SSL teknolojisi hakkında internet üzerinde yaptığımız aramalarda, çok dolu ama aşırı teknik bilgi içeren anlatımlara denk geldik. “Web teknolojileri ile çok iç içe olmayan kişilerin de bu teknolojiyi basit şekli ile anlamaya hakkı var” diyerek bu yazıyı kaleme almak istedik. Yine de o standart tanımı yapıyoruz. Fakat, yazımızı okumaya devam ettiğinizde, SSL teknolojisine ciddi oranda hakim olmuş olacaksınız. İngilizce “Secure Socket Layer” terimi, kısaltılarak “SSL” şeklinde adlandırılmaktadır. Dilimizdeki en doğru tercümesi ise “Güvenli Giriş Katmanı” şeklindedir.

SSL, internete bağlandığınız web tarayıcılarının ve bağlanmak istediğiniz sunucunun birlikte kullandığı bir teknolojidir. SSL kullanımında sunucu kısmında bir “Private Key” çalışır. İstemci yani browser kısmında ise “Public Key” adı verilen başka bir şifreleme yazılımı çalışır. Bu iki anahtar üzerinden de şifrelenmiş verileriniz iletilir. Yani siz SSL sertifikalı bir web sitesine bağlanmak istediğinizde, tüm verileriniz (girdiğiniz şifre, kart bilgisi gibi) şifrelenerek sitenin yayın yaptığı sunucuya iletilir. Bu sayede internetteki  güvenliğinizi bir nebze daha arttırmış olursunuz.

HTTP vs. HTTPS
HTTP vs. HTTPS

SSL kullanımında, tarayıcınızın SSL protokolünü desteklemesi şarttır. Google Chorme başta olmak üzere, tüm modern internet tarayıcıları, SSL protokolünü destekler.  Bir sitenin SSL kullanıp, kullanmadığını anlamak için; alan adının başına “HTTPS” eklemeniz yeterlidir. Örneğin; https://niobeweb.net/blog sitesine erişebiliyorsanız ve adres çubuğunun sol üst kısmında “güvenli” ifadesi bulunuyor (veya kilit işareti ya da yeşil tik işareti bulunuyor) ise bu site geçerli bir SSL sertifikasına sahip demektir.

SSL Ne Amaçla Kullanılır?

Yukarıdaki paragrafta da belirttiğimiz üzere, SSL’in kullanılma amacı; veri gizliliğinizi korumaktır. Özellikle e-ticaret sitelerinde, alışveriş esnasında girmek zorunda olduğunuz kişisel bilgilerinizin ve kart bilgilerinizin gizliliğinin korunması çok önemlidir. Bu bilgileri ele geçiren kötü niyetli kişiler, adınıza çevrimiçi ödemeler yaparak sizi maddi zarara uğratabilir.

Hiçbir banka ve ödeme kuruluşu, SSL sertifikası olmayan bir web sitesine ödeme ekranı sağlamaz. Sitenizde kredi ya da banka kartı ile ödeme alabilmek için, en az 256 bit SSL sertifikası edinmeniz gerekmektedir.

E-ticaret siteleri dışındaki normal sitelerin de veri gizliliği açısından SSL kullanmaları oldukça mühimdir. Zira kullanıcıların oturum açabildiği web sitelerinde SSL sertifikası kullanılması durumunda, kullanıcı tarafından girilen bilgiler şifrelenerek iletilir.

Niobeweb SSL Sertifikası
Niobeweb SSL Sertifikası

SSL Nasıl Kurulur?

Eğer Niobeweb müşterisi iseniz, bu yazıyı okumaya gerek kalmadan, dilediğiniz SSL sertifikasının kurulumunu yapmak için bizimle irtibata geçebilirsiniz. Firmamızdan edindiğiniz tüm SSL sertifikalarının kurulumunu ücretsiz gerçekleştirmekteyiz. SSL sertifikası tekliflerimizi incelemek ve müşterimiz olmak için BURAYA tıklayabilirsiniz.

cPanel hosting yönetim paneli kullanan bir hosting hesabınız var ise, hiçbir yardım almadan ve para ödemeden “Encrypt SSL” kullanmanız da mümkündür.  Bu işlemi nasıl gerçekleştireceğinizi aşağıda adım adım anlatıyoruz.

  • cPanel’deki arama kutusuna “Security” ya da “Güvenlik” yazarak, açılan bölümde “Let’s Encrypt” butonuna tıklayın.
  • Açılan sayfada alan adınızın yanındaki “Sertifika Oluştur” butonuna tıklayın.
  • Sıradaki pencerede ise “Dahil Edilsin mi?” bölümündeki “mail.alanadniz.com” ve “www.alanadiniz.com”  seçeneklerindeki kutucukları işaretleyin.
  • “cPanel Erişim Servislerini Dahil Et” kısmındaki kutucuğu, hosting kaynaklarınız yeterli ise işaretleyin. Bu alanda işaretleme yapmanız halinde; “cpanel.alanadiniz.com” ve “webmail.alanadiniz.com” gibi subdomain adresleriniz de SSL sertifikası kullanır. Tamamen opsiyoneldir ve genelde tercih edilmez.
  • “Lütfen SSL doğrulama yöntemini seçin. (Tamamı otomatik çalışmaktadır):” kısmında; “http-01” seçeneğini işaretleyin.
  • “Sertifika Oluştur” butonuna tıklayın. Her şeyi doğru yaptıysanız SSL sertifikanız başarılı bir şekilde kurulmuş olacaktır.

Aynı işlemi DirectAdmin panelinizde de gerçekleştirebilmeniz mümkündür. DirectAdmin Let’s Encrypt kurulumu için de aşağıdaki adımları takip edebilirsiniz.

  • DirectAdmin panelinize kullanıcı girişi yapın ve “Hesap Yönetimi” bölümünden “SSL Sertifika Yönetimi” butonuna tıklayın.
  • Açılan ekrandaki sekmede SSL sertifikası kuracağınız alan adını seçin.
  • Alt kısımda “Ücretsiz ve otomatik Let’s Encrypt” seçeneğini işaretleyin.
  • “Bilinen Ad” kısmında domaininizi seçin ve “Genel Arama” kutusunu işaretlemeyin.
  • “Anahtar Boyutu (bit)” kısmında “4096” seçeneğinin seçili olduğundan emin olun.
  • “Sertifika Türü” kısmında ise “SHA256” seçeneğini seçin.
  • “Let’s Encrypt SSL Certificate Entries” kutusunu boş bırakın.
  • Alt kısımda SSL kurulmasını istediğiniz alt alan adlarını seçin.
  • “KAYDET” butonuna tıklayın.
  • “alanadiniz.com has been created successfully!” mesajını gördüyseniz, ücretsiz SSL kurulumunuz gerçekleşmiş demektir.

SSL Türleri ve Doğrulama Yöntemleri Nelerdir?

Piyasada farklı fiyatlarda ve özelliklerde SSL sertifikası türleri bulunmaktadır. “Hangi SSL sertifikasını kullanmalıyım?” sorusuna verilecek cevap, tamamen sizin ihtiyaçlarınız ile alakalıdır. Aşağıda SSL sertifikalarını üç başlık altında inceleyerek bu soruya yanıt bulmanızı sağlamaya çalıştık.

1. DV SSL (Domain Validation)

Anında kurulan SSL sertifikalarının ve ücretsiz SSL sertifikalarının tamamı DV SSL sertifikasıdır. Bu sertifika türünde sadece alan adı doğrulanır. “Alan Adı Doğrulanmış Sertifika” olarak da tercüme edilebilir.

Hosting sağlayan firma tarafından sağlanan bilgilerinin otomatik olarak teyit edilmesinin ardından, sertifikanın kurulumu sağlanır.

DV SSL kullanmak, bir SSL sertifikasına sahip olmanın en ekonomik ve en çabuk yoludur.

2. OV SSL (Organization Validation)

Eğer bir SSL sertifikasını satın almak istediğinizde, sertifikayı sağlayan firma kurulum süresi için birkaç gün mühlet istiyor ise; o sertifika büyük ihtimal ile OV SSL yani “Kuruluş Tarafından Onaylanmış” SSL sertifikasıdır. OV SSL sertifikasında verileriniz şifrelenmekle kalmaz, ziyaret ettiğiniz sitenin gerçek bir firma olup olmadığı da teyit edilir.

OV SSL sertifikası sağlamaya yetkili kuruluş; firmanızın telefonunu, fiziksel adresini, Whois bilgilerini, sertifikaya başvuran kişinin firma adına karar verme yetkisi olup olmadığını doğrular. Dolayısı ile OV SSL sertifikası, sertifika kontrolü yapan bir tüketiciye daha fazla güven verebilir.

3. EV SSL (Extended Validation)

Kurumsal firmalar tarafından tercih edilen ve piyasadaki en güvenlikli SSL sertifikası olan EV SSL sertifikasında; OVL SSL sertifikalarına göre daha çok doğrulama işlemi yapılmaktadır.

Bir EV SSL sahibi olmanız için, SSL sertifikası sağlayan kuruluş; yaptığınız işin hukuki olup olmadığını da denetler. Örneğin warez içerikler yayınlayan bir web sitesine EV SSL almanız mümkün değildir.

Chorme tarayıcıların “yeşil çubuk” olarak adlandırılan barı kaldırması nedeni ile talebin azaldığı bu sertifika türü; en pahalı SSL sertifikasıdır.

4. Wilcard SSL Sertifikası

Alan adınızdaki tüm subdomainler için SSL sertifikası almanızı sağlar. Örneğin WordPress Multi Site ile bir web sitesi kurduğunuzda, tüm subdomainleriniz için SSL sertifikası istiyorsanız, Wilcard SSL Sertifikalarını tercih etmelisiniz.

5. Multi – Domain SSL Sertifikası

Genelde bir sunucuda kendine ait birden fazla web sitesi barındıran webmasterlar tarafından tercih edilir. Sunucuya kurulan bu SSL sertifikaları, serverdaki tüm alan adlarında kullanılabilir. Para tasarrufu sağlaması nedeni ile tercih edilmektedir.

SSL ve SEO İlişkisi

Bu konuda dünyadaki tanınmış SEO uzmanlarının farklı görüşleri vardır. Hiçbir uzman “tek başına SSL sertifikası kullanmak SEO için vazgeçilmez unsurdur” demez ama “SSL SEO etkisi” durumunu da inkar etmez. Zira SEO; yüzlerce unsurun bir araya getirilerek yapıldığı bir çalışmadır ve SSL kullanımı bunlardan biridir.

İnternet üzerinde EV SSL kullandığı için “alışveriş” gibi iddialı kelimelerde ilk sıralarda olan siteler, SSL kullanımının önemini göstermek için örnek gösterilmektedir. Ama bu yazıların hiçbirinde, söz konusu sitelerin diğer SEO ve marka bilinirliği çalışmalarını ne derece başarılı yaptıklarından bahsedilmemektedir.

Sözün özü; SSL kullanımı, hatta OV SSL ya da EV SSL kullanımı; SEO’ya olumlu etki eder. Lakin amiyane tabir ile “tek numarası SSL kullanmak” olan bir web sitesinin, sadece SSL kullandığı için, sıralamalarda üstte olmasının imkanı yoktur. SSL kullanmak, SEO unsurlarından sadece bir tanesidir.

HSTS

Web sitenize SSL sertifikası ekleyip 301 yönlendirmesi yapmış olsanız bile, sitenizin SSL sertifikasız sürümüne (yani “HTTP” sürümüne) erişim mümkündür. Sitenizi ziyaret eden kullanıcılar, “HTTP” ile başlayan adresinize gittiğinde, veri aktarımlarının tamamı güvensiz protokolden gerçekleşir.

Ancak HSTS politikası sayesinde ziyaretçinin web tarayıcısı; sitenize yalnızca “HTTPS” ile bağlanılabileceği konusunda uyarılır. Ayrıca HSTS’yi etkinleştiren siteler daha hızlı açıldığı için, SEO’ya da fayda ettiği düşünülmektedir.

Sitenizde HSTS politikasını etkinleştirmek için “.htaccess” dosyasına tırnak işaretleri arasındaki kodu eklemeniz yeterlidir:

“Strict-Transport-Security: max-age=31536000; includeSubDomains”

Yukarıdaki kodu ilgili dosyaya eklediğinizde, bir yıl boyunca siteniz sadece HTTPS protokolü üzerinden çalışır. HSTS politikasını aktif ettiğinizde dikkat etmeniz gereken en önemli unsur; sağlıklı çalışan bir SSL sertifikanızın olması ve bu sertifikanın tüm subdomainlerinizde de çalışıyor olmasıdır. Zira HTTPS protokolünün çalışmadığı hiçbir alt alan adınıza hiçbir şekilde erişim sağlanamaz.

SSL ve HTTP/2 İlişkisi

HTTP teknolojisi aslında çoğu webmaster (hatta yazılımcı) tarafından bilinmese de; “HTTP/1.x” olarak ifade edilmelidir. Buradaki “1.x” ifadesi; HTTP’nin sürümüdür. Bu açıklamadan anlayacağınız üzere “HTTP/2” aslında “2.0” sürüm anlamına gelmektedir.

2012 yılında geliştirilmeye başlanan ve 2015 yılından beri kullanılabilen bu teknoloji; aslında sitelerin daha hızlı açılmasını hedeflemektedir. Testler de göstermektedir ki; HTTP/2 protokolünü kullanan siteler, http protokolü kullanan sitelere göre %20 – %30 arasında daha hızlı açılmaktadır.

Peki, “nasıl olur da HTTP/2 protokolü kullanan siteler daha hızlı açılır?” Aslında bu sorunun cevabı oldukça basittir. Bir web sitesini ziyaret ettiğinizde; bulunduğunuz sayfadaki yazı, resim, video, ses dosyası, Java kodları gibi unsurların ayrı ayrı bir erişim adresi vardır. Örneğin, Google Adsense ile para kazanma konusunda yazdığımız BU yazıda; yazının girişinde bulunan fotoğraf BU adreste barındırılmaktadır. Yani tarayıcıya sayfa linkini yazmak yerine, fotoğrafın linkini yazarsanız; direk olarak salt o fotoğrafın görüntüleneceği sayfaya gidersiniz. HTTP/1 protokolünde sayfada bulunan her fotoğraf, resim, ses dosyasına erişebilmek için; her adrese dair farklı bir istek gönderilmesi ve oturum açılması gerekir. Sayfadan çıktığınızda da bu oturumların kapatılması gerekmektedir. Hali ile de bu işlemler bir miktar vakit almaktadır. HTTP/2 protokolünde ise, sunucu ile browser arasında tek bir bağlantı kullanılır ve bütün veri transferi bu bağlantıdan yapılır.

Sitenizin HTTP/2 protokolünde çalışabilmesi için; hem siteyi barındırdığınız sunucunun, hem de ziyaretçinin kullandığı internet tarayıcısının HTTP/2 desteklemesi gerekmektedir. Chorme, Internet Explorer, Microsoft Edge, Firefox ve Opera tarafından bu protokol desteklenmektedir. Ayrıca mobil tarayıcılarda da Chorme’un Android sürümünün son versiyonu HTTPS/2 protokolünü destekler. Sunucunuzun HTTP/2 destekleyip, desteklemediğini ise BURAYA tıklayarak öğrenebilirsiniz.

HTTP/1 ve HTTP/2’yi kısaca açıkladık. HTTP/2’nin SSL ile ilintisine gelince; HTTP/2 protokolü kullanmak için SSL protokolü kullanmak mecburi değildir. Fakat HTTP/2 teknolojisi tıpkı ilk versiyonda olduğu gibi SSL protokolünü desteklemektedir.

TLS

İngilizce “Transport Layer Security” teriminin baş harflerinin kısaltılması ile oluşturulan TLS; dilimize Taşıma Katmanı Güvenliği olarak çevrilebilir.

TLS için SSL adlı teknolojinin daha gelişmiş hali demek en doğru açıklama olacaktır. SSL teknolojisinin bazı yerlerde yetersiz kalması nedeni ile geliştirilen TLS; aslında şu an kullanılan ve SSL altında satılan teknolojinin yerine geçmiştir. SSL protokolünde var olan güvenlik açıklarının neredeyse tamamı TLS’de giderilmiştir.

Sunucu ayarlarınızdan kullandığınız SSL sertifikasının sürümünü devre dışı bırakarak TLS kullanmanız mümkündür. Eğer Niobeweb’den hizmet almakta iseniz, teknik ekibimiz bu konuda size yardımcı olacaktır.

SSL Nasıl Çalışır?

SSL’in çalışma mantığı oldukça basittir. Bu basit teknolojiyi karmaşık hale gelmeden anlatmaya çalışalım.

SSL’i iki adet anahtarı olan bir kilide benzetebilirsiniz. Web sitenize SSL sertifikası kurduğunuzda, aslında bir anlamda kilit vurmuş olursunuz. Anahtarlardan biri sunucunuzdadır ve kilitlemek için kullanılır. Diğer anahtar ise tarayıcı kısmındadır ve ziyaretçilerin kilidi açması için kullanılır. Sitenizi ziyaret eden kişiler, tarayıcıdaki anahtarı kullanarak kilidi açar ve tüm veriyi bu kilitli alandan şifreli olarak gönderir. Ayrıca alınan veriler de bu kilitli alandan ziyaretçiye iletilir.

Oldukça karmaşık şekilde anlatılan bu teknolojinin aslında yaptığı tek şey; şifreli bir alanda, şifreli bilgi transferi yapmaktır.

Hangi Tarayıcılar SSL Protokolünü Desteklemektedir?

Bir SSL sertifikası edinmek için para ödemek zorunda olunmaması ve SSL sertifikaların SEO’ya olumlu etkileri nedeni ile SSL sertifikası kullanmayan web sitesi nerede ise kalmamıştır. Bu sebeple, piyasada var olmak isteyen web tarayıcılarının tamamı SSL protokolünü desteklemektedir.

Chorme, Internet Expoler, Yandex Browser, Firefox, Opera, Vivaldi, Safari gibi birçok tarayıcının son sürümleri SSL sertifikasını desteklemektedir. SSL protokolünü desteklemeyen tarayıcı neredeyse yok gibidir.

SSL’in Tarihçesi ve Gelişimi

SSL protokolü; 1994 yılında internet dünyasına giriş yapmıştır. 1995 yılından günümüze kadar geçirdiği teknolojik evrimi aşağıda kronolojik sıra ile aktarıyoruz.

1994

SSL 1.0 sürümü, Netscape isimli teknoloji firması tarafından icat edilip piyasaya sürüldü.

1995

SSLv2 (ikinci versiyon) olarak adlandırılan sürüm, Netscape tarafından sanal mağazalarda kullanılmak üzere geliştirildi. Ayrıca Microsoft; “PTC 1.0” ile hem e-ticaret siteleri için yayınlanan SSL’in, hem de SSL 1.0’ın güvenlik açıklarını kapattı.

Aynı sene SSLv3 sürümü ile güvenlik zafiyetlerinin çok büyük bir kısmı giderilerek, daha stabil çalışması sağlandı ve tercih edilebilir hale getirildi.

1999

1995 ile 1999 yılları arasında çok ciddi revizyonlar yaşanmayan SSL teknolojisinde, 1999 yılında Microsoft yeniden sahneye çıktı. “TLS 1.0” sürümü ile TLS’yi web dünyasına kazandıran Microsoft’un bu icadı SSLv3 kadar stabil çalışmakta idi.

2006

Takvimler 2006 yılını gösterirken, 7 yıllık bir aradan sonra, TLS 1.1 sürümü piyasaya sürüldü.

2007

EV SSL sertifikası ilk kez piyasaya sürüldü.

2008

TLS 1.2 sürümü kullanıma sunuldu. Fakat bu sürüm TLS’nin diğer iki sürümü kadar ilgi görmedi.

2011

SSLv2 piyasada tercih edilmemeye başladı.

2012

HSTS standardizasyonu resmen piyasaya sürüldü.

2013

TLS 1.3 versiyonu için geliştirmelerin başlandığı internet kamuoyuna duyuruldu.

2015

SSLv3’e verilen geliştirme desteği durduruldu. Yine bu sene Let’s Encrypt ücretsiz SSL sertifikası kullanmak mümkün oldu.

2016

Google’ın resmi bloğunda yapılan açıklamada, tüm Google sunucuların HSTS kullanmaya başladığı ilan edildi. Tüm web sitesi sahiplerinin SSL sertifikası kullanması yönünde çağrıda bulunuldu. Firefox tarafından da “İnternette var olan tüm web sitelerinin yarısı SSL kullanıyor” açıklaması yapıldı.

2018

2013 yılında yapılan TLS 1.3 versiyonu geliştirme çalışmasını bittiği ilan edildi. 5 yıl süren bu çalışma sonucunda internet dünyası TLS 1.3 versiyonunu kullanmaya başladı.

Bu yazımızı bitirdiğinize göre, SSL ve TLS protokolü konusunda ayrıntılı bilgi sahibi oldunuz. Blogumuzu ziyaret etmeye devam ederek, web teknolojileri hakkında bilgi edinmeye devam edebilirsiniz.