SSL Sertifikası Nedir? Neden Önemlidir? Gerekli midir?
SSL Sertifikası her güvenlik önleminde olduğu gibi, tecrübe edilen sıkıntılara çözüm olması amacıyla geliştirilmiş bir kimlik doğrulama sistemidir. Neden gereklidir? sorusuna yanıt bulmadan önce "veri akışı" ifadesinin ne anlama geldiğini açıklayalım.
Veri akışı, doğal hayatta da olduğu gibi tüm elektronik sistemler arasındaki bilgi alışverişi anlamına gelir. Örnek vermek gerekirse "konuşmanız" (sizin açınızdan) bilgi çıkışı, karşınızdaki kişinin bunu "duyması" da (onun açısından) bilgi girişi olarak tanımlanır. Benzer başka bir örnek de klavyede bir tuşa basmanız (Sizin tarafta) veri çıkışı, bilgisayarın bunu algılayarak ekrana yazması (bilgisayar tarafında) veri girişidir.
Şimdi veri akışının güvenliğinden biraz bahsedelim; Karışınızdaki kişiye bir şeyler söylediğinizde bunu sadece onun duymasını istiyorsanız almanız gereken güvenlik önlemleri var. Mesela kulağına fısıldamak yada çevrede üçüncü bir kişi olmadığından emin olarak konuşmak gibi.
Peki dijital dünyada bu konu nasıl işleniyor? Az önceki örnekteki gibi klavyeden tuşlara basılmasını ele alalım. Mesela bir yazı editör programını açıp (Word, Excel, Not defteri vs.) ekranına "Merhaba" yazdığınızda, eğer sisteminizde (kötü niyetli bir yazılım olan) KeyLogger mevcutsa, bu yazdığınız "Merhaba" ekrana yazılmasının yanında size bu KeyLogger ı kuran/gönderen/bulaştıran kişiye de gitmiş demektir.
Aynı durum mesajlaşma uygulamaları için de geçerlidir. (WhatsApp, Telegram vs.)
Konu hakkında daha detaylı bilgi öğrenmek isterseniz arama motorlarında "Sniffer", "keylogger" şeklinde aramalar yapabilirsiniz.
Nasıl Yani? Özel yazışmalarım, gizli mesajlaşmalarım, gönderdiğim yüzlerce ticari e-postalarım ...
Telaşa gerek yok :)
Yukarıdaki ilk cümlemde de belirttiğim gibi güvenlik önlemleri, oluşan sıkıntılara çare bulmak için geliştirilir. Buradaki sıkıntı da "kişilerin veri akışlarının (mesaj, e-posta vs.) üçüncü şahıslar tarafından izlenebilmesi" olarak tanımlanabilir.
Günümüzde (hala) veri akışlarının izlenmesini önlemeye dönük bir çözüm bulunamadı. Ama bu davetsiz misafirlerin elde ettikleri verilerin anlamsız hale getirilmesi sağlanabildi. Yani siz WhatsApp tan bir mesaj yazdığınızda aslında bunu bir başkası da okuyabilir. Ama karşılıklı şifreleme yapısı sayesinde mesajın "anlamlı" halini sadece mesajı gönderdiğiniz kişi görebilir. Davetsiz misafir ise karışık harf ve rakamlardan oluşan bir yazı kümesiyle karşılaşır.
WhatsApp örneğini bilerek veriyorum çünkü tam da bu konuyla alakalı bir mesajı ekranınızda gördüğünüze eminim. Şöyle ki; daha önce hiç sohbet etmediğiniz birine mesaj atacakmışsınız gibi ekranı açarsanız şunu göreceksiniz:
"Bu sohbete gönderdiğiniz mesajlar ve yaptığınız aramalar artık uçtan uca şifreleme ile korunmaktadır."
Teknoloji devi bir çok firma, hazırladıkları yazılımlarda uçtan uca şifreleme konusunu artık standart hale getirdiler.
Şimdi gelelim SSL Sertifikalı Web sitesi konusuna;
Aslında web sitelerinde SSL zorunluluğu yoktur. Hatta çoğunun buna ihtiyacı da yoktur. SSL ihtiyacı yukarıda da belirtildiği gibi veri akışının başkası tarafından izlenmemesi istendiği durumlarda ortaya çıkmaktadır.
Basit bir web sitesi düşünelim. Bu sitede Hakkımızda, misyon, vizyon ve iletişim sayfaları olsun. Ziyaretçi, web sitesini bir dergi okur gibi okuyor. Bir sayfadan diğerine geçiyor. İstediği bilgiyi öğrenip (ürün fiyatı, firma adresi telefonu vb.) web sitesinden çıkıyor.
Bu web sitesinde istenmeyen bir üçüncü taraf yok. Olsa da alacağı bir bilgi girişi yok.
Şimdi başka bir web sitesi düşünelim. Bu site de yine hakkımızda, misyon, vizyon vs. sayfalar yer alsın. Ayrıca bu sitede ziyaretçiler için ürün satın alma seçeneği de olsun. Böyle bir durumda ziyaretçi artık bilgi girişi yapacağı için (isim, adres, telefon, kredi kartı bilgileri vb.) üçüncü kişilere karşı önlem almak gerekir. Bu durumda web sitesine bir SSL sertifikası bağlanabilir.
İhtiyaçları olmasa da, kendi web sitelerine SSL ekletmek isteyenlerin sayısı son 2 yılda oldukça arttı. Bu artan ilgide en büyük pay Google Chrome 'un "Güvenli Değil" damgasıdır. Google, kendi gözatıcısı olan Chrome kullanıcılarına yönelik aldığı bir kararla Ocak 2017 den itibaren SSL olmayan web sitelerine içeriğinde ne olduğuna bakmadan "Güvenli Değil" damgası vuracağını belirtti. Ve bu konudaki tavrı hala (Ağustos 2019) değişmedi.
Bunun yanında yine Google, arama motoru hizmetlerini kullananlar için SSL kullanan web sitelerine öncelik vereceğini daha önce açıklamıştı.
Sonuç olarak;
Bir web sitesinin, güvenliğe ihtiyacı olup olmamasının tespitinden ziyade Google 'ın bu tavrı nedeniyle web sitenize SSL eklemelisiniz.
Saygılarımla, Serhat Eyişekerciler