İpuçları Sunucu Güvenliği Web Güvenliği

HTTPS Temelleri

HTTPS Nedir ?

HTTPS (Hypertext Transfer Protocol Secure yada Hypertext Transfer Protocol over SSL )  internet üzerinden güvenli haberleşme için kullanılıyor. Bu şifreli haberleşme sistemini kullanan siteler, browserımızda https şeklinde görünür.

https

 

Neden HTTPS ?

Önemli bilgilerinizi şifrelemeden göndermek, onların başkaları tarafından ele geçirildiğinde (örneğin man in the middle saldırısı) kolaylıkla anlaşılmasına ve sizi zor durumda bırakacak şekilde kullanılmasına neden olabilir. Önemli bilgiler haricinde, herhangi bir bilgi bile olsa hiçbirimiz bunu şifrelemeden göndermek istemeyiz.

Https, bu sorunu bizim verilerimizi şifreleyip anlamsız hale getirerek çözüyor. Bu şekilde bilgilerimiz ele geçirilse bile, ele geçiren kişiler için bir anlam ifade etmiyor. Burada şu soruyu sormanız gerekiyor. ” Peki bizim bilgilerimiz anlamsız hale geliyorsa bu bilgileri karşı taraf nasıl anlıyor ? ” Şifrelenmiş ve anlamsız görünen veri sunucu tarafında tekrar çözülüyor(Decryption), bunu da sahip olduğunuz https sertifikası sayesinde yapabiliyor.

Özetleyecek olursak, HTTPS web sayfamızı doğrulayarak internet üzerinde yaptığımız bilgi transferlerini şifreli bir biçimde gerçekleştirir. Bunuda Sertifikalar ve Şifreleme(Encryption) ile gerçekleştirir.

Sertifikalar

HTTPS kullanmak için, sertifikaya ihtiyacımız olduğunu belirtmiştik. Sertifika dediğimiz şey ise, bilgilerimizi kullanıcıya gösterdiğimiz dijital bir doküman. Browser’da https yazısının üzerine tıklayarak, sertifika bilgilerini görebiliriz.

sertifika

 

Bu sertifikalar CA(Certificate Authorities ) denen kurumlar tarafından verilir. Sertifika veren güvenilir kuruluşların bilgileri browserınıza kayıtlı olarak gelir. Bu şekilde hangi HTTPS sertifikası güvenli, hangisi değil ayırt edilebilir.

CA - sertifika veren kuruluş bilgileri

Şifreleme (Encryption)

HTTPS’in güvenli olmasının temel sebebi olan şifreleme – şifre çözme işlemi, bir anahtar çifti ile yapılır. Bunlardan bir tanesi public, bir tanesi private’dır.Sunucuya bir bilgi göndermek istediğinizde, sunucu browserınıza public bir şifre ile veriyi şifrelemesini söyler. Bu şifreye karşılık gelen çözücü şifre ise gizlidir(private) ve sunucu tarafında tutulur. Şifrelenmiş veri, sadece çözücü şifre ile geri döndürülebilir.

HTTPS Kurulumu

HTTPS’i kurmak için, sunucunuza bir sertifika yüklemeniz gerekir. Bu sertifika sizin tarafınızdan imzalı olabileceği gibi, third party olarak imzalı da olabilir. Burada kendi imzaladığınız yada güvenilir olmayan üçüncü parti imzalı sertifikalar için browserınız güvenilmez uyarısı verecektir.

Sertifikayı kurduktan sonra web sitenizde SSL ile güven altına almak istediğiniz sayfaları belirleyip kullanabilirsiniz. Sitenin tamanı yada bir kısmını SSL ile koruyabilirsiniz, ancak siteninizin bir kısmında kullanmak yerine, tamamında SSL kullanmak daha mantıklı bir davranış olacaktır.

Bundan sonra yapmanız gereken ise, güvenli bağlantı bulundurmak istediğiniz sayfalara giden bağlantıları düzenlemektir. Bu işlemi yapmak için, o sayfalara giden bağlantıları, başına http:// yerine https:// gelecek şekilde değiştirin.
   

Türk Telekom Şirketinde CRM Çözümlerinde Teknik Analist olarak görev yapmaktayım. Geçmişte ise iOS uygulama geliştirici olarak çalıştım. Bilginin ve paylaşmanın gücüne can-ı gönülden inanırım..