SSL Nedir ?
İnternette “ SSL nedir ”araması yaptığınızda, karşınıza SSL ile birlikte TLS terimi de çıkacaktır. Önce bu kısaltmalarının ne olduklarına bakalım.
SSL (Secure Sockets Layer) Güvenli Soket Katmanı
TLS (Transport Layer Security) Taşıma Katmanı Güvenliği
Günümüzde TLS kullanılmasına rağmen, SSL yaygın ve bilinen terim olduğu için kullanımı devam etmektedir. Bu yazımızda her iki terimi de kullanacağız.
SSL / TLS, ağa bağlı bilgisayarlar arasında güvenli / şifrelenmiş haberleşmeyi sağlamak için oluşturulmuş dijital sertifika sistemidir. Her ikisi de X.509 sertifikasını kullanır. Bir domain üzerine SSL / TLS yüklendiğinde, http:// olan önek, tarayıcı adres çubuğunda https:// olarak görünür ve asma kilit ikonu bulunur.
Bu sertifikalar genel olarak 3 görevi yerine getirir.
1) Doğrulama: kendisine verilen kuruluşun kimliğini doğrulamak için, kimlik bilgisi olarak hizmet etmek
2) Şifreleme: Ağ üzerindeki iletişimi şifreleyerek güvenli durumu getirmek
3) Bütünlük: Ağ üzerinde taşınan verini üçüncü kişiler tarafından değiştirilmesi engellemek.
SSL / TLS, SEO için de önemli bir etkendir. Sitenin organik aramalarda üst sıralara çıkmasına etki eder.
Bir web sitesinin SSL / TLS sertifikasına sahip olması ,sitenin tamamen güvenli olduğu anlamına gelmez, web sitesinin içeriği / yazılımı için koruma sağlamaz. Antivirüs veya benzeri bir güvenlik yazılımı değildir.
Tarihçe
SSL’in 1999 yılında yayınlanan versiyonuna TLS adı verildi. İlk sürüm olan 1.0 Netscape tarafından geliştirildi, ancak ciddi güvenlik açıkları olduğundan hiç yayınlanmadı. İlk kullanılabilir sürüm olan 2.0 1995 yılında çıktı. Bir yıl sonra 3.0 sürümü yayınlandı. 1999 yılında SSL’in yeni sürümü TLS ( Transport Layer Security) Taşıma Katmanı Güvenliği ortaya çıktı. IETF (Internet Engineering Task Force) İnternet Mühendisliği Görev Gücü tarafından standart protokol olarak tanımlandı ve ilk sürüm olan TLS 1.0 yayınlandı
TLS 1.1 2006
TLS 1.2 2008
TLS 1.3 2018 yılında yayınlandı
SSL / TLS sertifikaları, ticari kuruluşlar olan, CA (Certificate Authority) sertifika otoriteleri tarafından üretilir. Aşağıda tablo en büyük pazar payına sahip sertifika üreticilerini gösteriyor.
Sağlayıcı | Oran | Pazar Payı | |
1 | IdenTrust | 38.0 % | 51.2 % |
2 | DigiCert | 14.6 % | 19.7 % |
3 | Sectigo | 13.1 % | 17.7 % |
4 | GoDaddy | 5.1 % | 6.9 % |
5 | GlobalSign | 2.2 % | 3.0 % |
6 | Certum | 0.4 % | 0.7 % |
7 | Actalis | 0.2 % | 0.3 % |
8 | Entrust | 0.2 % | 0.3 % |
9 | Secom | 0.1 % | 0.3 % |
10 | Let’s Encrypt | 0.1 % | 0.2 % |
11 | Trustwave | 0.1 % | 0.1 % |
12 | WISeKey Group | < 0.1 % | 0.1 % |
13 | StartCom | < 0.1 % | 0.1 % |
14 | Network Solutions | < 0.1 % | 0.1 % |
Kaynak: Wikipedia
SSL / TLS Türleri
Sertifikalar “doğrulama türü ve domain tipine” göre ikiye ayrılır.
Doğrulama türüne göre sertifikalar
DV (Domain Validation) Alan adı doğrulaması
OV (Oraganization Validation) Kuruluş doğrulaması
EV (Extended Validation) Genişletilmiş doğrulama
Domain tipine göre serfitikalar
Single domain ( Tek alan adı )
Wildcard ( Alt domain desteği)
Multi-domain (Çoklu alan adı )
SSL / TLS fiyatları firma ve sertifika özelliklerine göre farklılık göstermektedir. Ocak 2021 fiyatları yaklaşık olarak, aylık 1.63 USD civarından başlamaktadır. Bunun yanında ücretsiz SSL / TLS sertifikası da bulunmaktadır.
Bir çok kuruluş bu görevlerin yerine getirilemediği, kimlik sahibi veya kullanıcının zarara uğradı durumlarda bir çeşit garanti / sigorta ödemesi taahhüt etmektedir. Sertifika seçiminde bu özellikte dikkate alınmalıdır.
Ücretsiz SSL / TLS
Let’s Encrypt TLS şifrelemesi için ücretsiz X.509 sertifikası dağıtan bir sertifika otoritesidir. Kamu yararına çalışan ISRG (Internet Security Research Group) İnternet Güvenliği Araştırma Grubu tarafından sağlanan bir sertifikadır. Yalnızca DV (Domain Valitated) sertifika verir. Bu sertifika 90 günlüktür, 90 gün sonunda otomatik olarak yenilenir. Kişisel bir siteniz var veya kuracaksanız blog / cv ve benzerleri gibi, ücretsiz Let’s Encrypt SSL / TLS sertifikası siteniz için yeterli olacaktır. Hosting seçiminde Let’s Encrypt desteğini göz önünde bulundurun. Ancak E-ticaret siteleri için ücretli SSL sertifikası almanız tavsiye edilir.
Kaynaklar:
https://tr.wikipedia.org/wiki/Transport_Layer_Security
https://tr.wikipedia.org/wiki/X.509
https://www.acunetix.com/blog/articles/history-of-tls-ssl-part-2/
https://serverguy.com/ssl/types-of-ssl-certificates/
https://blog.sucuri.net/2018/09/ssl-vs-website-security.html
https://en.wikipedia.org/wiki/Certificate_authority
https://www.abetterinternet.org/