SSL'e neden gerek vardır ?
İnternet'i mektup tabanlı değil de kartpostal tabanlı bir posta sistemi olarak düşünebiliriz: yollanan verinin etrafında herhangi bir zarf olmadığı için, postacı (router) başta olmak üzere herkes tarafından okunabilir! SSL, iletilen veriyi şifreleyerek okuyan insanların okuduklarını anlamaması ve gönderilen veriye ulaşamaması için kullanılır.
SSL nasıl çalışır ?
SSL, veriyi şifrelerken RSA tabanlı bir şifreleme sistemi kullanır. Bu sistemin avantajına az sonra değineceğiz. Şimdilik bilmeniz gereken, iki sistemin RSA kullanarak veri iletişimi yapabilmesi için birbirine anahtar yollaması gerektiğidir...
- SSL kullanarak veri alışverişi yapmak isteyen sistem, ClientHello adı verilen ve desteklenen şifreleme ve sıkıştırma biçimleri, protokol sürümü ve daha sonra kullanılacak bir rastgele sayı gönderir.
- ServerHello mesajında, sunucu belirtilen biçim ve sürümlerden hangisini seçtiğini belirtir.
- İki makine anlaştıktan sonra, sunucu istemciye şifreleme anahtarını (public key) gönderir. Genelde, istemci de sunucuya kendi şifreleme anahtarını da gönderir (bu sayede şifreleme iki yönü olarak yapılır)
- Bu adımdan sonra iki makine de birbirlerinin şifreleme anahtarlarını kullanarak güvenli veri iletişimi yapabilirler.
RSA'da şifreleme ve şifreyi açma (deşifre) için iki ayrı anahtar kullanıldığından tüm anahtar alışverişini dinlemiş olan bir kişi bile veri alışverişini okuyamayacaktır!
SSL'in zayıf noktaları
SSL'de birkaç zayıf nokta bulabiliriz:
- Veri alışverişini dinleyen ve değiştiren bir kişi, iki tarafa da sahte anahtarlar verip tüm alışverişi dinleyebilir. Bunun önüne geçmek için SSL sertifikiları yaratılmıştır: dünyaca tanınmış olan kimi kurumlar, kimi kurumlara (örneğin bankanızın internet şubesine) verilen anahtarı imzalarlar. Anahtarı değiştirecek bir postacı imzayı da bozacağından, anahtarın diğer tarafa doğru şekilde iletileceği garantilenmiş olur. Tüm internet tarayıcıları, geçersiz bir sertifika ile karşılaştıklarında bir uyarı mesajı verirler.
- SSL, hem alışveriş öncesi hem de sırasında alıp verilen veri miktarını artırır: dolayısıyla, hiçbir internet sitesi tüm sayfalarını SSL ile korumayacaktır. Bu durumda, sisteme giriş sayfasının gönderdiği yer değiştirilerek tü SSL koruması atlanabilir ve kullanıcı başka bir sayfaya yönlendirilir. Bank Of America dahil bir çok kuruluş bu tür hatalar yapmıştır.
- Kimi web siteleri, aynı sayfanın içine güvenli (SSL ile korunmuş) ve güvensiz veri gömmektedir. DHTML son derece zengin bir dildir: bir web sayfası, kendi kendine içerik yaratabilir, klavyeyi dinleyebilir, resimleri değiştirebilir ve formlar yollayabilir. Dolayısıyla, güvensiz veri yolda değiştirilir ve içine, örneğin, bir klavye dinleme script'i konursa sayfanın "güvenli" bölümündeki tüm güvenlik delinmiş olur. Çoğu tarayıcı, güvenli ve güvensiz içerik bir arada gösterildiğinde bir uyarı mesajı vermektedir.
SSL sertifikaları
SSL Sertifikası almak için, web sunucunuzun SSL desteğinin olduğundan emin olduktan sonra, hangi sertifika sağlayıcıdan sertifika alınacağına karar verilmelidir. Daha sonra Web sunucusunda, sunucu ve firma bilgilerini içeren bir yazı oluşturulur: bu yazıya CRS adı verilir. Sertifika sağlayıcıya, sertifika sağlayıcı kuruluşun istediği evraklarla birlikte web sunucusunun oluşturduğu CRS kodu gönderilir. 1-2 gün içerisinde sertifika dosyası size e-posta ile ulaştırılır. Bu noktada, web sunucunuzda gerekli tanıtımı yaptıktan sonra, SSL destekli veri iletişimine başlanabilir.
