Web Sitelerinde SSL Zorunluluğu
Web sitelerinde SSL zorunluluğu gündemdeki yeni haberlerden biri olarak karşımıza çıkıyor. Bunun sebebi ise dünyanın en çok kullanıcıya sahip arama motoru Google, 2017’nin Ekim ayından itibaren güvenlik sertifikası bulunmayan web sitelerini ziyaret edecek olan kullanıcılar için bu sitelerin güvenli olmadığına dair uyarı yapılacağını bildirmesi oldu. Güvenlik sertifikası, arama motoru devinin bu hamlesiyle zorunlu hale getirilmiş oldu. Peki, güvenlik sertifikası nedir ve nasıl alınır? Detaylı olarak inceleyelim…
Web Sitelerinde Güvenlik Nasıl Sağlanır?
Web siteleri, internet üzerinden çalışan bir sistem olduğu için her an siber saldırılara maruz kalma riski taşır. Bu saldırılar pek çok yolla gerçekleştirilebilir; ancak genel olarak hackerlar tarafından üretilen zararlı yazılımlar aracılığı ile yapıldığı söylenebilir. Bu zararlı yazılımlar web sitelerine yüklenen dosyalara ve tüm bilgilere ulaşımı sağlayarak, bu dosyaların çalınmasına, değiştirilmesine ya da silinmesine sebep olabilir. Web siteniz bir anda çalışmayabilir ya da çok farklı bir görünüme sahip olabilir. Dolayısıyla web sitelerinin güvenliği büyük önem arz eder.
Web sitelerinde güvenliği sağlamanın pek çok yolu vardır. Aslında bu yollar birbirini tamamlar ve ne kadar çok önlem alınırsa web sitesi o kadar güvende olacaktır. Bunların başında web sitesi dosyalarının güvenli bir sunucuda tutuluyor olmasıdır. Buna ek olarak şifre güvenliğine önem verilmesi; yani zorluk seviyesi yüksek şifreler tercih edilmesi ve şifrelerin sık sık değiştirilmesi gerekir. Web sitenin tasarımında kullanılan kodlar ve kod yapısı da güvenliği etkiler. Genellikle –web sitesinin çalışma yapısını değiştirmeyecek- şifreli kodlar, hackerları sisteme ulaşsalar dahi engeller. Ancak güvenliği sağlamanın en bilindik yolu SSL (Secure Sockets Layer) sertifikası almaktır.
SSL Nedir? Web Site Güvenliğini Nasıl Sağlar?
SSL sertifikaları web sitelerinin güvenliğini sağlamanın en yaygın yöntemlerinden biridir. Bu sertifikalar web sitelerinde yer alan verilerin sunucu ile kullanıcılar arasında doğrudan iletişim kurmayı engeller. Bu sayede veriler önce sertifika ile şifrelenir daha sonra aktarılır. Bu sayede hackerlar bu verilere ulaşsa dahi şifreli olduklarından, hiçbir anlam ifade etmez. Veriler güvende kalır. Bir web sitesinin SSL sertifikasına sahip olup olmadığını, tarayıcıdaki adres görünümünden anlayabilirsiniz. SSL sertifikalı web sitelerinin adreslerinde genelde başında yeşil bir kilit ile “güvenli” yazısı görünür. Ancak firmanın ismini, logosunu vs. görüyorsanız da sertifikalı güvenli bir site olduğundan emin olabilirsiniz.
Doğru Sertifika Neye Göre Seçilir?
Web sitelerinde SSL zorunluğu geldiğine göre artık tarayıcısında kırmızı çarpı işaretli siteleri görmeyeceğiz ya da bu sitelere erişim oldukça düşecek diyebiliriz. Peki, SSL sertifikası alacak biri bunu neye göre seçer? SSL sertifikalarının farklı çeşitleri ve buna göre farklı fiyatları vardır. Eğer sadece bu web sitelerindeki SSL zorunluluğu nedeniyle sertifika alacaksanız sertifika çeşitlerinin sizin için pek bir önemi yok; en ucuzunu almanız yeterli olacaktır. Ancak SSL sertifikalarının, web sitenin türüne ve web sitesi sahibinin siteden beklentilerine göre farklı olarak tercih edilebilecek çeşitleri vardır.Bir siteye girdiğinizde adres başında yeşil kilit gördüğünüz siteler, güvenliğini domain SSL sertifikası ile sağlıyor demektir. Eğer adreste, domain ile birlikte firma ismini de görüyorsanız bu sitenin güvenliğinin organization SSL sertifikası ile sağlandığını anlayabilirsiniz. Tüm bunlara ek olarak bir de firmanın logosunu görüyor iseniz; bu site de extenden validation SSL sertifikası ile korunuyor anlamına gelir. Elbette bu sertifikaları alırken de bazı özellikler fark edebiliyor ve yine bu özelliklere göre fiyat değişkenlik gösterebiliyor. Web sitesi kullanıcılarının masaüstü tarayıcıdan mı yoksa mobilden mi olduğuna, sitenin global mi yoksa yerel mi kullanıcılara sahip olduğuna ya da yayınlanan içeriklerle ilgili herhangi bir sigortanın dahil olup olmadığına göre değişkenlik gösterebilir. SSL sertifikaları 15 dolardan 100 bin dolara kadar geniş bir yelpazede fiyatlara sahip olabilir.
SSL Sertifikası Alırken Nelere Dikkat Edilir?
SSL sertifikası hizmeti veren oldukça fazla satıcı firma vardır. Ancak bu firmaların hepsi, doğru SSL sertifikası satışı sağlayamayabilir. SSL sertifikalarındaki en ufak ir güvenlik açığı, sitenizin milyonlarca kullanıcı için saldırıya açık duruma gelmesine sebep olabilir. Bu nedenle SSL sertifikası alırken öncelikle sertifikanın tarayıcı uyumuna bakmak gerekir. Tarayıcı uyumu %99’dan daha küçük olan sertifikalar tercih edilmemelidir. Aynı zamanda sertifikanın şifreleme gücü de kontrol edilmelidir. İdeal bir SSL sertifikasının 256 bit ve daha yüksek güçte şifreleme yapabiliyor olması beklenir. Daha düşük güçteki sertifikaları satın almamakta fayda var.
Son olarak eklemek gerekir ki; SSL sertifikası almak için öncelikle CSR; yani Certificate Signing Request alınması gerekir. Hem bunun hem de sertifikanın kurulumu için teknik bilgiye ihtiyaç olacaktır. Eğer kendinize ait bir sunucu kullanmıyorsanız, SSL sertifikası kurulumu için web sitenizi yayınlayan firmadan teknik destek talebinde bulunmanız faydalı olur.