kararname

SSL sertifikası nedir ve neden tehlikelidir? SSL sertifikası - işletmeler için eksiksiz bir rehber SSL nedir

08.01.2021

SSL sertifikaları hakkında zaten birçok makale yazıldı, ancak özellikle sitelerini ağda açmaya karar verenlerin sayısı sürekli arttığı için bunlara olan ilgi azalmıyor. Bu makale özellikle SSL sertifikasının ne olduğunu, sitenizde neden kullanıldığını, hangi sertifika seçeneklerinin bulunduğunu ve sitenize sertifika yüklerken kesinlikle nelere dikkat etmeniz gerektiğini öğrenmek isteyenler içindir.

SSL sertifikası nedir?

SSL sertifikası, verilerin SSL protokolü üzerinden iletilebilmesi için bir siteye yüklenen özel bir sertifikadır. SSL, Güvenli Yuva Seviyesi anlamına gelen Güvenli Yuva Katmanı anlamına gelir. Bu protokol, siteyi barındıran sunucu ile kullanıcının tarayıcısı arasında güvenli veri aktarımını sağlar.

SSL sertifikaları, web sitelerini adına düzenledikleri kişi veya kuruluşlar hakkında bilgi içerir.

Sitede bir SSL sertifikasının olup olmadığını, tarayıcıda site adresinin bulunduğu satıra bakarak kolayca kontrol edebilirsiniz. Adres çubuğunda (site sahibi tarafından seçilen sertifikaya bağlı olarak) şunları göreceksiniz:

  • kapalı bir kilit simgesi, üzerine tıkladığınızda "Güvenli bağlantı" ibaresini göreceksiniz ve ayrıca yüklenen sertifika hakkında daha ayrıntılı bilgi alabilirsiniz;
  • veya kilit simgesinin yanında sitenin sahibi olan şirketin adı da belirtilecektir.

Sitede SSL sertifikası kurulu değilse adresin önüne “Güvenli değil” yazacaktır.

HTTP ve HTTPS arasındaki fark

HTTP, bir ağ üzerinden veri aktarmak için kullanılan bir uygulama katmanı protokolüdür. Bu protokol, istemciden sunucuya istek göndermeyi ve bu isteklere sunucudan yanıt almayı mümkün kılar.

HTTPS'ye gelince, başka bir ayrı protokol değil, HTTP protokolünün bir uzantısıdır. Bu, kısaltmaların deşifre edilmesiyle zaten anlaşılabilir:


Veriler HTTP aracılığıyla korumasız bir biçimde iletilirse, HTTPS bunlara kriptografik koruma sağlar, yani verileri yetkisiz erişime karşı korur.

Bir web sitesinin HTTPS kullanması neden önemlidir? Çünkü hiç kimse yetkilendirme verilerinin (sosyal ağlardan bahsediyorsak) veya ödeme verilerinin (çevrimiçi mağazalardan bahsediyorsak) kötü niyetli kişilerin eline geçmesini istemez.

Bir web sitesi için neden bir SSL sertifikasına ihtiyacım var?

Yukarıda da belirtildiği gibi kullanıcının bilgisayarı ile site arasında aktarılan verilerin üçüncü şahısların eline geçmemesi oldukça önemlidir. Her şeyden önce, finansal işlemlerle ilgili verilerden bahsediyoruz: para işlemleri, banka kartları vb.

Bu nedenle "Site için neden bir SSL sertifikasına ihtiyacım var" sorusunun cevabı - istemci tarayıcı ile sunucu arasında güvenli bir bağlantı sağlamak için bir SSL sertifikası kullanılır.

Ancak sertifikalardan daha fazla bahsetmeden önce, SSL'nin ne olduğu hakkında birkaç söz söylememiz gerekiyor.

Daha önce de belirtildiği gibi SSL, “Güvenli Yuva Katmanı” (Güvenli Yuva Katmanı) anlamına gelir. Kullanıcının bilgisayarı ile web sitesi arasında iletilen verileri şifrelemenizi sağlayan bu protokoldür. Ve bu özel protokolün çalışması için sitede bir SSL sertifikası kurulu olmalıdır.

Yani özetlemek gerekirse, kullanıcının bilgisayarı ile sitenin bulunduğu sunucu arasında güvenli veri aktarımı için bir sertifika gereklidir.

Bir sonraki soru, sitenize bir SSL sertifikası yüklemek gerçekten gerekli mi? Tek bir cevap var - evet, bu sitenin şu anda kesinlikle gerekli olan bir unsuru.

Geçmişte, SSL sertifikaları en çok e-ticaret sitelerinde (çevrimiçi mağazalar gibi) ve hassas kullanıcı verilerini kullanan diğer sitelerde kullanılıyordu. Ancak artık ağ güvenliğine özel önem verilmesinin zamanı geldi, bu nedenle SSL sertifikası olmayan herhangi bir site, kullanıcılar için potansiyel olarak tehlikeli olarak algılanıyor.

SSL Sertifikası Türleri

SSL sertifikaları temel olarak iki kritere göre ayrılabilir - onları veren şirketlere (projelere) göre ve sertifikaların türüne göre.

İlk kriterle başlayalım. Sertifika veren birkaç şirket var, şu anda en ünlülerinden bazılarına odaklanacağız - bunlar Sectigo ve Let's Encrypt.

Let's Encrypt, ücretsiz dağıtımı nedeniyle popülerlik kazandı. Ve Sectigo, birkaç türde ücretli SSL sertifikası verir. Sectigo'dan alınan sertifika örneğini kullanarak, ne tür SSL sertifikaları olduğuna bakacağız:

  • Sectigo Pozitif SSL- Bu, bir SSL sertifikasının en temel ve ucuz versiyonudur. Bu nedenle, aynı zamanda en yaygın olanıdır. Ek olarak, bu sertifika belgeler açısından verilmesi en kolay olanıdır - kullanıcının yalnızca alan adının sahipliğini onaylaması gerekir, başka hiçbir belge gerekmez. Süre açısından, sertifika verme süreci de oldukça hızlıdır - Sectigo Positive SSL'yi kurmak istiyorsanız, yalnızca birkaç saate ihtiyacınız olacaktır.
  • Sectigo Olumlu Joker Karakter SSL- sadece alanın kendisine değil, aynı zamanda bu adresin tüm alt alanlarına da yüklenebilen bir sertifika. Bu, her alt alan için ayrı bir sertifika satın almaktan çok daha karlı ve uygundur.
  • Sectigo EV SSL- genişletilmiş doğrulama sertifikası. Önceki seçeneklerden farklıdır, çünkü sipariş edildiğinde site sahibinin (şirket veya tüzel kişi) kontrol edilmesi ve onaylanması, bunun sertifika yetkilileri tarafından yapılması ve bu nedenle bu sertifikanın verilmesi daha fazla zaman alır - birkaç gün. Site adresinden önce firma adının görüldüğü sitelerde duran bu sertifika türüdür.

Bir web sitesi bir SSL sertifikası ile saldırıya uğrayabilir mi?

Güvenli veri aktarımını amaçlayanlar, sitenin kendisinin bilgisayar korsanlığına karşı korunmasını etkilemezler. Site için SSL sertifikası ne verir - kullanıcıdan siteye gelen ve geri dönen bilgiler korunacaktır, ancak sitenin güvenliği konusunda ayrı ayrı çalışmanız gerekir. Web sitesi koruması hakkında makaleyi okuyabilirsiniz "Sitenizi saldırıya karşı nasıl korursunuz? ».

Sertifikalar neden tehlikelidir?

Bir SSL sertifikasının ne olduğunu yeni anlamaya başlayan kullanıcılar, muhtemelen bir SSL sertifikası kurmanın sitenin kendisini bir şekilde olumsuz etkileyip etkilemediğini bilmek isteyeceklerdir.

Genel olarak cevap verebilirsiniz, o zaman hayır, SSL sertifikası site için büyük bir artıdır, hatta bunun bir zorunluluk olduğu bile söylenebilir. Ancak, yükledikten sonra karşılaşabileceğiniz bir nüans vardır ve bu, karışık içerik (veya “karışık içerik”) sorunudur.

Bu durum, sayfa HTTPS üzerinden sunulduğunda, ancak içeriğin bir kısmı (resimler gibi) hala HTTP üzerinden gönderildiğinde ortaya çıkar. Bu durumda, bağlantı tamamen değil, yalnızca kısmen şifrelenmiş olarak kabul edilecektir, çünkü HTTP yoluyla iletilen her şey ele geçirilebilir.

Tüm web siteleri, bilgi almak ve iletmek için varsayılan olarak HTTP protokolünü kullanır. Her kullanıcının site adresini ziyaret ederken gördüğü HTML sayfalarını görüntülemek için kullanılır. HTTP'nin özelliği, ziyaretçinin siteyi daha önce ziyaret edip etmediğine dair herhangi bir bilgi saklamamasıdır. Bu, sitenin yüklenmesini hızlandırır, ancak neredeyse hiç güvenlik yoktur. Sonuç HTTPS (Güvenli Köprü Metni Aktarım Protokolü) idi.

"Güvenli HTTP", gizli bilgilerin - şifreler, kişisel veriler, banka bilgileri - değiş tokuşu için özel olarak geliştirilmiştir. Bu tür veriler, üçüncü şahısların müdahale etmemesi veya siteyi hacklememesi için güvenli bir kanal üzerinden iletilmelidir.

HTTP ve HTTPS çok benzer olduğu için kullanıcı farkı hissetmez. Ancak HTTPS, veri şifreleme için özel bir protokol olan SSL kullanan ek bir koruma katmanına sahiptir. HTTPS, verilerin eksiksiz ve kayıpsız olarak iletilmesini sağlamaktan sorumludur. SSL protokolü, iletilen bilgileri işler ve davetsiz misafirlerden şifreler. "Birlikte" çalışan HTTPS ve SSL, verileri korsanlığa ve sızıntıya karşı güvenilir bir şekilde korur. Google, bu önemli farkı HTTP'den alır ve aramada bir site görüntülediğinde bunu doğrular.

Site bir SSL sertifikası ile korunmuyorsa, Google Chrome tarayıcı satırında, adresin yanında “Korunmuyor” işareti görünecektir. Sitedeki hizmetler için ödeme yapmanın, kişisel verileri formlar aracılığıyla göndermenin ve hatta sosyal ağlarda beğenip yeniden yayınlamanın güvenli olmadığı konusunda kullanıcıyı uyarır.

Google ne istiyor?

Google, kullanıcılarını önemser ve bir müşterinin bir arama sonucunda ulaştığı sitelerin güvenli ve güvenli bir şekilde kullanılmasını sağlamak ister. Bunun için arama motoru siteden özel bir SSL sertifikası ister. Müşteri ile site arasında güvenilir bir taraf olarak hareket eden özel kuruluşlarla iletişime geçerek alabilirsiniz. Bir sertifikanın varlığı, aramada bir sitenin verilmesini ciddi şekilde etkiler ve şirket, kullanıcıların kişisel verilerini işlemese bile onu almanız gerekir.

Site bir SSL sertifikası ile korunmuyorsa, yavaş yavaş Google aramadaki konumunu kaybetmeye başlayacaktır. Bir HTTPS protokolünün olmaması, kullanıcılara ve arama motoruna veri güvenliğinin risk altında olacağını söyler, bu da sitenin arama sonuçlarının ilk sayfalarında görüntülenemeyeceği ve gezinilemeyeceği anlamına gelir. Ayrıca Google Chrome tarayıcı satırında adresin yanında "Korunmuyor" işareti görünecektir. Kullanıcıyı sitedeki hizmetler için ödeme yapmanın, kişisel verileri formlar aracılığıyla göndermenin ve hatta sosyal ağlarda beğenip yeniden yayınlamanın güvenli olmadığı konusunda uyaracaktır.

Ne tür siteler SSL'ye ihtiyaç duyar?

  • çevrimiçi mağazalar;
  • kişisel hesabı olan siteler;
  • kişileri vb. toplayan iletişim formlarının bulunduğu siteler;
  • kısacası herkes.

SSL sertifikası olmaması siteyi nasıl etkiler?

Çok olumsuz. Aslında, web sitesi sertifikası, internetteki "pasaportu" dur. Bir vatandaş pasaportsuz tamamen var olabilir mi?

  • Google, arama sonuçlarında SSL sertifikası olmayan siteleri ciddi şekilde düşürür. Site ne kadar büyük olursa olsun, ziyaretçilerle güvenli iletişimin olmaması arama devi tarafından ciddi bir eksiklik olarak görülüyor ve bu nedenle sitenin TOP'da tanıtılması imkansız. Aramanın ilk sayfalarından ayrılacaktır.
  • Şirketiniz güvenilmez kabul edilecektir."Korunmuyor" ibaresi, potansiyel müşterilerin işinizden veya projenizden şüphelenmesine neden olacak ve geri bildirim formları aracılığıyla kişisel verilerin gönderilmesi talebini olumsuz olarak algılayacaktır.
  • Tüm büyük ve popüler hizmetler, örneğin Yandex Checkout gibi HTTPS'siz sitelerle çalışmayı reddeder.
  • Site şüpheli görünecek. Veri aktarımı için güvenli bir kanalın olmaması, mesajın teslim sürecinde değişmediğini, kullanıcının gerçek olduğunu ve müşterinin yönetici ile iletişiminin gizli olduğunu garanti etmez.
  • İtibar zedelenmesi getirecek- Kullanıcılar güvenli olmayan bir siteyi geçersiz, şirketi ise hayali veya güvenilmez olarak değerlendirecektir. Bir SSL sertifikası, işletmenin yasal olduğunu, şirketin gerçekten var olduğunu ve müşterilerle doğru bir şekilde etkileşim kurduğunu onaylar.

Ne yapalım?

Bir SSL sertifikası yükleyin.

WebCanape'in müşterileri, şirketin ve sitenin itibarını korumaya yardımcı olacak SSL sertifikaları yükleyebilir.

Yeni bir site siparişi verirken, alan adı için ödeme yaparken ve WebCanape üzerinden barındırma yaparken, ilk yıl boyunca bir SSL sertifikasının kurulumu ve bakımı ücretsizdir.

Nasıl çalışır?

SSL sertifikası, bir kullanıcı ile bir web sitesi arasındaki verileri doğrulayan ve şifreleyen özel bir iletişim protokolüdür. Saldırganlar kişisel bilgileri, ödeme bilgilerini ve diğer verileri ele geçirmeyecek veya çalmayacaktır - bilgilerin şifresi yalnızca her kullanıcı için benzersiz olan özel olarak oluşturulmuş bir anahtar kullanılarak çözülebilir.

Üç tür sertifika vardır: "başlangıç", "iş" ve "ileri". Onlar neler?

  • DV sertifikaları(DomainSSL) - bireyler ve kuruluşlar tarafından kullanılabilir, bir alan adının haklarını onaylar. En basit ve en ucuz.
  • OV sertifikaları(OrganizationSSL) - alan adının ve sitenin sahibi olan şirketin varlığını onaylayın.
  • EV sertifikaları(ExtendedSSL) - kullanıcıların maksimum güvenine neden olan en prestijli sertifika türü. Böyle bir sertifikaya sahip bir siteyi açtığınızda adres çubuğu yeşile döner, mağaza veya kuruluşun adı imzalanır. Bu, şirketi rakiplerinden ayırır ve işin güvenilirliği konusunda hiçbir şüphe bırakmaz.

SSL sertifikalarının ek seçeneklerine dikkat edin

Sertifikaya ek olarak "güven mührü" veya "güven logosu" bulunmaktadır. Bu, sitenin doğrulandığını gösteren CA logosunun bulunduğu bir resimdir. Sitenin doğrulandığını ve güvenli bir şekilde korunduğunu göstermek için sertifika ile birlikte konur. İki tip var:

  • Statik baskı. Düşük maliyetli sertifikalar için, sertifika yetkilisi hakkındaki bilgileri görüntüler. Resmin üzerine tıklandığında, şirketin test edildiği merkezin web sitesi açılıyor.
  • Dinamik baskı. Fareyle üzerine gelindiğinde, şirket ve SSL sertifikası hakkında ayrıntıları içeren bir pencere açılır.

Bazı sertifikalar, bir sitenin etki alanını korumaktan daha fazlasını yapar. Örneğin:

  • WC (WildCard)— etki alanını ve alt etki alanlarını üçüncü seviyeye kadar korur (smolensk.shop.test.ru);
  • MD (çoklu alan adı, SAN)— 100 adede kadar alanı korur (shop.ru, domain.ru, smolensk.ru);
  • IDN (Uluslararası Etki Alanı Adı)- Kiril adresleri (test.rf) dahil olmak üzere ulusal alan adlarının doğru şekilde korunması için;
  • SGC (Sunucu Kapılı Kriptografi)- Eski tarayıcıları kullanan istemcilerin güvenliğini artırmaya yardımcı olur. Bu, örneğin devlet kurumlarının web siteleri için özellikle önemlidir.

İlk bakışta karmaşık görünüyor, bu yüzden her şeyin yolunda olması için size ne alacağınızı daha ayrıntılı olarak anlatacağız.

Bir web sitesi için SSL sertifikası seçme algoritması

Adım 1. Sitenin özelliklerini belirleyin

  • 1 Latin etki alanı ve alt etki alanı www ise, hemen hemen her sertifikayı seçin
  • Alt alan korumasına ihtiyacınız varsa, Wildcard olarak işaretlenmiş bir sertifika seçin
  • Çok sayıda siteniz varsa ve hepsini tek bir sertifikayla güvence altına almak istiyorsanız SAN veya Multi-Domain sertifikaları doğru seçimdir.
  • Kiril alan adınız varsa, bir IDN sertifikası alın
  • Alt alan adlarına sahip bir Kiril alan olması durumunda — Wildcard+IDN

Adım 2. Alan adı bir gerçek veya tüzel kişi adına mı kayıtlı?

  • Etki alanı bir kişiye kayıtlıdır - yalnızca bir DV sertifikası (giriş seviyesi) satın alabilirsiniz.
  • Alan adı bir tüzel kişiye kayıtlıdır - herhangi bir sertifika satın alın

Adım 3. Site ne kadar büyük?

  • Proje küçükse ve site bilgi amaçlıysa, ucuz ve basite ihtiyacınız var - arama motorları ve güvenli bağlantı için uygun bir DV sertifikası seçin
  • Bir devlet kurumunun çevrimiçi mağazası veya bir kuruluşun kurumsal web sitesi söz konusu olduğunda, işletme düzeyinde bir SSL sertifikası seçmeniz önerilir. Sizi rakiplerinizden ayıracak, müşterilerle güvenli işlemler gerçekleştirecek ve verileri güvenilir bir şekilde koruyacaktır.
  • Büyük bir çevrimiçi mağaza, finans kurumları, kurumsal portallar ve pazardaki onlarca rakip? Genişletilmiş SSL sertifikası gerekli

WebCanape'te satın alınabilecek sertifikalar

  1. GlobalSign AlphaSSL. Çok hızlı yayınlanır, bireyler ve kuruluşlar tarafından kullanılabilir, alt alan adlarını korur, ancak Kiril adreslerini desteklemez. Tüm tarayıcılar ve mobil cihazlarla uyumludur, ücretsiz AlphaSSL rozetine sahiptir. Teknik destek olmadan. Basit projeler için harika bir temel.
  2. GlobalSign Etki AlanıSSL'si. Bir etki alanı haklarını onaylayan, İnternette çok popüler bir SSL sertifikası. AplhaSSL'de halihazırda listelenen parametrelere ek olarak, bir alan adı, bir orijinallik simgesi içerir, sonsuz sayıda sunucuya kurulabilir.
  3. GlobalSign OrganizasyonuSSL. Yalnızca tüzel kişiler tarafından kullanılabilir, Kiril adreslerini destekler ve şirketin hem etki alanını hem de yasallığını onaylar. Kuruluşun adı rozette ve sertifikada görünür.
  4. GlobalSign GenişletilmişSSL. En yüksek koruma sınıfı. Siteye girerken adres çubuğu yeşil renkle vurgulanır, kuruluşun adı görüntülenir. Müşterilerin ve site ziyaretçilerinin güvenini ciddi şekilde arttırır ve bunun sonucunda mal ve hizmet satışları artacaktır. Sadece bir tüzel kişiye verilir.
  5. Comodo PozitifSSL. Piyasadaki en ucuz SSL sertifikalarından biri, alan adı sahipliği belgesi gerekmez, güvenlik logosu ücretsizdir. Kiril alfabesini destekler. Yalnızca temel projeler için uygundur.
  6. Comodo Temel SSL. Uzun bir şifreleme anahtarı (2048 bit'e kadar) ve bir Comodo sertifika mührü ile Comodo PositiveSSL'nin neredeyse eksiksiz analoğu. Yalnızca temel projeler için uygundur.

İlk aşamada, Reg.ru'dan GlobalSign DomainSSL sertifikasını yüklemenizi öneririz. Hosting müşterimizseniz ve WebCanape aracılığıyla bir alan adı satın aldıysanız, sertifika ilk yıl için hediye olarak verilir, ardından yenilemesi yaklaşık 2500 rubleye mal olur. yıl içinde. Artı barındırmada yeniden yükleme - 3000 ruble. Ancak bu sertifika Kiril alan adlarıyla çalışmaz ve üçüncü düzey alan adlarını korumaz.

kriptografik protokol SSL(Güvenli Yuva Katmanı), 1996 yılında Netscape tarafından geliştirildi ve kısa sürede İnternet üzerinden güvenli iletişim sağlamak için en popüler yöntem haline geldi. SSL protokolü çoğu tarayıcıya ve web sunucusuna entegre edilmiştir. 2014 yılında ABD hükümeti, TLS protokolü ile değiştirilen SSL protokolünün (3.0) mevcut sürümünde bir güvenlik açığı bildirdi.

Güvenli veri alışverişi, SSL protokolünün iki unsuru tarafından sağlanır:

  • müşteri kimlik doğrulaması;
  • veri şifreleme.

SSL, gizlilik için simetrik bir şifre, değişim anahtarı kimlik doğrulaması için asimetrik kriptografi ve mesaj bütünlüğü için mesaj doğrulama kodları kullanır.

Bir SSL bağlantısı uygulamak için, sunucuya belirli bir İnternet etki alanına "bağlı" bir dijital sertifika yüklemeniz gerekir. CA, kuruluşun kimliğini doğrulamak için kontroller gerçekleştirir ve ardından bu kuruluş/site için bir dijital sertifika oluşturur ve imzalar. Bir dijital SSL sertifikası, yalnızca kimliğinin doğrulandığı WEB sunucusu etki alanına kurulmalıdır; bu, İnternet kullanıcılarına WEB sunucusunun temiz olduğuna dair gerekli garantileri verir.

Sertifika Yetkilileri

SSL bağlantılarının hikayesine devam etmeden önce sertifika yetkilileri hakkında birkaç söz söylemek gerekiyor.

CA (sertifika yetkilisi), dijital sertifika verme yetkisine sahip bir kuruluştur. Bu kuruluş, bir sertifika vermeden önce CSR'deki sertifika talebi verilerini doğrular. İçlerinde bulunan bilgilerde ve buna bağlı olarak fiyatta farklılık gösteren birkaç tür dijital sertifika vardır. En basit sertifikalarda, CA yalnızca alan adının eşleşip eşleşmediğini kontrol eder; en pahalısında ise sertifikayı talep eden kuruluş tarafından bir takım kontroller yapılır.

Kendinden imzalı bir sertifika ile bir sertifika yetkilisi tarafından verilen ücretli bir sertifika arasındaki fark, bir sitede (sunucuda) böyle bir sertifika kullanıldığında, tarayıcının bu sitenin kullanmadığına dair bir uyarı içeren bir sayfa açmasından kaynaklanır. güvenli bir SSL bağlantısı. Tarayıcı sizden siteyi terk etmenizi veya göz atmaya devam etmenizi isteyecektir, ancak büyük bir dikkatle; Karar site ziyaretçisine aittir.

Ve böylece, bir SSL bağlantısı kurarken, yani. https://... ile başlayan bir sayfayı açarken, tarayıcının sunucunun dijital sertifikasını doğrulaması gerekir. Bu doğrulama, tarayıcı deposunda bulunan güvenilir sertifikalar kullanılarak gerçekleştirilir. Aşağıdaki ekran görüntüsü, Google Chrome tarayıcı ayarları sayfasının "Güvenilen Kök Sertifika Yetkilileri" sekmesini göstermektedir. Bu sekmeyi açmak için şu yolu izlemeniz gerekir: Chrome Ayarları -> Gelişmiş -> Sertifikaları yapılandırın. Chrome'da yüklü 45'ten fazla kök sertifika vardır. Bu mağazada tarayıcı, izninizle güvendiğiniz sertifikaları da yerleştirir.

Çok sayıda farklı sertifika yetkilisi vardır. En popüler:

  • Comodo'nun genel merkezi Jersey City, New Jersey, ABD'dedir.
  • Geotrust - Genel Müdürlük Mountain View, Kaliforniya, ABD
  • Symantec, Geotrust'u da içeren eski bir Verisign'dır.
  • Thawte - 1995'te kuruldu, 1999'da Verisign'a satıldı.
  • Trustwave'in genel merkezi Chicago, Illinois, ABD'dedir.

Bu liste uzayıp gidebilir. Tarayıcınızda yüklü olan kök merkezlerin dijital sertifikalarını bağımsız olarak görüntüleyebilirsiniz.

bir notta
Bazen, sunucuda bir SSL sertifikası kurulu olmasına rağmen tarayıcının uyarı verdiği bir durum ortaya çıkar. Bu durum, kök sertifikanın, sertifikayı veren otoritenin yokluğunda veya kök sertifikanın süresinin dolmuş olmasından kaynaklanır. Tarayıcı güncellendiğinde tarayıcılardaki kök sertifikaların da güncellendiğini unutmayın.

CA'lar şu anda 2048 bit RSA anahtarları kullanıyor. Bu nedenle, tüm sertifikaların doğru çalışması için kök sertifikaların kontrol edilmesi gerekir. Kök sertifikalar bu gereksinimleri karşılamıyorsa, bu durum bazı tarayıcılar tarafından tanınma konusunda sorunlara neden olabilir.

Katmanlı SSL Ortamı

Gerekli anlayış açısından, sertifika yetkilileri ve onlar tarafından imzalanan dijital sertifikaları ele aldıktan sonra, SSL bağlantısının açıklamasına geri dönelim.

SSL'nin ana avantajı, SSL protokolünün üzerinde çalışan uygulama (üst katman) protokolünden bağımsız olmasıdır. Yani, SSL protokolü şifreleme algoritması ve oturum anahtarı üzerinde anlaşır ve uygulama mesajın ilk baytını almadan veya iletmeden önce sunucunun kimliğini doğrular.

Yapısal olarak SSL protokolü, istemciler tarafından kullanılan protokol (HTTP, FTP, IMAP, LDAP, Telnet, vb.) ile TCP/IP aktarım protokolü arasında yer alır. Böylece SSL, taşıma katmanına koruma ve veri aktarımı sağlar. SSL'nin çok katmanlı yapısı nedeniyle, protokol, istemci programlarının farklı protokollerini destekleyebilir.

SSL protokolü şartlı olarak iki seviyeye ayrılabilir. İlk katman bağlantı onayı sağlar ve üç alt protokol içerir: el sıkışma protokolü, şifre spesifikasyon değişikliği protokolü ve uyarı protokolü. İkinci seviye, kayıt protokolünü içerir. Aşağıdaki şekil, SSL katmanlarının ilişki yapısını şematik olarak göstermektedir.


Bağlantı anlaşması katmanı, protokolün üç bölümünü içerir:

1. Bağlantı onayı
istemci (tarayıcı) ve sunucu arasındaki oturum verilerini müzakere etmek için kullanılır. Oturum aşağıdaki verileri içerir:

  • oturum kimlik numarası;
  • her iki tarafın sertifikaları;
  • kullanılan şifreleme algoritmasının parametreleri;
  • bilgi sıkıştırma algoritması;
  • simetrik şifreleme anahtarı.

El sıkışma katmanı, çeşitli güvenlik özellikleri sağlar. Böylece bir veri değişim zinciri oluşturur ve şifreleme, karma ve sıkıştırma algoritmaları üzerinde anlaşır. Bağlantı anlaşması katmanı, iletişim katılımcılarının gerçekliğini belirlemek için bir X.509 sertifikası kullanır.

Böylece, ilk adımda, bir bağlantı kurulurken taraflar (tarayıcı ve sunucu), tarafların her biri tarafından desteklenen olası şifreleme mekanizmaları, kullanılan anahtarın uzunluğu, şifreleme modu ve değişim sertifikaları üzerinde anlaşırlar. Bu ilk iletişime denir tokalaşma. Sırasında tokalaşma yalnızca bir SSL oturumu için geçerli olan ve oturum devre dışı kaldığında sona eren bir simetrik anahtar oluşturulur.

2. Şifreleme ayarlarını değiştirin
İstemci ile sunucu arasındaki verileri şifrelemek için kullanılan anahtarın parametrelerini tanımlamak için gereklidir. Anahtar parametreleri, şifreleme anahtarları oluşturmak için kullanılan bilgileri temsil eder. Protokolün bu bölümü, sunucunun anahtar kümesinin değiştiğini söylediği tek bir mesajdan oluşur. Bundan sonra, bağlantı onayı seviyesinde tarafların değiş tokuş ettiği bilgilerden anahtar çıkarılır.

3. Uyarı
Bir uyarı mesajı, etkileşim taraflarını bir durum değişikliği veya olası bir hata hakkında bilgilendirir. Hem normal çalışma sırasında hem de bir hata oluştuğunda taraflar arasında değiş tokuş edilen birkaç uyarı mesajı vardır. Tipik olarak, bir bağlantı kapatıldığında, şifresi çözülemeyen geçersiz bir mesaj alındığında veya kullanıcı işlemi iptal ettiğinde bir uyarı gönderilir.

4. Kayıt seviyesi
Kayıt katmanı seviyesindeki protokol verileri alır, şifreler/şifre çözer ve bunları taşıma katmanına iletir. Veriler şifrelenirken, kriptografik algoritmaya uygun boyutta bloklara bölünürler. Bu, bağlantı onay düzeyinde müzakere edilen bilgileri kullanır. Bazı durumlarda veri sıkıştırma (açma) işlemi bu seviyede gerçekleştirilir.

İki tür SSL bağlantısı

SSL bağlantısı iki tür olabilir: basit (tek yönlü) SSL kimlik doğrulaması ve iki yönlü SSL kimlik doğrulaması.

Tek yönlü kimlik doğrulamada, eşleştirilmiş özel anahtarı olan bir sertifika yalnızca sunucuda bulunur. Genel anahtar ile şifrelenen verinin şifresi, sunucudaki özel anahtar ile çözülebilir. Bir sunucuyla bağlantı kuran bir istemci, şifreli bir bağlantı kurmadan önce sertifikasını doğrular. Sertifika doğrulaması şunları içerir:

  • sertifika geçerli mi, yani Sertifikanın süresi doldu mu?
  • sertifika, ana bilgisayar adıyla eşleşir;
  • sertifikayı veren sertifika yetkilisinin istemci/tarayıcı listesindeki mevcudiyeti;
  • sertifikadaki dijital imzanın geçerliliği.

Tek yönlü SSL kimlik doğrulamasında, istemci sunucu tarafından doğrulanmaz. Aşağıdaki şekil, sunucu ile normal bir tarayıcı olabilen istemci arasında güvenli bir SSL bağlantısı kurma sırasını göstermektedir.


Sunucunun kimliği doğrulanırsa, sertifika mesajı güvenilir bir CA'ya giden bir sertifika zinciri sağlamalıdır. Yani, kimliği doğrulanmış sunucu, istemciye sertifika yetkililerinden biri tarafından imzalanmış bir sertifika göndermelidir.

İki yönlü kimlik doğrulamada, aşağıdaki şekilde gösterildiği gibi, her iki taraf (sunucu ve istemci) şifreli bir bağlantı kurarken birbirinin kimliğini doğrulamak için sertifikalar sağlar.


İletilen verilerin şifrelenmesi

Verileri şifrelemenin iki yolu vardır: simetrik ve asimetrik.

simetrik şifreleme
-de simetrikŞifreleme yöntemi, hem şifreleme hem de şifre çözme için aynı anahtarı kullanır. İki taraf simetrik olarak şifrelenmiş mesajları güvenli modda değiş tokuş etmeyi kabul ederse, aynı anahtarlara sahip olmaları gerekir. Simetrik şifreleme ve şifre çözme işlemi asimetrik şifrelemeden daha hızlı olduğundan, simetrik şifreleme genellikle büyük miktarda veriyi şifrelemek için kullanılır. Yaygın olarak kullanılan algoritmalar DES (Veri Şifreleme Standardı), 3-DES (üçlü DES), RC2, RC4 ve AES'dir (Gelişmiş Şifreleme Standardı).

Asimetrik şifreleme
Asimetrik şifreleme bir çift anahtar kullanır: genel/genel (genel) ve özel (özel). CA, ortak anahtarı sahibinin sertifikasına (konu başlığı) yerleştirir. Gizli anahtar kimseye açıklanmamalıdır. Bu tuşlar çift olarak çalışır ve ikinci tuşun zıt işlevlerini yerine getirmek için kullanılır. Örneğin, veri genel anahtarla şifrelenmişse, yalnızca özel anahtarla şifresi çözülebilir. Tersine, veriler özel anahtarla şifrelenmişse, genel anahtarın verilerin şifresini çözmesi gerekir.

Genel ve özel anahtarların ilişkisi, taraflar (sunucu ve istemci) arasında açık anahtarların değiş tokuşuna izin verir;

  • yalnızca sunucunun şifresini çözebileceği şifrelenmiş verileri sunucuya gönderin ve
  • şifresini çözebilecekleri sunucudan şifrelenmiş veriler alırlar.

İki yönlü anahtar değişimi (iki yönlü kimlik doğrulama) durumunda, her iki taraf da hem sunucu hem de istemci olarak hareket eder.

SSL protokolü, sunucunun/istemcinin kimliğini istemciye doğrulamak ve oturum anahtarını belirlemek için asimetrik şifreleme kullanır. Oturum anahtarı, büyük miktarda veriyi şifrelemek için gereklidir (simetrik algoritma). Bu, asimetrik şifreleme (kimlik doğrulama) ile büyük miktarda verinin hızlı simetrik şifrelemesini birleştirir.

En yaygın asimetrik şifreleme algoritması, adını geliştiriciler Rivest, Shamir, Adleman'dan alan RSA'dır.

Protokol, bir istemci ile TCP / IP kullanan bir sunucu arasındaki veri alışverişinin gizliliğini sağlar ve şifreleme için asimetrik bir ortak anahtar algoritması kullanılır. Genel anahtar şifreleme, bir mesajı şifrelemek için kullanılabilen bir genel anahtar ve bir özel anahtar olmak üzere iki anahtar kullanır. Mesajı şifrelemek için genel anahtar kullanılmışsa, şifreyi çözmek için gizli anahtar kullanılmalıdır ve bunun tersi de geçerlidir. Böyle bir durumda, tuşları kullanmanın iki yolu vardır. İlk olarak, gizli anahtarı gizli tutan ve genel anahtarı yayınlayan taraf, karşı taraftan açık anahtarla şifrelenmiş ve kendisinden başka kimsenin okuyamayacağı mesajlar alabilir (sonuçta şifre çözme, yalnızca kendisi tarafından bilinen bir gizli anahtar gerektirir). İkincisi, özel anahtarı kullanarak, özel anahtarın sahibi olan taraf herkesin okuyabileceği şifreli mesajlar oluşturabilir (sonuçta şifre çözme, herkesin kullanabileceği bir genel anahtar gerektirir), ancak aynı zamanda okuyucu bu mesajın doğru olduğundan emin olabilir. gizli anahtarın sahibi olan taraf tarafından yaratılmıştır.

Tanım

SSL protokolü iki alt protokolden oluşur: SSL kayıt protokolü ve el sıkışma protokolü. SSL yazma protokolü, verileri aktarmak için kullanılan formatı tanımlar. SSL protokolü, ilk bağlantı sırasında sunucu ve istemci arasında bir dizi mesaj alışverişi yapmak için SSL kayıt protokolünü kullanan bir el sıkışma içerir. SSL, sunucunun bir SSL sertifikasına sahip olmasını gerektirir.

SSL, 3 ana özelliği olan bir kanal sağlar:

  • kimlik doğrulama Algoritmaya bağlı olarak istemcinin kimliği doğrulanırken sunucunun kimliği her zaman doğrulanır.
  • Bütünlük. Mesajlaşma bir bütünlük kontrolü içerir.
  • Kanal gizliliği. Şifreleme, bir bağlantı kurulduktan sonra kullanılır ve sonraki tüm mesajlar için kullanılır.

SSL protokolünde, tüm veriler bir başlık ve iletilen verilerden oluşan nesne kayıtları biçiminde iletilir. İletim bir başlık ile başlar. Başlık, uzunluk kodunun iki veya üç baytını içerir. Ayrıca, kodun ilk baytındaki yüksek bit bire eşitse, kaydın dolgusu yoktur ve başlığın toplam uzunluğu iki bayttır, aksi takdirde kayıt bir dolgu içerir ve başlığın toplam uzunluğu üç olur. bayt. Kayıt uzunluğu kodu, başlık baytlarının sayısını içermez. 2 baytlık başlık kayıt uzunluğu:

RecLength = ((bayt[ 0 ] & 0x7F )<< 8 ) | byte[ 1 ] ;

Burada bayt ve bayt, alınan birinci ve ikinci baytlardır. 3 bayt başlık kaydı uzunluğu:

RecLength = ((bayt[ 0 ] & 0x3F )<< 8 ) | byte[ 1 ] ; Escape = (byte[ 0 ] & 0x40 ) != 0 ; Padding = byte[ 2 ] ;

Burada Dolgu, bir blok şifre kullanırken kayıt uzunluğunu şifre blok boyutunun bir katı yapmak için gönderen tarafından düz metne eklenen bayt sayısını belirtir.
Artık "doldurulmuş" kaydın göndericisi, mevcut verilerden sonra bir yer tutucu ekler ve hepsini şifreler. Ayrıca, yer tutucunun içeriği herhangi bir rol oynamaz. Aktarılan veri miktarının bilinmesi nedeniyle, Başlık Dolgu dikkate alınarak oluşturulabilir.
Buna karşılık, kaydın alıcısı tüm veri alanlarının şifresini çözer ve eksiksiz orijinal bilgileri alır. Ardından bilinen Dolgudan RecLength değeri hesaplanır ve veri alanından dolgu kaldırılır. SSL kaydı verileri 3 bileşenden oluşur:

  • MAC_Data - (Mesaj Kimlik Doğrulama Kodu) - mesaj doğrulama kodu
  • Padding_Data - doldurma verileri
  • Actual_Data[N] - gerçek veriler

Kayıtlar açık metin olarak gönderildiğinde, herhangi bir şifre kullanılmadığı açıktır. O zaman Padding_Data ve MAC_Data'nın uzunluğu sıfırdır. Şifreleme kullanılırken, Padding_Data şifrenin blok boyutuna bağlıdır ve MAC_Data şifre seçimine bağlıdır. MAC_Data hesaplama örneği:

MacData = Hash(Secret, Actual_Data, Padding_Data, Sequence_Number) ;

Secret değeri, mesajı kimin (istemci veya sunucu) gönderdiğine bağlıdır. Sequence_Number, hem sunucu hem de istemci tarafından artırılan bir sayaçtır. Burada Sequence_Number hash fonksiyonuna 4 byte olarak iletilen 32 bitlik bir koddur ve en önemli bayt önce geçilir. MD2 için MD5 MAC_Size 16 bayttır (128 bit). 2 baytlık bir başlık için maksimum kayıt uzunluğu 32767 bayt ve 3 baytlık bir başlık için 16383 bayttır.

Tarih ve gelişme

SSL protokolü ilk olarak Netscape tarafından geliştirilmiştir. Protokol sürüm 1.0 genel olarak yayınlanmadı. Sürüm 2.0, Şubat 1995'te yayınlandı, ancak "sonunda 1996'da piyasaya sürülen 3.0 sürümüne yol açan birçok güvenlik açığı içeriyordu". Böylece, SSL 3.0 sürümü, TLS 1.0 protokolünün oluşturulması için temel görevi gördü, Internet Engineering Task Force (IETF) protokol standardı ilk olarak Ocak 1999'da RFC 2246'da tanımlandı. Visa, Master Card, American Express ve İnternet parası ile çalışan diğer birçok kuruluş, SSL protokolünü İnternet üzerinde ticari amaçlarla kullanmak için lisanslanmıştır.

SSL modüler bir şekilde çalışır. Böylece SSL, uçtan uca bir ağdaki bağlantılar arasında ileri ve geri uyumluluğu ve anlaşmayı desteklemek için projeye uygun olarak genişletilebilir.

Başvuru

SSL protokolünün önemli ölçüde kullanılması, şifrelemeyi destekleyen HTTPS'nin (Güvenli Köprü Metni Aktarım Protokolü) oluşmasına yol açmıştır. HTTPS protokolü üzerinden iletilen veriler, SSL veya TLS şifreleme protokolüne "paketlenir" ve böylece bu verilerin korunması sağlanır. Bu koruma yöntemi, ödeme sistemleri gibi bağlantı güvenliğinin önemli olduğu uygulamalarda Web dünyasında yaygın olarak kullanılmaktadır. HTTPS, tüm tarayıcılar tarafından desteklenir. HTTP'den farklı olarak, HTTPS varsayılan olarak TCP bağlantı noktası 443'tür.

Başlangıçta, SSL tabanlı sanal özel ağlar (VPN'ler), IPsec VPN'e dayalı tamamlayıcı ve alternatif bir uzaktan erişim teknolojisi olarak geliştirildi. Ancak yeterli güvenilirlik ve düşük maliyet gibi faktörler bu teknolojiyi VPN kuruluşları için cazip hale getirdi. SSL, e-postada da yaygın olarak kullanılmaktadır.

Öncelik sırasına göre protokolün ana hedefleri

  1. Kriptografik Güvenlik: SSL, iki taraf arasında güvenli bir bağlantı kurar.
  2. Uyumluluk: Programcılar bağımsız olarak SSL kullanarak uygulamalar oluşturabilirler, bu da daha sonra diğer programların kodu hakkında herhangi bir bilgi sahibi olmadan kriptografik parametreleri başarılı bir şekilde değiştirebilecektir.
  3. Genişletilebilirlik: SSL, gerektiğinde yeni ortak anahtarların ve emek yoğun şifreleme tekniklerinin dahil edilebileceği bir çalışma alanı sağlamayı amaçlar.
  4. Göreceli verimlilik: SSL tabanlı protokolün çalışması, özellikle ortak anahtarlarla çalışmak için CPU'dan yüksek hızlar gerektirir. Bu nedenle, sıfırdan kurulması gereken bağlantı sayısını azaltmak için isteğe bağlı oturum önbelleğe alma şemasına SSL protokolü dahil edilmiştir. Ayrıca, ağ etkinliğinin azaltılmasına çok dikkat edilir.

Kimlik doğrulama ve anahtar değişimi

SSL, 3 tür kimlik doğrulamayı destekler:

  • her iki tarafın kimlik doğrulaması (istemci - sunucu),
  • kimliği doğrulanmamış istemci ile sunucu kimlik doğrulaması
  • tam anonimlik

Sunucu kimlik doğrulaması yaptığında, kanal, web sunucusu ile tarayıcı arasındaki gizli dinleme girişimlerine karşı güvenlidir, ancak tamamen anonim bir oturum, doğası gereği bu tür bir saldırıya karşı savunmasızdır. Anonim sunucu, istemcinin kimliğini doğrulayamıyor. Sunucunun kimliği doğrulanırsa, sertifika mesajı, kabul edilebilir bir CA'ya götüren doğru sertifika zincirini sağlamalıdır. Basitçe söylemek gerekirse, kimliği doğrulanmış bir istemci, sunucuya geçerli bir sertifika sağlamalıdır. Taraflardan her biri, diğer tarafın sertifikasının süresinin henüz dolmadığını veya iptal edilmediğini doğrulamaktan sorumludur. Anahtar değişimi işleminin temel amacı, yalnızca istemci ve sunucu tarafından bilinen bir istemci sırrı (pre_master_secret) oluşturmaktır. Sır (pre_master_secret), paylaşılan sırrı (master_secret) oluşturmak için kullanılır. Paylaşılan sır, sertifikayı, şifreleme anahtarlarını, MAC (mesaj kimlik doğrulama kodu) sırrını ve tamamlanmış mesajı doğrulamak için bir mesaj oluşturmak amacıyla gereklidir. Geçerli bir "bitti" mesajı göndererek, taraflar doğru sırrı (pre_master_secret) bildiklerini kanıtlar.

Anonim anahtar değişimi

Değişim anahtarlarını oluşturmak için RSA veya Diffie-Hellman algoritması kullanılarak tamamen anonim bir oturum oluşturulabilir. RSA kullanılması durumunda, müşteri sırrı (pre_master_secret) sertifikasız sunucunun genel anahtarını kullanarak şifreler. İstemci, ortak anahtarı sunucudan gelen anahtar değişim mesajından öğrenir. Sonuç, istemciden bir anahtar değişim mesajıyla gönderilir. Önleyici, sunucunun özel anahtarını bilmediğinden, sırrın (pre_master_secret) şifresini çözmesi imkansız olacaktır. Diffie-Hellman algoritmasını kullanırken, sunucunun genel parametreleri sunucudan gelen bir anahtar değişim mesajında ​​bulunur ve istemciye bir anahtar değişim mesajıyla gönderilir. Özel değerleri bilmeyen bir önleyici sırrı (pre_master_secret) bulamayacaktır.

RSA Anahtar Değişimi ve Kimlik Doğrulaması

Bu durumda, anahtar değişimi ve sunucu kimlik doğrulaması birleştirilebilir. Genel anahtar, sunucunun sertifikasında da bulunabilir veya sunucudan anahtar değişim mesajında ​​gönderilen geçici bir RSA anahtarı kullanılabilir. Geçici bir RSA anahtarı kullanıldığında, değişim mesajları sunucunun RSA veya DSS sertifikası tarafından imzalanır. İmza, Client_Hello.random mesajının geçerli değerini içerir, bu nedenle eski imzalar ve eski geçici anahtarlar tekrarlanamaz. Sunucu, bir oturum oluşturmak için geçici RSA anahtarını yalnızca bir kez kullanabilir. İstemci, sunucunun sertifikasını doğruladıktan sonra, sunucunun genel anahtarını kullanarak sırrı (pre_master_secret) şifreler. Sırrın (pre_master_secret) başarılı bir şekilde çözülmesinin ardından, bir "bitti" mesajı oluşturulur ve böylece sunucuya, sunucunun sertifikasına karşılık gelen özel anahtarı bildiğini gösterir.

Anahtar değişimi için RSA kullanıldığında, istemcinin kimliğini doğrulamak için istemci sertifikası doğrulama mesajı kullanılır. İstemci, master_secret'ten ve önceki tüm el sıkışma protokol mesajlarından hesaplanan bir değerle imzalar. Bu el sıkışma mesajları, sunucunun imzasıyla eşleşen bir sunucu sertifikası, geçerli el sıkışma mesajının imzasıyla eşleşen bir Server_Hello.random mesajı içerir.

Diffie-Hellman Anahtar Değişimi ve Kimlik Doğrulaması

Bu durumda sunucu, parametreye özgü bir Diffie-Hellman algoritmasını da destekleyebilir veya DSS veya RSA sertifikalarıyla imzalanmış bir dizi geçici parametre göndermek için sunucudan gelen anahtar değişim mesajlarını kullanabilir. Geçici parametreler, bir saldırganın eski parametreleri tekrarlamasını önlemek için imzalamadan önce bir hello.random mesajıyla hashlenir. Her iki durumda da istemci, parametrelerin sunucuya ait olduğundan emin olmak için sertifikayı veya imzayı kontrol edebilir.

İstemcinin Diffie-Hellman algoritmasının parametrelerini içeren bir sertifikası varsa, sertifika aynı zamanda anahtar değişimini tamamlamak için gerekli bilgileri de içerir. Bu durumda, istemci ve sunucunun her bağlantı kurduklarında aynı Diffie-Hellman sonuçlarını (pre_master_secret) oluşturması gerekeceğini unutmayın. Sırrın (pre_master_secret) bilgisayarın belleğinde gereğinden uzun süre kalmasını önlemek için, sırrın mümkün olan en kısa sürede paylaşılan sırra (master_secret) dönüştürülmesi gerekir. Anahtar değişiminin çalışması için istemci ayarlarının sunucu tarafından desteklenenlerle uyumlu olması gerekir.

Kayıt Protokolü (Kayıt Katmanı)

Kayıt protokolü katmanlı bir protokoldür. Her seviyede, mesajlar uzunluk, açıklama ve doğrulama için alanlar içerir. Yazma protokolü, iletilecek mesajları alır, verileri yönetilebilir bloklara ayırır, verileri bir MAC (mesaj kimlik doğrulama kodu) kullanarak akıllı bir şekilde sıkıştırır, şifreler ve sonucu iletir. Alınan verilerin şifresini çözer, kontrol eder, paketten çıkarır, toplar ve müşterinin daha yüksek seviyelerine iletir.

Dört kayıt protokolü vardır: el sıkışma protokolü, uyarı protokolü, şifre spesifikasyon değişikliği protokolü ve uygulama verisi protokolü. Bir SSL uygulaması bilmediği bir giriş türü alırsa, o giriş basitçe yok sayılır. SSL ile birlikte kullanılmak üzere tasarlanmış herhangi bir protokol, ona yönelik saldırılarla başa çıkmak zorunda kalacağı için iyi düşünülmelidir. Kaydın türü ve uzunluğu nedeniyle protokolün şifreleme ile korunmadığını unutmayın. Trafiği en aza indirmek için özen gösterilmelidir.

El sıkışma protokolü (el sıkışma)

Bir SSL istemcisi ve sunucusu, bir el sıkışma prosedürü kullanarak bir bağlantı kurmayı kabul eder. El sıkışma sırasında, istemci ve sunucu bağlantıyı güvence altına almak için kullanılacak çeşitli parametreler üzerinde anlaşırlar.

  • El sıkışma, istemci SSL sunucusuna bağlandığında başlar. Güvenli bağlantı isteği, desteklenen şifrelerin ve karma işlevlerinin bir listesidir.
  • Sunucu, bu listeden desteklediği en güçlü şifre ve hash işlevini seçer ve kararı istemcilere bildirir.
  • Sunucu bu kararı bir dijital sertifika biçiminde gönderir. Sertifika tipik olarak sunucu adını, güvenilir bir Sertifika Yetkilisini ve sunucunun genel şifreleme anahtarını içerir. İstemci, sertifikayı veren sunucuyla (yukarıda güvenilir CA) iletişim kurabilir ve devam etmeden önce sertifikanın gerçek olduğunu doğrulayabilir.
  • Oturum anahtarları oluşturmak için güvenli bir bağlantı kullanılır. İstemci rastgele sayıyı sunucunun genel anahtarı (OK) ile şifreler ve sonucu sunucuya gönderir. Yalnızca sunucu şifresini çözebilir (özel anahtarıyla (PC)) ve yalnızca bu gerçek, anahtarları üçüncü şahıslardan gizler, çünkü bu verilere yalnızca sunucu ve istemci erişebilir. İstemci genel anahtarı ve rasgele sayıyı bilir ve sunucu özel anahtarı ve (müşterinin mesajının şifresini çözdükten sonra) rasgele sayıyı bilir. Üçüncü taraf, genel anahtarı ancak özel anahtarın güvenliği ihlal edilmemişse bilebilir.
  • Rastgele bir sayıdan, her iki taraf da şifreleme ve şifre çözme için anahtar veriler üretir.

Bu, anlaşmayı tamamlar ve anahtar veriler kullanılarak şifrelenen ve şifresi çözülen güvenli bir bağlantı başlatır. Yukarıdakilerden herhangi biri başarısız olursa, SSL anlaşması başarısız olmuştur ve bağlantı oluşturulmamıştır.

Şifre Spesifikasyon Protokolünü Değiştir

Şifreleme moduna geçişi işaret etmek için var. Protokol, halihazırda kurulu olan bağlantıda şifrelenmiş ve sıkıştırılmış tek bir mesaj içerir. Mesaj, değeri 1 olan yalnızca bir bitten oluşur.

Struct ( enum ( change_cipher_spec(1 ) , (255 ) ) type; ) ChangeCipherSpec;

Hem istemci hem de sunucu tarafından, sonraki yazma işlemlerinin yeni anlaşılan CipherSpec ve anahtarlara göre korunacağını alıcı tarafa bildirmek için bir şifre değiştirme mesajı gönderilir. Bu mesajın kabulü, alıcının yazma katmanına bekleyen okuma durumunu mevcut okuma durumuna hemen kopyalaması talimatını vermesine neden olur. Bu mesajı gönderdikten hemen sonra, gönderen, yazma katmanına geri yazma modunu mevcut yazma moduna değiştirmesi talimatını vermelidir. Şifre değiştirme mesajı, el sıkışma sırasında, güvenlik parametreleri aktarıldıktan sonra, ancak 'tamamlandı' mesajı gönderilmeden önce gönderilir.

Uyarı Protokolü

SSL kayıt protokolünde desteklenen doğrulama türlerinden biri de alarm protokolüdür. Alarm mesajı, mesajda karşılaşılan zorlukları ve alarmın açıklamasını aktarır. Kritik seviye alarm mesajı, bağlantıyı hemen sonlandırır. Bu durumda, oturuma karşılık gelen diğer bağlantılar devam edebilir ancak oturum tanımlayıcısının geçersiz kılınması gerekir. Diğer mesajlar gibi, alarm mesajı da mevcut bağlantı durumu belirtilir gösterilmez şifrelenir ve sıkıştırılır.

Uygulama Veri Protokolü

Veri uygulama mesajı, kayıt düzeyinde çalışır. Bağlantının mevcut durumuna göre parçalanır, sıkıştırılır ve şifrelenir. Mesajlar, kayıt katmanı için şeffaf kabul edilir.

SSL protokolündeki hatalar

SSL protokolünde hata işleme çok basittir. Bir hata tespit edildiğinde, bunu keşfeden kişi, ortağına bununla ilgili bir mesaj gönderir. Önemli hatalar, sunucu ve istemcinin bağlantıyı kapatmasını gerektirir. SSL protokolü aşağıdaki hataları tanımlar:

  1. Unsupported_Certificate_Type_Error: Bu hata, istemci/sunucu desteklenmeyen bir sertifika türü aldığında oluşur. Hata kurtarılabilir (yalnızca istemci kimlik doğrulaması).
  2. No_Cipher_Error: Sunucu, istemci tarafından da desteklenen bir anahtar boyutu veya şifre bulamadığında bir hata oluşur. Hata kurtarılamaz.
  3. Bad_Certificate_Error: Bu hata, sertifika alan tarafça kötü kabul edildiğinde ortaya çıkar. Bu, sertifikanın imzasının yanlış olduğu veya değerinin yanlış olduğu anlamına gelir. Hata kurtarılabilir (yalnızca istemci kimlik doğrulaması).
  4. No_Certificate_Error: İstek_Sertifika mesajı gönderilirse, istemcinin sertifikası olmadığı için bu hata gönderilmiş olabilir. Hatayı düzeltiyoruz.

saldırılar

SSL protokolüne karşı yapılabilecek çok sayıda saldırı vardır. Ancak SSL, kullanıcının bilgileri işlemek için yalnızca güvenilir sunucuları kullanması koşuluyla bu saldırılara karşı dirençlidir.

Carnivore ve NarusInsight telefon dinleme sistemlerini kullanan FBI ajanları tarafından SSL bağlantılarının "hacklenmesi"

SSL protokolleri tarafından korunan bilgilerin kitlesel "hacklenmesi" ile ilgili en ünlü olay, FBI ajanları tarafından Carnivore ve NarusInsight sistemlerini kullanarak gerçekleştirildi ve bu, insan hakları örgütü Electronic Frontier Foundation adına AT&T'ye karşı bir davaya yol açtı (daha fazlası makalede) Kriptografik olarak korunan bilgileri kırmak için bu kompleksleri kuran NarusInsight'ta.

Amerika Birleşik Devletleri'nde bu davaya ve Temsilciler Meclisi Anayasa Komitesi düzeyinde yürütülen soruşturmaya (daha fazla ayrıntı için Carnivore'un makalesine bakın) rağmen, SSL protokolünün FBI ajanları tarafından teknolojik olarak hacklenmesi söz konusu değildi. Carnivore ve NarusInsight, uzak istemcilere SSL bağlantılarını yönlendiren sunucuların bulunduğu veri merkezinin kendisine kuruldu. NarusInsight, bir SSL bağlantısını değil, veri merkezi içindeki uygulama sunucuları arasındaki dahili trafiği dinleyerek, SSL aracılığıyla alınan verilerin şifresi harici kullanıcılardan alan sunucunun kendisi tarafından çözüldükten sonra şifrelenmiş bilgileri tamamen kurtardı.

Ancak bu olay, özel servisler veri merkezinde NarusInsight veya SORM-2 gibi dinleme sistemleri kurduğu sürece SSL'nin İnternet'teki sunucu verilerinin kriptografik koruması için güvenilir bir araç olamayacağını gösterdi. Şifrelerin anahtarlarının veri merkezindeki alıcı sunucuda olduğunu ima eden her türlü kriptografi, istihbarat servisi koklayıcıları tarafından alıcının kendisine enjekte edilerek otomatik olarak hacklenir. Ayrıca veriler, şu anda Vatanseverlik Yasası gibi yasal düzenlemelerle düzenlenen prosedürlere göre tamamen yeniden yapılandırılır. Ayrıca, bu yasal düzenlemeler, veri merkezi sahiplerinin kovuşturulmasına kadar, istihbarat servisi koklayıcılarının alıcı sunucuların dahili kısmından çıkarılmasını yasaklamaktadır. Bu sistemlerin varlığı göz önüne alındığında, SSL protokolü yalnızca iki kullanıcının İnternet bağlantısını koruyabilir, ancak harici bir Web sitesine yapılan herhangi bir SSL bağlantısını istihbarat teşkilatlarından korumaz.

Şifreleri açığa çıkarmak

Bildiğiniz gibi SSL, çeşitli kriptografik parametrelere bağlıdır. Anahtar aktarımı ve sunucu/istemci kimlik doğrulaması için RSA ortak anahtar şifrelemesi gerekir. Ancak şifre olarak çeşitli kriptografik algoritmalar kullanılmaktadır. Böylece, bu algoritmalara başarılı bir saldırı yapılırsa, SSL artık güvenli kabul edilemez. Oturum kaydedilerek belirli iletişim oturumlarına saldırı yapılır ve ardından zamanla oturum anahtarı veya RSA anahtarı seçilir.

ortadaki davetsiz misafir

MitM (Ortadaki Adam) saldırısı olarak da bilinir. Üç tarafın katılımını içerir: sunucu, istemci ve aradaki saldırgan. Bu durumda, bir saldırgan her iki yönde de gelen tüm mesajları yakalayabilir ve onları değiştirebilir. Saldırgan, istemciye sunucu ve sunucuya istemci gibi görünür. Diffie-Hellman anahtar değişimi durumunda, alınan bilgilerin ve kaynağının bütünlüğü doğrulanamadığı için bu saldırı etkilidir. Ancak, kaynağın (genellikle sunucunun) kimliği bir sertifika yetkilisi tarafından doğrulanmış sertifikalar kullanılarak doğrulandığından, bu saldırı SSL ile mümkün değildir.

Saldırı aşağıdaki durumlarda başarılı olacaktır:

  • Sunucunun imzalı bir sertifikası yok.
  • İstemci, sunucunun sertifikasını doğrulamaz.
  • Kullanıcı, sertifikanın bir sertifika yetkilisi tarafından imzalanmadığını veya sertifikanın önbelleğe alınan sertifikayla eşleşmediğini belirten mesajı yok sayar.

Bu tür bir saldırı, Microsoft'un Forefront TMG güvenlik duvarını kullanan büyük kuruluşlarda bulunabilir. Bu durumda, "davetsiz misafir" kuruluş ağının ucunda bulunur ve orijinal sertifikayı kendisininkiyle değiştirir. Bu saldırı, Forefront TMG'nin kendisinin güvenilir bir kök CA olarak belirtilmesi sayesinde mümkün olur. Tipik olarak, bu tür bir uygulama prosedürü, Active Directory ortamında kurumsal kullanıcıların çalışması nedeniyle kullanıcı için şeffaftır. Bu araç, hem iletilen bilgileri kontrol etmek hem de güvenli bir HTTPS bağlantısı kullanılarak iletilen kişisel verileri çalmak için kullanılabilir.

En tartışmalı konu, kullanıcının veri ele geçirme olasılığına ilişkin farkındalığıdır, çünkü kök sertifika sahteyse, hiçbir güvenlik mesajı görüntülenmez ve kullanıcı iletilen verilerin gizliliğini bekler. Ayrıca Forefront TMG'yi SSL proxy olarak kullanırken, internet tarafında ikinci bir MitM saldırısı gerçekleştirmek mümkün hale geliyor, çünkü orijinal sertifika kullanıcıya dağıtılmayacaktır ve Forefront TMG, kendinden imzalı veya iptal edilmiş sertifikaları kabul edecek ve ardından yanıltacak şekilde yapılandırılabilir. Böyle bir saldırıya karşı korunmak için, sertifikaları herhangi bir hata içeren web sunucularıyla çalışmayı tamamen yasaklamak gerekir, bu da kesinlikle birçok siteyle HTTPS protokolü ile çalışamamaya yol açacaktır.

yanıt saldırısı

Saldırgan, sunucu ile istemci arasındaki iletişim oturumunu kaydeder. Daha sonra, istemcinin kayıtlı mesajlarını oynatarak sunucuyla bağlantı kurmaya çalışır. Ancak SSL, bu saldırıyı özel bir benzersiz bağlantı tanımlayıcısı (IC) ile püskürtür. Tabii ki, teorik olarak, üçüncü bir taraf, bir dizi rastgele olaya dayandığı için IS'yi tahmin edemez. Ancak, büyük kaynaklara sahip bir saldırgan, çok sayıda oturum kaydedebilir ve sunucunun Server_Hello mesajında ​​gönderdiği nonce'a göre "doğru" oturumu almaya çalışabilir. Ancak SSL nonce'ları en az 128 bit uzunluğundadır, bu da bir saldırganın %50 tahmin etme şansı elde etmesi için nonce'ları yazması gerektiği anlamına gelir. Ancak bu saldırıları anlamsız kılacak kadar büyük bir sayı.

El sıkışma protokolüne karşı saldırı

Saldırgan, tarafların genellikle seçtikleri yerine farklı şifreleme algoritmaları seçmeleri için el sıkışma alışverişini etkilemeye çalışabilir. Birçok uygulama 40-bit dışa aktarılan şifrelemeyi desteklediğinden ve hatta bazıları 0-bit şifrelemeyi veya MAC algoritmasını desteklediğinden, bu saldırılar büyük ilgi görmektedir.

Böyle bir saldırı için, saldırganın bir veya daha fazla el sıkışma mesajını hızlı bir şekilde taklit etmesi gerekir. Böyle bir durumda, istemci ve sunucu el sıkışma mesajı için farklı hash değerleri hesaplayacaktır. Sonuç olarak, taraflar birbirlerinden gelen mesajları kabul etmeyeceklerdir. Bitti. Sırrı bilmeden, saldırgan mesajı düzeltemez. Bitti, böylece saldırı tespit edilebilir.

HTTPS protokolleri ve SSL sertifikaları ile ilgili anlaşmazlıklar yıllardır devam etmektedir. Bazıları, web sitesi tanıtımı için farklı yayıncıların SSL'leri arasında çok fazla fark olmadığını savunuyor. Diğerleri, sertifika için ne kadar çok ödeme yaparsanız sitenin konumunun o kadar yüksek olacağından emindir. Yine de diğerleri, HTTPS'nin yalnızca mağazalar ve ticaret için alakalı olduğuna inanıyor. Bu soru ilgilenir Yönetmen Vladislav Rykova pazarlama ajansı MAVR . Ayrıca ücretsiz, ücretli ve kendi kendine yazılan SSL'nin avantajları ve dezavantajları.

SSL nedir

SSL veya Güvenli Yuva Katmanı bir tarayıcı ile bir web sunucusu arasında şifreli bir bağlantı kurmak ve güvenliğini sağlamak için kullanılan standart bir teknolojidir. Bu, sahibi ve yayıncısı hakkında kriptografik anahtarlar ve veriler içeren sitenin bir tür elektronik pasaportudur.Ayrıca, kullanıcıların herhangi bir kişisel bilgiyi şifrelemesine olanak tanır.

Bağlantıları şifrelemek için kullanılan 3 anahtar vardır:

  • açık;
  • kapalı;
  • oturum.

Şu şekilde çalışır: genel anahtarla şifrelenen şeyin şifresi özel anahtarla çözülebilir ve bunun tersi de geçerlidir. Simetrik bir oturum anahtarı otomatik olarak oluşturulur ve ardından güvenli bir bağlantı kurulduktan sonra siteden iletilen verileri şifrelemek için kullanılır. Tarayıcı güvenli bir siteye her eriştiğinde bir bağlantı kurulur - saniyenin onda biri kadar sürer.

Arama çubuğunda HTTPS'nin önündeki asma kilide tıklayarak SSL'yi görüntüleyebilirsiniz.

Burada önemli olan:

  • Yayımcı;
  • mal sahibi;
  • Sertifika Türü;
  • geçerlilik.

Bilgilerin geri kalanı tekniktir.

Terminoloji hakkında birkaç söz. Bu yazıda SSL derken, Netscape tarafından geliştirilen ve Ocak 1999'dan beri IETF tarafından TLS adı altında standardize edilen SSL standardını kastediyorum. TLS belgelerinde belirtildiği gibi, "bu protokol ile SSL 3.0 arasındaki fark kritik değildir." SSL ve TLS, sürekli olarak güncellenen bir dizi protokoldür ve genellikle halk arasında SSL/TLS olarak anılır.

HTTP ve HTTPS

SSL'nin ne olduğunu ve türleri arasındaki farkı daha iyi anlamak için HTTP ve HTTPS protokollerine biraz değinelim. Ayrıntılı teknik açıklamalar ve kılavuzlar var, onları vermeyeceğiz.Normal bir kullanıcı için durum şöyle görünür:

Birçok site sahibi, Google'ın HTTPS - Güvenli Köprü Metni Aktarım Protokolü'ne geçme önerileriyle neden birkaç yıldır can sıkıcı olduğunu anlamıyor. Sonuç olarak, şifrelenmiş protokol, tarayıcılar ve siteler arasında nispeten güvenli bir bağlantı kurmanıza izin verir. HTTPS, ticari veri ihlalleri ve dolayısıyla fonlarınızın çalınması olasılığını büyük ölçüde azaltır.

İşte arama konsolundan kısa bir açıklama:

2018'in ortasından bu yana, HTTPS'siz tüm siteler güvensiz kabul ediliyor. Bu, yukarıdaki resimde de görülebileceği gibi, siteyi her ziyaret ettiğinizde Chrome tarayıcısı tarafından raporlanır. SSL, HTTPS protokolünün önemli bir parçasıdır. Ve aslında, hala aynı HTTP artı şifreleme ve bir SSL sertifikasıdır.

SSL sertifikası neden önemlidir?

Google'a göre SSL sertifikası kullanmayan siteler sorun yaşayacaktır. Ancak asıl önemli olan, varlığının, işlemlerin korunması nedeniyle kullanıcıların güvenini ve arama motorundaki sıralamasını etkilemesidir. Sertifikalar, marka itibarını artırır ve kimlik avıyla mücadele için bir araç görevi görür.

Google'ın HTTPS'yi bir sıralama faktörü olarak dahil ettiği 2014 yılından bu yana, SSL sertifikaları herhangi bir ticari proje için olmazsa olmaz haline geldi. Bunun üzerine Hubspot uzmanı Sam Kusinitz bir makale yazdı “2019'da Google Sıralama Faktörleri İçin Nihai Kılavuz ". İçerik, sosyal ağlar ve bağlantılarla ilgili tanıtım faktörleri arasında alan adı güvenliği “çok önemli” özelliğini aldı. Ve HTTPS protokolündeki SSL sertifikaları sayesinde uygulanmaktadır.

Bir yılı aşkın bir süre önce, moz.com baş uzmanı Dr. Peter Meyers yazdı Google'ın TOP sıralamasının yaklaşık %30'unun SSL'ye sahip siteler olduğu. Şimdi sayıları% 80'den fazla.

Analist, bunun birkaç nedeni olduğunu öne sürüyor.

  1. Google, daha güvenli oldukları için 2014'ten beri SSL'li siteleri gündeme getiriyor. Bu parametrenin genel sıralama faktörleri arasındaki değeri yılda yaklaşık iki kat artmaktadır.
  2. Bir sertifikanın varlığının davranışsal faktör üzerinde olumlu bir etkisi vardır. Kullanıcılar, güvenli olmayan mağazalarda çevrimiçi sipariş verme eğiliminde değildir.
  3. Başarılı sitelerin sahipleri, böyle bir "güncellemede" beklentileri görür ve kaynakları kendileri yükseltir.

SSL sertifikalarının avantajları

Neredeyse hiç kimse bir SSL sertifikasının ve bir sitenin HTTPS üzerinden işletilmesinin öneminden şüphe etmez. Ancak acil bir soru daha var - web sitesi tanıtımı için en uygun sertifikalar hangileri ve bunları kimden sipariş etmeli?

SSL Sertifikası Türleri: Artıları ve Eksileri

Sertifika almak için üç seçenek vardır:

  • kendin Yap;
  • ücretsiz sipariş;
  • ücretli, ticari SSL satın alın.

Her türü daha ayrıntılı olarak inceleyelim.

Kendinden İmzalı SSL

Onlar da denirkendinden imzalı ve Cpanel gibi barındırma hizmetlerinde oluşturulmuş. Her site sahibinin bu fırsatı vardır. Üretimin teknik yönünü dikkate almayacağız - bu tür SSL'lerin özellikleriyle ilgileniyoruz.

Artı

Hızlı ve ücretsiz.

Eksi

Muhtemelen bu resmi görmüşsünüzdür - bu, kendinden imzalı bir sertifika kullanmanın sonucudur:

Bu, davranış faktörünü ve kullanıcıların kaynak hakkındaki izlenimini nasıl etkileyecek? Bu sitenin kaç ziyaretçisi olacağını tahmin etmek kolaydır. Ve herhangi bir tanıtım yönteminin ne kadar başarılı olacağı - örneğin, bağlantı kurma, kalabalık veya içerik pazarlaması.

Bu tür sertifikalar yalnızca şirket içi web sitelerinde kullanılabilir. Ve her çalışana tarayıcının kendi kendine yapılan SSL'den hoşlanmamasının nasıl üstesinden gelineceğini açıklamak yerine ücretsiz olanları sipariş etmek daha iyidir.

Ücretsiz Sertifikalar

İnternette ücretsiz sertifika sağlayan yeterince kayıt şirketi var. İşte popüler olanlardan bazıları:

  • letsencrypt.org
  • startsl.com
  • buy.wosign.com/free/

profesyoneller

  1. Bu sitelerde SSL almak kolaydır ve tarayıcı hatasına neden olmaz.
  2. Sertifika veren firmalar piyasada yer edinmiştir. Örneğin, Letsencrypt.org'un Google arama motoru, Facebook ve diğer bazı büyük şirketlerle ticari bağları vardır.

eksiler

  1. Sertifika, mali garantiler, yani bilgisayar korsanlığı için tazminat anlamına gelmez.
  2. Sadece 90 gün geçerlidir.
  3. Letsencrypt ve startupsl, çoğu ödeme sisteminin birlikte çalışmadığı SNI tanımlama teknolojisini kullanır. Ticaret için bu sertifikalar uygun değildir.
  4. Sadece böyle bir alan adının var olduğunu onaylarlar. Sahipler hakkında herhangi bir bilgi taşımazlar ve minimum düzeyde koruma sağlarlar.

Ücretsiz SSL sertifikaları ticari olmayan siteler, bloglar, haber portalları vb. için uygundur ve mal veya hizmet satmayı planlıyorsanız neredeyse tamamen yararsızdır.

Ücretli Sertifikalar

SSL satın almak kolaydır, tek yapmanız gereken yayıncı ile iletişime geçmek ve sipariş vermek. Kayıt süresi birkaç saatten bir haftaya kadar değişir.Birkaç temel ücretli sertifika türü vardır.

  1. DV (Etki Alanı Doğrulama) SSL - yalnızca alan adını doğrulayın.
  2. OV (Organization Validation) SSL - alan adını ve şirketi onaylıyor.
  3. EV (Genişletilmiş Doğrulama) ) SSL - "yeşil hat" ve genişletilmiş tür denetimi ile en güvenlisi.
  4. Birden çok etki alanı için sertifikalar.

Sertifika türleri, sitenin amaçlarına ve doğasına göre seçilir. DV, küçük siteler ve bloglar için ihtiyacınız olan şeydir. OV, kurumsal kaynaklar için uygundur. EV, çevrimiçi mağazalar için bir çözümdür. Çok alanlı SSL, büyük kuruluşlar ve kurumsal ağlar için tasarlanmıştır.

Aramaya "Comodo SSL sertifikası" veya benzeri bir istek yazarak en iyi çözümü bulabilirsiniz. Lütfen bazen doğrudan yayıncılardan değil, bayiler ve temsilciler aracılığıyla satın almanın daha karlı olduğunu unutmayın.

Popüler sertifika yayıncıları:

  • Komodo;
  • Symantec;
  • dijital sertifika;
  • GlobalSign.

profesyoneller

Ücretli sertifikalar lehine, promosyon konularıyla ilgili anlar vardır.

  1. Davranış faktörünün iyileştirilmesi. HubSpot tarafından yakın zamanda yapılan bir araştırmaya göre, kullanıcıların %85'e varan bir oranı, bir site güvenli değilse göz atmaya devam etmeyecektir. Ocak 2017'de Google, yalnızca hassas bilgiler toplayan siteler için geçerli olan bir güncelleme yayınladı. Örneğin, şifreler veya kredi kartı numaraları. Şimdi HTTPS'siz tüm sitelerden bahsediyoruz. Güvensizliği bildirmek, özellikle finansal riskler söz konusu olduğunda, ret sayısını önemli ölçüde artırır. Bundan kaçınmak için en güvenilir sertifikayı - ücretli olanı kullanmanız gerekir.
  2. ödeme optimizasyonu . Ücretsiz sertifikalara sahip sitelerde işlem yapmak zordur çünkü tüm ödeme sistemleri bunları desteklemez. Yine sıçramalar artıyor ve bu ticari SEO tanıtımını olumsuz etkiliyor.
  3. Koruma . Önemli noktalardan biri şifreleme seviyesidir. Ücretli sertifikalar, daha uzun ve yüksek derecede korumaya sahip anahtarlar sağlamanıza olanak tanır. Bunları deşifre etmek onlarca yıl alacak. Google bunu analiz eder ve siteyi arama sonuçlarında öne çıkarır.
  4. Sertifika İhlallerine Karşı Yayıncı Garantileri . Gerçek olup olmadığı başka bir soru, ancak bir garantisi varsa, o zaman bu güven vericidir. Yayıncıya ve SSL türüne bağlı olarak, garantiler değişiklik gösterir; örneğin, bir QuickSSL saldırısının 10.000 ABD Doları olduğu tahmin edilmektedir. e., şirketin güvenilirliğini gösterir.
  5. Kolaylık . Her 90 günde bir sertifikaların yeniden kaydedilmesi gerekli değildir. Ücretli SSL'lerin yılda bir kez güncellenmesi gerekir.

eksiler

  1. Yine de sertifika için ödeme yapmanız gerekiyor. Kullanım maliyeti, koruma derecesine bağlıdır ve 20 ile 500 ABD Doları arasında değişmektedir.
  2. Yasal onay ve belgelerin gerekli olduğu pahalı sertifikaların kaydı çok zaman alabilir.

SSL/TLS ile çalışırken faydalı hizmetler

  1. SSL Alışverişçisi- Bu ssl denetleyicisi, ssl sertifikasının sitenize doğru yüklenip yüklenmediğini anlamanıza yardımcı olacaktır.
  2. SSL Sunucu Testi -Bu ücretsiz hizmetin yardımıyla SSL/TLS yapılandırmanızın güvenlik düzeyini değerlendirebilirsiniz.

sonuçlar

SSL, yalnızca site ziyaretçilerinin korunması değil, aynı zamanda geliştirmeye yönelik karlı bir yatırımdır. Yeni sitelerin sahipleri, ucuz ancak ücretli sertifikalar sipariş etmekten daha iyidir. Bu, kaynağın arama sonuçlarında büyümesine ve arama motorundan ve kullanıcılardan gelen güven sorunlarını ortadan kaldırmasına yardımcı olacaktır.

Ancak zorluklar da var.

  1. SSL ve HTTPS'ye geçtikten hemen sonra, sorundaki konumlarda geçici bir düşüş fark ederler.
  2. HTTPS, sistemde daha fazla talepkar olduğundan, site yükleme hızı biraz düşebilir. Kodu optimize ederek veya sunucu kapasitelerini artırarak çözülür.
  3. Geçiş sırasında zaman ve kaynak gerektiren bir takım teknik çalışmaların yapılması gerekmektedir.