Yazılar

Secure Socket Layer (SSL) Nedir?

SSL’i ilk olarak Netscape firması tarafından ortaya atılmıştır ve daha sonrasında IETF tarafından bir güvenlik standardı olarak bakul edilerek Netscape’ten devralınmıştır.

Verinin depolandoğı Web Server, Sertifika ile imzanlanmış özel ve herkese açıkbir anahtara sahiptir. Bu anahtar sayesinde veri sunucudan güvenli bir şekilde alınmaktadır. Verinin güvenliksiz internet ortamında bir yerden bir yere taşınması sorununa çözüm için SSL Ortaya atılmıştır. SSL, güvenli olmayan bir ortamda verinin sunucudan veya göndericiden alıcıya güvenli bir şekilde iletimini sağlamak amacı ile hem herkese açık bir bir şifreleme yani anahtar hem de özel br şifrelemeyi aynı anda kullanabilen bir yapıdır.

SSL’in Kullanım Amacı

  1.  Sunucu ile istemci arasında bir bağ oluşturmak,
  2. Şifreleme ve sıkıştırma kurallarını belirlemek,
  3. Tarafları asıllamak,
  4. Oturum için gerekli anahtarları oluşturmaktır.
  5. SEO

SSL, veri iletiminde Hashing metodunu kullanır.

Hashing Metodunda sunucu veriden tek bir hash değeri yollar, istemci bu gelen hash değerini aldığında aynı hash fonksiyonunu kulanarak gelen bu paketten bir hash değeri üretir. İstemci ile sunucu anlaşmak için aynı hash fonksiyonunu kullanırlar. istemcinin ürettiği hash değeri ile sununucunun ürettiği hash değeri aynı olmalıdır olmalıdır, aynı değilse veri değişmiştir.

Hashing metodolojisi ile sunucu, veriden tek bir hash değeri yollar.
İstemci bu veri paketini aldığında, aynı hash fonksiyonunu kullanarak, gelen bu paketten bir hash değeri üretir.
İstemci ile sunucu, aralarında bağlantı sağlarken, aynı hash fonksiyonunu kullanmak için anlaşırlar. İstemcinin üretmiş olduğu bu hash değeri, sunucunun yolladığı hash değeri ile aynı olmak zorundadır. Eğer aynı değilse veri değişmiştir.

SSL, web sunucusunda tanımlanan dijital bir imzadır, böylece sunucunun yanınlamış olduğu dijital imza sayesinde sunucuya giren istemci güvenli bağlantı kurulduğundan emin olur.

SSL Nereden Alınır?

Sertifika sunucu firmalardan verilirken ek olarak sadece SSL satan firmalarda mevcut, SSL almadan önce öncelikle bir kimlik denetiminde bulunuyorlar, güvenilir firma olduğunuzu kabul ettikleri taktirde sunucu firmaya SSL vermektedir. SSL alan firma veya web sitesi güvenilir ve onaylanmış bir firma olduğunu belgeler.

Sertifika otoriteleri, Verisign Firmalarıdır.

Sertifikanızı alamak için hosting’inizi aldığınız firmaile görürebilir veya  benimde kullanıdığım aşağıda linki bulunan firmaya ulaşabilirsiniz.

SSL Net firmasına ulaşmak için tıklayınız.

SSL’in Onaylanması

  • Sunucuya istemciden bir SSL isteği geldiğinde, istemci sunucu ile irtibata gecen istemciye sunucu tarafından kendisine verilen SSL sertifkası gönderilir.
  • Sertifika imzadan ibaret olduğundan istemci almış olduğu setifika sonucunda firma kimlik bilgileri ve herkese açık anahtar bilgisini okuyabilir
  • İstemci, herkese açık anahtarı ile sayısal imzayı çözer ve sunucunun ürettiği hash değerini bulur.
  • Daha sonra bir hash değeridekendisi üretir, bu iki değerde aynı olmalıdır.
  • Aynı ise Web sunucusu sertifika otoritesitarafından onaylanmıştır ve istemcinin gerçekten iletişime geçmek istediği bir firmadır.
  • Böylelikle sunucu ile istemci arasında SSL yani güvenli bağlantı kurulmuş ve bu bağlantıda giden ile gelen paketler şifrelendiği için üçüncü kişiler bu bilgilere erişemez.
  • üçüncü şahızlar bir şekilde bağlatıya erişebilirlerse bu iki tarafada bildirilir ve bağlatı hemen kesilir.
  • SSL ile sunucu ile istemci birbirini tanır ve gün ilişkisi kurulur.
  • istemci ile sunucu arasında anlaşma yapılır (el Sıkışılır). (HandShake)
  • Bu anlaşma istemci sunucuya ilk ulaştığu anda yapılır.
  • El sıkışıldığında istemci sunucudan kimlik bilgilerini ister ve sunucu istemciye sertifikayı yollar.
  • İstemci aldığı bu bilgiler eşliğinde simetrik bir anahtar oluşturur ve sunucunun herkese açık anahtarı ile, bu bulduğu anahtarı şifreler ve bu değeri sunucuya yollar.
  • Kendi özel anahtarını kullanarak, sunucu, İstemcinin yolladığı bu şifrelenmiş anahtarı çözer.

SSL’de Kullanılan Şifreleme Sistemleri

a. Hash Tekniği ile Şifreleme: Veri trafiği esnasında, verinin değişmediğini ve bütünlüğünün korunduğunu anlamak için kullanılır.
b. Anahtar Değişim Tekniği ile Şifreleme: İstemci ve sunucunun, el sıkışma sonrasında , veriyi şifrelemek amacı ile kullandıkları simetrik anahtarı birbirine nasıl ulaştıracağını belirlemek için kullanılır.
c. Simetrik Veri Şifreleme: Veri şifrelenmesinde kullanılacak olan RC2 gibi bir veri şifreleme tekniğidir.