SSL Nedir? Nerede Kullanılır?

Bağlantılarda SSL (veya yerine gelen TLS) kullanmak temelde 3 fayda sağlar;

  1. İletişim kuran tarafların kimliklerini doğrular
  2. Taraflar arasındaki iletişimi şifreler
  3. Gönderilen verinin bütünlüğünü korur

SSL/TLS dijital sertifikalar yardımıyla veri şifreleme, kimlik doğrulama ve veri bütünlüğünü korur. Bu dijital sertifika sayesinde sadece sunucu ve istemci bilgisayarların değil yazılımların ve e-postaların da kaynağı teyit edilebilir.

Sertifikalar “Sertifika Otoritesi” (Certificate Authority) olarak bilinen kuruluşlar tarafından üretilir. Bu kuruluşların dünya genelinde “güvenilir” olarak kabul edilmesi sistemin işlemesini sağlayan önemli unsurlardandır. İsteyen her kullanıcı kendi sertifikasını üretebilir ancak bu şekilde üretilen sertifikalar bir otoritenin imzasını taşımayacağı için tarayıcılar dahil pek çok sistem tarafından “güvenilmez” olarak kabul edilecektir. Pek çoğumuzun zaman zaman rastladığı “sayfa kimliği doğrulanamıyor, devam etmek istiyor musunuz?” uyarısının çıkmasının nedenlerinden birisi de budur.

SSL/TLS sisteminin temel taşlarının başında şifreleme anahtarları geliyor. İnterneti bankacılık işlemleri veya alışveriş gibi ekonomik amaçlarla kullanmamızı sağlayan temel yapı asimetrik şifreleme anahtarları üzerine kuruludur. Kitaplar genelde asimetrik – simetrik anahtar konusunu anahtar – kilit benzetmesi üzerinden anlatır. Simetrik şifreleme anahtarının kullanıldığı durumlarda veriyi şifrelemek ve çözmek için aynı anahtarı kullanır. Alper’in Sinem’e gönderdiği mektubu bir kutuya koyup kilitlediğini düşünelim. Bu durumda kilidi açmak için Sinem’in kilidi açan anahtara sahip olması gerekir. Bu noktada kilidi açacak bir anahtarı Sinem’e ulaştırmak gerekir. Aynı şehirdeyseniz bu kolaydır ama ya beni Amerika’da yaşayan Amcam Facebook’tan eklemek isterse? Bu durumda anahtarı ona (ve başkasının eline geçme tehlikesi olmadan) iletmenin bir yolunu bulmam gerekir. Asimetrik anahtarların kullanılması bu sorunu çözmüştür. Asimetrik anahtar yapısında şifrelemek için kullanılan anahtar ile şifreyi çözmek için kullanılan anahtarlar birbirinden farklıdır. Açık anahtar (public key) herkesin ulaşabileceği ve bana şifreli bir veri göndermek için kullanabilecekleri bir anahtardır. Gizli anahtar (private key) ise açık anahtar ile şifrelenen veriyi çözebilen tek anahtardır.  Biraz önceki örneği tekrar ele alırsak Alper Sinem’e göndereceği kutuyu anahtarı sadece Sinem’de olan bir kilitle kapatır. Anahtar dağıtmak ve anahtarın dağıtım sırasında birilerinin eline geçmesi sorun oluştururken, kilit dağıtmanın bir tehlikesi yoktur. Kilit istemediğimiz birinin eline geçse bile yapabileceği tek şey bize göndereceği (çünkü şifreyi sadece biz çözebileceğiz) veriyi şifrelemek olur.

SSL/TLS Başka Nerede Kullanılır

SSL/TLS karşımıza yaygın olarak tarayıcılarda çıksa bile tek kullanım alanları burası değil. Şifreleme teknolojisinin kuruluşların bilgi güvenliğine doğrudan katkı sağlayabileceği diğer alanlar şunlar olur:

FTP: Dosya paylaşımı için kullanılan File Transfer Protocol (FTP) şifresiz çalışır. Bu durumda trafiği dinleyebilen herhangi bir saldırgan gönderilen veriyi görebilir. Bunu engellemek için FTPS (File Transfer Protocol Secure) kullanılmalıdır.

E-postalar: E-postaların sertifika ile imzalanması mesajların şifrelenmesini ve gönderici kimliğinin doğrulanmasını sağlar. Sizin ve iş yaptığınız paydaşların imzalı e-posta mesajları kullanmaları son zamanlarda sıkça karşılaştığımız Business Email Compromise saldırılarını da önleyebilecek etkili bir çözümdür.

İstemci güvenliği: Yerel ağdaki istemcilerin kimliğini sunucuda doğrulamak için ve LDAP benzeri şifresiz yapılara bir şifreleme katmanı kazandırmak için kullanılabilir.

Kablosuz ağlar: Kablosuz ağ erişim noktalarının kimliklerinin doğrulanması için kullanılabilir. Bu sayede kuruluş bünyesinde bulunan kablosuz ağ altyapısı daha güvenli ve güvenilir hale gelir.

SSL VPN: Genele açık bir ağ olan internet üzerinde güvenli bir haberleşme tüneli oluşturmak için IPSec dışında, özellikle TCP çalışan protokoller için, geçerli bir alternatif sunar.

Sunucular arası iletişim: Yerel ağa sızması muhtemel bir saldırgan veya zararlı yazılımın sunucular arasındaki iletişimi görememesini ve müdahale edememesini sağlar.