Siber Güvenlik Siber Mevzular

SSL Güvenliği ve Test Scriptleri

SSL Nedir?

SSL (Güvenli Yuva Katmanı), web güvenliğini artırmak için 90’larda Netscape tarafından geliştirilen bir web protokolüdür. TLS (Aktarım Katmanı Güvenliği), Internet Mühendislik Görev Gücü (IETF) tarafından SSL üzerinde bir iyileştirme olarak geliştirilmiştir.

SSL teknolojisinin sağladığı faydalardan bazıları şunlardır:

  1. Tarayıcı ve sunucu kimliğinin doğrulanmasını sağlar.
  2. Tarayıcı ve sunucunun birbirine gönderdiği verileri şifreler.
  3. Gönderilen verilerin bütünlüğünü sağlar.

SSL Sertifikasında bulunan bir anahtar ile hem simetrik hem de asimetrik şifreleme yapılır.


Simetrik Şifreleme ve Asimetrik Şifreleme nedir?

Günümüzde veri gizliliğini sağlamak için yapılan şifreleme türleri genelde simetrik ve asimetrik olmak üzere ikiye ayrılır.

Simetrik şifreleme işleminde genelde bir anahtar veriyi hem şifreler hem de çözümler. Örneğin “Merhaba” kelimesini şifrelediğiniz zaman, tam tersi işlemi yaparak şifreyi çözebilirsiniz. Bu durumda, kelimeyi tek bir anahtar ile hem şifrelemiş hem de çözümlemiş oluruz. Bilinen en eski simetrik şifreleme örneği Komutan Sezar’ın komutanlarına iletmek istediği önemli bilgileri şifrelemek için kullandığı “Sezar Şifrelemesi”’dir.


Şekil 1 SezarŞifreleme Yöntemi. [Kaynak: tr.wikipedia.org ]

Simetrik şifrelemeye oranla daha çok kullanılan ve daha güvenli olan asimetrik şifrelemede ise bir ortak anahtar ve bir de özel anahtar ile şifreleme yapılır. Ortak anahtarı kullanarak şifrelediğimiz veriyi özel anahtar kullanarak çözümleriz. Örneğin simetrik şifrede olduğu gibi “Merhaba” kelimesini şifreledikten sonra tam tersi işlemi yaparak çözümleyemeyiz.

Asimetrik şifreleme dijital imza oluşturmak için de kullanılabilir. Günümüzde dijital imzalar, imzalanması gereken bir belgeyi elektronik olarak imzalamak için kullanılır. İmzanın üretilmesi özel anahtarla yapılır, imzanın aslına uygunluğunu doğrulamak, genel anahtar kullanılarak yapılır. SSL, web sunucularının kimliğini doğrulamak için bu dijital imzaları kullanır.


SSL Sertifikası Nedir?

SSL sertifikası, web alan adında barındırılan dijital bir belgedir. Bu dijital belgenin içerisinde,

  • SSL sertifikası sahip bilgileri.
  • SSL sertifikasının geçerli olduğu tarih aralığı.
  • Şifreleme için kullanılan ortak anahtar.
  • Sertifikanın alındığı yetkili kurumun dijital imzası.

Gibi tanımlayıcı bilgiler bulunur.


SSL Sertifikası Nasıl Alınır?

Web sitelerinin kimliğini doğrulayan SSL sertifikaları üçüncü taraf firmalar tarafından imzalanır ve verilir. Bunlara ek olarak kendinden imzalı olan SSL sertifikaları da vardır. Bu sertifikalar, genelde geliştirme amaçlı kullanılırlar. Bu üçüncü taraf firmalardan en çok tercih edilenleri Symantec, Comodo, GoDaddy’dir. Bu üç firma mevcut SSL sertifikalarının %75 kadarını imzalamışlardır.  


Let’s Encyrpt Nedir?

Let’s Encyrpt, ücretsiz, otomatik ve açık bir sertifika yetkilendirmesidir. Internet Güvenlik Araştırma Grubu (ISRG) tarafından sağlanan bir hizmettir.

Sertifika doğrulama, imzalama, kurulum ve yenileme gibi manuel işlem gerektiren karmaşık süreçlerin ortadan kaldırılıp otomatikleştirilmesi amaçlanarak geliştirilmektedir.

Let´sEncyrpt SSL sertifikalarına alan adınızla kayıt olabilirsiniz. Kaydınızın onaylanabilmesi için başvuruda bulunduğunuz alan adınızın size ait olduğunu kanıtlamanız gerekmektedir. Tüm işlemler tamamlandıktan ve sertifikanız onaylandıktan sonra hizmetiniz başlar. Bu süre 90 gün yani 3 aydır. Sertifika süresinin sonuna gelmeden önce tekrar yenilemelisiniz.

Sitenizi Let’s Encyrpt ile onaylatmak için https://letsencrypt.org/ adresini ziyaret edebilirsiniz.

Let’sEncyrpt sertifikasına sahip bir sitenin sertifika bilgileri şu şekilde gözükür:


SSL Sertifika Türleri

Sertifika türlerini domain türüne göre 4 farklı kategoride inceleyebiliriz.

  • Kendinden İmzalı Sertifikalar: 

Bu tip sertifikalar kimlik doğrulama için kullanılamazlar çünkü bir sertifika yetkilisi tarafından imzalanmaları gerekmektedir. Fakat şifreleme yapmak için kullanılabilirler. Genelde SSL özellikli web sunucusu kurmak isteyen kişiler tarafından kullanılırlar.

Kendinden imzalı sertifikalar, tarayıcının bir uyarı vermesine neden olur.
Google sitesi buna bir örnek değildir. Konuya örnek olması amacıyla verilmiştir.

  • Domain Validation SSL:

Doğrulama düzeyi düşüktür. Genellikle sadece sunucu adını doğrulayan ve dakikalar içerisinde sağlanan sertifikalardır. Güvenliğin ön planda olduğu sitelerde kişisel bilgilerimiz kullanıldığı için bu gibi sistemlerde DV SSL sertifikaları pek tercih edilmemektedir.

  • Organization Validation SSL:
    Doğrulama düzeyi ortalama seviyededir. Genellikle sunucu adını ve sunucu adının ait olduğu kuruluşu doğrulayan sertifikalardır. Kurum adı, faaliyette olup olmadığı, çalışmadığı, başvurunun kim tarafından yapıldığı, başvuruyu yapan kişinin durumu, başvuru yapılan alan adının sahipliğinin veya kontrolünün bu kurumda olup olmadığı ve tüm iletişim bilgilerinin doğruluğu bu tip SSL sertifikalarının üretim sürecinde tek tek doğrulanır. Bu yüzden DV SSL sertifikalarına oranla çok daha güvenli sertifikalardır.

  • Extended Validation SSL:

Doğrulama düzeyi en üst seviyededir. Bu nedenle, sertifika yetkilisi şirketin sıkı bir kayıt sürecinden geçmesini gerektirir.EV SSL Sertifikaları, devlet kuruluşları, şirketler ve şirket dışı işletmeler dâhil olmak üzere her türlü hizmet için kullanılabilir. En yüksek seviyede özgünlük iddia etmek isteyen müşteriler için en ideal çözümdür. Örneğin, şirket hakkındaki birçok detay sertifika yetkilisi tarafından doğrulanmalıdır.Sertifika onaylanmadan önce:

  1. İşletmenin yasal, fiziki ve operasyonel varlığının doğrulanması,
    1. Varlığın kimliğinin resmi kayıtlarla eşleştiğinin doğrulanması,
    1. Varlığın EV SSL Sertifikasında belirtilen alanı kullanma hakkına sahip olduğunun doğrulanması.
    1. İşletmenin EV SSL Sertifikasının verilmesine uygun şekilde yetki verdiğinin doğrulanması, gibi birçok alanda çeşitli denetimler yapılır.

Extended Validation SSL örneği

SSL Sahibi Siteler Nasıl Anlaşılır?

Kullandığımız tarayıcı, URL kısmında bir asma kilit görüntülediğinde veya adres çubuğu URL’yi HTTP yerine HTTPS olarak gösterdiğinde bir sitenin SSL kullanıp kullanmadığını anlayabiliriz.


SSL Sertifikasına sahip bir web sitesi.


SSL Sertifikasına sahip olmayan bir web sitesi.

SSL Protokolü Nasıl Çalışır?

İnternet kullanıcısı, güvenli bir web sitesini ziyaret ettiğinde, SSL sertifikası ziyaret edilen web sunucusu hakkında kimlik bilgisi sağlar ve şifreli bir bağlantı kurar. Bu işlem çok kısa bir süre içerisinde otomatik olarak gerçekleşir.

Tarayıcı ile Ziyaret Edilen Sunucu Nasıl Haberleşir?

  1. İnternet kullanıcısı, SSL ile korunan bir web sitesine bağlanmaya çalışır. Tarayıcı, web sunucusunun kendisini tanıtmasını ister.
  2. Sunucu, kendisine bağlanan tarayıcıya SSL sertifikasının bir kopyasını gönderir.
  3. Tarayıcı, sunucudan gelen SSL sertifikasına güvenip güvenmediğini kontrol eder. Eğer sertifika güvenilirse sunucuya bir mesaj gönderir.
  4. Sunucu, SSL şifreli oturumu başlatmak için dijital olarak imzalanmış bir geri bildirim gönderir.
  5. Şifrelenmiş veriler tarayıcı ve sunucu arasında paylaşılır ve bağlantı güvenli hale gelir.

Yukarıda gerçekleşen süreçte üç temel unsur vardır: iletişim için bir protokol (SSL), kimlik oluşturmaya yönelik kimlik bilgileri (SSL sertifikası) ve kimlik bilgileri için sertifika veren bir üçüncü taraf (sertifika yetkilisi).


SSL Sertifikamızın Güvenliği

İnternet sitemizi ziyaret eden kullanıcılara daha güvenli bir hizmet sunabilmek için SSL Sertifikası alabiliriz. Fakat aldığımız SSL Sertifikası görevini tam anlamıyla yerine getirmiyor olabilir. Bu gibi durumlara karşı, kullandığımız sertifikanın güvenilirliğini test etmemiz gerekiyor.

Sertifika güvenilirlik testi için, bu alanda hizmet veren üçüncü taraf firmalardan yararlanabiliriz. Eğer para ödemeden sertifikamızın güvenilirliğini kontrol etmek istersek İnternet üzerinde bu testi bizler için ücretsiz bir şekilde yapan online hizmetler de mevcut fakat bu gibi testler üçüncü taraf firmaların sağladığı profesyonel hizmetlere oranla daha zayıf bir denetleme yapıyor.  

En çok tercih edilen 3 Online SSL Güvenlik Testi hizmetini beraber inceleyelim:


SSL LABS

Qualys tarafından geliştirilen SSL Labs, en son güvenlik açıklarını takip eden ve sertifikanızdaki yanlış yapılandırılmaları kontrol eden en popüler SSL test araçlarından biridir.

  • Sertifikamızı veren kuruluşu, sertifikamızın geçerlilik süresini vb. durumları kontrol eder.
  • Protokol detaylarını inceler, şifrelemeyi kontrol eder ve sitemiz üzerinde bir deneme yaparak sertifikamızın ne kadar güvenli olduğunu belirler.

Symantec Online SSL Test

Symantec Online SSL Test, SSL / TLS sertifikamızı son güvenlik açıklarına karşı kontrol eder ve aşağıdaki bilgileri analiz eder:

  • Etkin Şifreleme Yöntemleri.
  • Etkin Protokoller.
  • Sunucu Yapılandırması.
  • Güvenli Yeniden Anlaşma.
  • SSL / TLS Sıkıştırma.
  • OCSP Paketleme.

Wormly

Wormly tarafından verilen SSL Test hizmeti ile sertifikamız 65’ten fazla koşul için kontrol edilir ve her bir durum sistemden aldığı puana göre değerlendirilir. Raporda sertifikaya genel bakış, geçerlilik süresi ayrıntıları, şifreleme protokolü ayrıntıları, ortak anahtar protokolü, güvenli yeniden anlaşma, SSLv3 / v2 protokolleri, TLS v1 /1.2 gibi bir çok bilgi bulunur. En kapsamlı araçlardan birisidir.

Yazar Hakkında

Mustafa Sarıdal

Cyber Security R&D Engineer / PRISMA CSI

1 Yorum

Yorum yap

This site uses Akismet to reduce spam. Learn how your comment data is processed.