İnternetin yaygınlaşmasına bağlı olarak özellikle e-ticaret ve bankacılık gibi hizmetlerin internet
üzerinde sağlanmasıyla, kişisel bilgilerin ve özel
verilerin güvenli bir şekilde aktarılması her zamankinden daha önemli bir hâle gelmiştir. Bu noktada,
SSL sertifikaları devreye girmektedir. Güvenli Yuva
Katmanı olarak Türkçe’ye çevrilebilecek olan SSL,
Secure Sockets Layer teriminin kısaltmasıdır.

“Dijital sertifika” olarak da bilinen SSL sertifikası
iki işleve sahiptir:
• Web sitesi kimliğini doğrular (böylece ziyaretçilerin sahte bir sitede olmadıkları garantilenir).
• Aktarılan verileri şifreler.

Netscape tarafından geliştirilen ve standart hâle
gelen SSL sertifikası, bilginin şifrelendirilerek gönderilmesini ve sadece doğru adreste deşifre edilebilmesini sağlar

SSL’in tarihine bakıldığında güvenlik açıklarından dolayı SSL 1.0 sürümünün piyasaya sürülmediği görülmektedir. 1996 yılında 3.0 versiyonunun
ortaya çıkarılmasıyla hemen hemen bütün internet
tarayıcılarının desteklediği bir standart hâline gelmiş
ve çok geniş uygulama alanları bulmuştur. Taşıma
Katmanı Güvenliği (Transport Layer Security/TLS)
ise SSL’den sonra geliştirilmiştir. SSL 3.0 günümüzde yerini TLS 1.3’e bırakma eğiliminde olsa da tüm
internet tarayıcılarında hâlâ desteklenmektedir. TLS
1.3 ise hâlâ geliştirilme aşamasındadır.

Özellikle alışveriş siteleri gibi e-ticaret sitelerinde
kredi kartı ve kişisel bilgilerin aktarılması söz konusu
olduğundan https:// protokolünün kullanıldığından
emin olmak gerekmektedir. Bu protokol, istemciyle,
bilgilerin girildiği web sitesi sunucusu arasında gerçekleşen iletişimin şifreleme yöntemleriyle güvenli
bir şekilde yapılandırıldığını göstermektedir.

gizli ve hassas bilgileri, alan, işleyen, toplayan, saklayan ya da görüntüleyen web siteleri kullanan tüm birey ve kuruluşlar web sitelerine SSL sertifikası almalıdır. Bu bilgiler aşağıdaki gibi olabilir:
• Oturum açma ve parola bilgileri
• Finansal bilgiler (örn; kredi kartı numaraları, banka hesapları)
• Kişisel bilgiler (örn; isim, adres, sosyal güvenlik numarası, doğum tarihi)
• Özel bilgiler
• Yasal belgeler ve sözleşmeler
• Müşteri listeleri
• Tıbbi kayıtlar

SSL sertifikası kullanılan bir web sitesinde,
HTTPS protokolünün kullanıldığı ve iletişimin
şifreli bir şekilde gerçekleştiği anlamı çıkar. SSL ile
istemci ve sunucu arasındaki şifreli iletişim, ön tanımlı olarak 443 numaralı kapı (port) kullanılarak
sağlanır.

SSL sertifikası alınabilecek kuruluşlardan sertifika alabilmek için sertifika otoritesine sunucunun
özel anahtarı ile oluşturulmuş “sertifika imzalama talebi (certificate signing request/CSR)” gönderilmelidir. Sertifika otoritesi elektronik imzalı bir sertifika
oluşturur ve ilgili kuruluşa verir. Otorite, elektronik
imzayı sertifika içeriğinden bir doğrulama (hash)
üretip, bunu da şifreleyerek oluşturur. Bu imzayı da
sertifika içerisine dâhil eder. Böylece sertifika imzalanmış olur. Bu imza, RapidSSL, Verisign, Globalsign gibi sertifika sunucularının damgasıdır. Otoriteden sertifika talep eden kuruluş, gelen sertifikayı
sunucusuna yükler.

SSL sertifika hizmeti ile kimlik doğrulama yapılır. Sunucuya bir SSL isteği geldiğinde sertifika,
istemci tarafındaki web tarayıcıya gönderilir. Tarayıcı, sunucudan sertifikayı aldığında sertifikadan
içerdiği tüm bilgileri ve herkese açık şifreyi okuyabilir. İstemci tarafındaki tarayıcı gerçekten istediği
firma ile bağlantı kurduğunu anlamak için sertifika
içerisindeki sayısal imzayı denetlemelidir. Bunun
için tarayıcı üzerinde zaten var olan sertifika otoritesinin herkese açık şifresi ile sayısal imzayı çözerek
otoritenin ürettiği doğrulama (hash) değerini elde
eder. Daha sonra sertifika içeriğinden kendisi de bir
doğrulama (hash) değeri üretir ve bu iki değeri karşılaştırır. Eğer değerler aynı ise “kuruluşun otorite
tarafından onaylanmış ve iddia ettiği kuruluş olduğu” sonucuna varılır.

SSL sertifikalarında farklı şifreleme teknikleri
kullanılmaktadır. Şifreleme teknikleri; simetrik ve
asimetrik şifreleme olarak ikiye ayrılır:
• Simetrik Şifreleme (Gizli Anahtarlı Şifreleme): Sunucuda da istemcide de birbirinin
aynısı tek bir anahtar vardır. Gönderilen
veri o anahtar ile şifrelenir. Alıcı veriyi alınca yine aynı anahtar ile veriyi çözer. Güvenlik düzeyi düşüktür. 3DES, AES, Blowfish,
IDEA ve RC4 simetrik şifreleme algoritmalarındandır.
• Asimetrik Şifreleme (Açık Anahtarlı Şifreleme): Sunucuda hem herkese açık anahtar
hem de özel anahtar bulunmaktadır. Sunucuya gönderilen veri herkese açık anahtar ile
şifrelenmiş şekilde gönderilir. Yani istemcinin web tarayıcısı veriyi herkese açık anahtar ile şifreler ve sunucuya gönderir. Sunucu ise veriyi sadece kendisinin bildiği özel
anahtar ile çözer. Böylece diğer kullanıcılar
özel anahtarı bilmedikleri için veri anlamsız
hâle gelir.

SSL, çevrim içi işlem yapan milyonlarca web
sitesi tarafından kullanılan bir sertifikadır. SSL
sertifikasında en önemli noktalardan biri de SSL
sertifikasının kullanım süresidir. SSL sertifikasının yenilenme tarihlerinin gözden kaçırılmaması
ilgili sitenin güvenliği açısından önemli bir noktadır. Sertifikanın geçerlilik süresi SSL sertifikasında
mutlaka belirtilir.

RapidSSL, Verisign, Digicert, Thawte, Global
Sign ve Symantec gibi SSL sertifikası alınabilecek
bazı kuruluşlar bulunmaktadır. Tüm SSL sertifikaları aynı değildir. Alan adı ya da sahip olunan alt
etki alanı sayısına göre çok sayıda, farklı türde SSL
sertifikası vardır. Bu kuruluşlardan belli ücretler karşılığında tek (standard), wildcard veya birden fazla
etki alanı içeren (çoklu alan) SSL sertifikaları alınabilir.

Tek (Standard) – Tam nitelikli bir alan adı
ya da alt etki alanı adını güvence altına alır.
Örneğin:
www.alanadiniz.com
alanadiniz.com

Wildcard – Bir alan adını ve sınırsız sayıda
alt etki alanlarını kapsar. Örneğin:
www.alanadiniz.com
alanadiniz.com
altalan1.alanadiniz.com
altalan2.alanadiniz.com

Birden Fazla Etki Alanı (Çoklu Alan) –
Birden fazla alan adını ve gerektiğinde aşağıdakiler gibi doğrulama düzeylerini güvence altına alır:
- Etki Alanı Doğrulaması – Bu düzey en
ucuz olanıdır ve alan adı kayıt sahipleri
tarafından temel şifreleme ve doğrulamayı kapsar. Bu sertifika türünü almak
genellikle birkaç dakika ila birkaç saat
arasında bir zaman alır.
- Kuruluş Doğrulaması – Alan adı kayıt
sahibinin temel şifreleme ve doğrulamasına ek olarak buna sahip olan kişinin bazı bilgileri de (örn; adı ve adresi)
doğrulanır. Bu sertifika türünü almak
genellikle birkaç saat ila birkaç gün arasında bir zaman alır.

bir web sitesi SSL sertifikasına sahipse dört görsel işaret vardır:
• Adres linkinin sonundaki yeşil asma kilit
• HTTP yerine HTTPS ön eki
• Bir güven mührü
• Yeşil bir adres çubuğu ile kurumun adının yazılması (Genişletilmiş doğrulama ile SSL sertifikasının düzenlenmesi durumunda)

Sitenin, sertifika bilgilerinin detaylarını görüntülemek için bu yeşil kilit sembolüne tıklamak yeterlidir.
Örneğin Mozilla Firefox web tarayıcısında, “Sayfa Bilgisi” penceresi açıldığında, “Sertifikayı Göster” düğmesine tıklandığında, sertifikanın verildiği kurum, sertifikayı veren yayıncı, geçerlilik dönemi ve parmak
izleri gibi pek çok ayrıntıya ulaşılabilir.

Dosyaları şifrelemede ve şifre çözmede kullanılabilecek şifreleme türleri aşağıda gösterilmektedir:
• AES (128 & 256 bit)
• Blowfish
• Cast5
• DES
• DESX
• 3DES
• RSA (1024 & 2048 bit)

Web kullanıcılarının özellikle kişisel bilgilerinin girilmesini gerektiren alışveriş, bankacılık
işlemleri gibi özel bilgilerini girdiği web sayfalarına erişirken kullanılan bilgisayarın güvenli olması gerektiği gibi, işlem yapılan web sayfasının da
güvenli olduğundan emin olunması gerekmektedir. Bu bağlamda, dikkat edilmesi gereken önemli
noktalardan biri de SSL/TLS sertifikalı ve HTTPS
erişim protokolünü kullanan web sitelerin tercih
edilmesi gerekliliğidir. Böylece çift taraı şifreleme
sisteminin kullanıldığı, güvenli, virüslerden ve diğer zararlı yazılımlardan arındırılmış bir sistemin
kullanıldığı ortaya çıkarılmış olur

Virüs ve tehlikeli yazılım bulaştırma ihtimali yüksek olan siteler genellikle şunlardır:
• Çok fazla bilinmeyen siteler,
• Bahis siteleri,
• Cinsel içerikli siteler,
• Korsan yazılım indirilen sitelerdir.