, MDC sertifikaları ile neredeyse aynıdır. İlk olarak özel servislerin güvenli hâle getirilmesi için tasarlandığı için diğer sertifikalardan ayrılmıştır fakat günümüzde tüm web sitesi sahipleri için kullanımdadır. Kurumsal olarak doğrulanması gereken bir sertifikadır. Adres çubuğunda bir “asma kilit simgesi” gösterir ve sitenin güvenilir görünmesini sağlar.

Wildcard SSL Sertifikaları, bir ana etki alanı (domain) ve buna bağlı alt etki alanlarını (subdomain) güvenli hâle getirmek için kullanılır. Sınırsız sayıda alt etki alanını koruma görevi gören Wildcard sertifikaları, subdomain açısından geniş kapsamı bulunan projeler için oldukça kullanışlıdır. Alt etki alanları için ayrıca sertifikalar almak yerine Wildcard kullanmak hem daha pratik hem de daha ekonomiktir.

Genişletilmiş Doğrulama Sertifikaları, en yüksek güvenlik düzeyini sunan sertifikalardır. Başlıca kullanım alanı online ödeme kabul eden e-ticaret siteleridir. Ayrıca veri toplayan siteler için de bu sertifika türünün kullanılması gerekir.

EV SSL, ücret olarak da en pahalı sertifika olarak kabul edilir. Bu sertifikayı alabilmek için, site sahibinden, site ile ilgili yasal haklara sahip olduğunu doğrulaması istenir. EV SSL kullanan siteler için kilit simgesi ve HTTPS kısaltması ile birlikte işletmenin adı, ülkesi ve site sahibi ile ilgili bilgiler de gösterilir.

Kuruluş Doğrulama Sertifikaları da EV SSL gibi geniş güvenlik düzeyi sunan ve pahalı olan sertifikalar arasındadır. Kamuya açık ticari sitelerde paylaşılan hassas verilerin tümünü şifreleyerek korur. Sitenin, kötü amaçlı sitelerden ayırt edilebilmesi için site ve site sahibi ile ilgili detaylı bilgiler içerir.

SSL Sertifikası Alırken Nelere Dikkat Edilmelidir?

• İhtiyaca ve site türüne en uygun olan sertifika alınmalıdır.
• Sertifika otoritesi tarafından (Certification Authority) kabul görmüş ve CA listesinde yer alıyor olmalıdır.
• Single root (tek köklü) olması daha verimlidir.
• 128 bit ve üzerinde bir şifreleme standardı sunmalıdır.
• Tarayıcılar için en az %99 uyumluluğa sahip olmalıdır.
• Güvenilir üçüncü parti sertifika firmalarından hizmet alınmalıdır.
• Sürecin ne kadar sürede tamamlanacağı hakkında bilgi sahibi olunmalıdır.
• Sigortalı olmasına dikkat edilmelidir. Sigorta, olası bir problemde sorumluluğu sertifika hizmetini sunan firmaya yükler.

SSL Sertifikası Nasıl Alınır?

SSL sertifikası birkaç adımda kolayca alınabilir. Bazı sertifika türlerinde evrak talep edildiği için süreç uzayabilir fakat sertifikaların çoğu için işlemler kısa sürede tamamlanır. İlk olarak ulusal ya da uluslararası düzeyde hizmet sunan, güvenilir bir sertifikalandırma yetkilisi ile temas kurulmalıdır. Sertifikalandırma firması ile iletişime geçildikten sonra aşağıdaki adımlar izlenir.

1. Sunucu kurulur.
2. Whois kaydındaki şirket adı, adres ve iletişim gibi bilgiler, sertifikalandırma yetkilisine gönderilen bilgiler ile eşleşecek şekilde güncellenir.
3. Sunucuda bir CSR (Sertifika İmzalama İsteği) oluşturulur. Bu adım için hosting hizmeti alınan firmadan destek alınabilir.
4. Doğrulama işlemi için şirket ayrıntıları ve etki alanı bilgileri sertifikalandırma yetkilisine gönderilir.
5. İşlemler tamamlandıktan sonra sertifika yetkilisi tarafından bir sertifika verilir.
6. Sertifikanın kurulumu yapılır.

SSL Sertifikası Kurulumu Nasıl Yapılır?

SSL sertifikası kurulumu, web sitelerin yönetim ve kontrol panelleri üzerinden yapılır. Bu nedenle hosting (barındırma) firmalarına bağlı olarak kurulum işlemleri için farklı prosedürler izlenebilir. Çoğunlukla yönetim panelinde “Sertifikalar, Sertifika Yükle, Sertifika Oluştur” gibi araçlar bulunur. Pek çok hosting firması, sertifika kurulum işlemlerinin kolayca yapılabildiği hizmetler sunmaktadır. Dolayısıyla hizmet sağlayıcı firma ile iletişime geçmekte fayda vardır. Bu aşamada web sitesine sabit bir IP atanmış ve private key ile CSR kodu talebi oluşturulmuş olmasına dikkat edilmelidir.

SSL Sertifikasının Avantajları Nelerdir?

• E-posta, şifre, adres, telefon numarası, kredi kartı bilgileri gibi kullanıcı verilerini şifreler.
• Üçüncü tarafların bu bilgilere erişmesini ve veri hırsızlığını önler.
• Sitenin daha profesyonel, kurumsal ve güvenilir görünmesini sağlar.
• Site güvenilir göründüğü için daha fazla ziyaretçi çeker.
• Sitenin Arama Motoru Optimizasyonu’na, yani SEO’ya uyumlu olmasına yardımcı olur.
• Sitenin Google ve benzeri arama motorları ile uyumlu çalışmasını sağlar.
• Arama motoru ile uyumlu çalışan siteler, arama sonuçlarında daha üst sıralarda görünür.
• Üst sıralarda yer alan sitelerin ziyaretçi sayısı ise çok daha fazla olur.
• Sertifikasız siteler, arama motorları tarafından “Güvenli değil” şeklinde işaretlenir.
• Bu işaret sitenin prestijini olumsuz anlamda etkiler ve kullanıcıları siteden uzaklaştırır.