SSL Sertifika Tipleri Nelerdir?

Bu flood’da size tarayıcıların HTTPS siteleri sahip oldukları sertifika tiplerine göre nasıl sınıflandırdığını anlatacağım.

HTTPS kullanan bazı sitelerin Google Chrome’daki görüntüsü aşağıdaki gibidir. Bazılarında sadece yeşil kilit ikonu görülüyorken diğerlerinde yeşil kilit ikonunun yanında sitenin ait olduğu şirketin ünvanına da yer verilmiştir.

Görsel farklılık, sitelerin SSL sertifika tipi ile ilgilidir. Domain Validation - DV veya Organization Validation - OV sertifika tiplerinde sadece yeşil kilit, Extended Validation - EV tipinde kilide ek olarak şirket adı gösterilir.

SSL sertifikalar, CA (Certificate Authority) adlı güvenilir üçüncü parti kuruluşlar tarafından üretilir. CA’ler finans sektöründeki bankalara benzetilebilir. CA’ler, bir yandan internette hizmet veren siteler için dijital sertifikalar oluşturup imzalar bir yandan da tarayıcı üreticileri ile anlaşarak kök sertifikalarını tarayıcılara ekler. Bu sayede kullanıcı ziyaret ettiği site ile arasında üçüncü kişilerce dinlenmeyen güvenli bir bağlantı olduğuna emin olur.

DV sertifika tipinde, CA sadece, sitenin adres çubuğuna girdiğiniz Domain Name’e sahip olup olmadığını doğrulamaktadır. İlgili domain size aitse gerekli prosedürleri izleyerek bu sertifikayı alabilirsiniz.

OV sertifika tipinde, CA Domain Name'e ek olarak kayıtlardan şirketin adresini, telefonunu ve sertifikayı talep eden kişinin şirketin yetkili bir çalışanı olup olmadığını doğrular. Doğrulama genellikle telefonla arama yolu ile yapılır.

Sadece yeşil kilit ikonu olan bir sitede, kullanıcı açısından pek fark etmese de, sertifika olarak DV ve OV tiplerinden hangisi olduğunu anlamak için Chrome'da Developer Tools / Security tab'da sertifika içeriğine bakılabilir.

Anlaşılacağı üzere DV ve OV tipi sertifikalar kullanıcıyı DNS spoofing ataklardan korumaktadır. HTTP kullanılan bir durum için bu atağa örnek olarak bir otelin Wi-Fi ağına bağlanma senaryosu verilebilir. Otelin Wi-Fi ağındaki DNS sunucu, tarayıcınız www․garanti․com․tr'nin adresini sorduğunda tarayıcınızı şifrenizi çalmak üzere kurulmuş ve Garanti Bankası web sitesine benzeyen bir siteye yönlendirebilir ve şifrenizi çalabilirdi.

Yukarıdaki örnekte DV ve OV tipi sertifika ile HTTPS kullanıldığında ise aşağıdaki iki ihtimalden biri gerçekleşebilir.

  • Bahsedilen Phishing site Garanti Bankası sertifikası yerine size kendi sertifikasını gönderir. Tarayıcınız Domain ismini sertifikayla eşleştiremediği için aşağıdaki uyarıya benzer bir uyarı çıkararak sizi uyarır.
  • Site size Garanti’nin sitesinden ulaşabildiği sertifikayı gönderir. Tarayıcı sertifikadaki Public Key ile TLS akışını başlatır fakat karşı sunucuda Garanti'nin Private Key'i olmadığı için mesaj okunamaz dolayısıyla iletişim kesilir.

Yukarıda bahsedilen SSL/TLS Handshake ve Public/Private Key'lerin nasıl çalıştığı gibi ilginç konulara sonraki flood'larda değineceğiz. Şimdi EV (Extended Validation) sertifikaları, DV ve OV tipleri ile karşılaştıralım.

EV tipi sertifika tipinde, CA OV tipindeki doğrulamalara ek olarak ilgili şirketin kurulu olduğu ülkedeki ticari sicil kayıtları, kuruluş belgesi, faaliyet raporu vb bir yığın prosedüre tabii tutulur. Uzun süren ve maliyet olarak külfetli bu süreç sonunda CA şirket için imzaladığı sertifikada şirketin ticari kimliğini de ekleyerek siteyi ziyaret eden kişinin gerçekten de doğru siteye girdiği konusunda daha fazla güven duymasını sağlar.

Son yıllarda, kar amacı gütmeyen ve ücretsiz SSL sertifika sağlamak üzere kurulan Let’s Encrypt ile efektif bir biçimde DV tipi sertifikalar otomatik olarak imzalanabilmekte ve yine otomatik olarak yenilenebilmektedir. Let's Encrypt sertifikası üretmek isteyen siteler, ACME protokolünün implementasyonu olan Certbot adlı istemciyi kullanmaktadır. İlerleyen flood'larda Certbot'un nasıl çalıştığına da detaylıca bakacağız.