İşletmenizi internete taşımaya hazırlanıyorsanız, web sitenizi bir SSL (Güvenli Yuva Katmanı) sertifikasıyla koruma altına almanız gerekir. Dijital sertifika, sitenizin kimliğini doğrular ve müşterilerin hassas bilgilerini şifreleyerek korur.
“SSL, Google’ın 2014’te sıralama faktörlerine dâhil ettiğinden beri siteler için bir zorunluluk haline gelmiştir.”
SSL veya Güvenli Yuva Katmanı, bir web sunucusu ile bir istemci veya ziyaretçi arasında güvenli bir bağlantı kurmak için kullanılan orijinal şifreleme protokolüdür. Bugünün şartlarında SSL protokolü, hala modern kriptografik gelişmelerin temeli olarak hizmet eden çok önemli bir teknoloji olmasına rağmen, ilkeldir.
SSL'nin kurulması, belirli bir genel anahtarı doğrulayan elektronik belgeler olan kimlik sertifikalarının oluşturulmasına yol açtı. Bu sertifikalar, sertifikanın bir parçası olarak özel bir anahtar (private key) veren güvenilir bir üçüncü taraf (sertifika yetkilileri) tarafından imzalanır.
Web sitesinin sahibinin kurumsal adı ve veren makam gibi SSL sertifikasının ayrıntıları, web tarayıcısının adres çubuğundaki asma kilit simgesine tıklayarak görülebilir.
Genel ve özel anahtarlar arasındaki etkileşimler, modern İnternet'in temel güvenlik standardı olan Public Key Infrastructure (PKI), Türkçe ifade ile “Ortak Anahtar Altyapısı” veya “Açık Anahtar Yapısı” haline getirir ve kullanıcıların güvenlikleri konusunda endişelenmelerine gerek kalmadan ilgili web sitesinde gezinmelerine olanak tanır.
PKI (Açık Anahtar Yapısı): genel internet üzerindeki trafiğin güvenliğini sağlamak için bugün kullanılan her web tarayıcısında bulunur, ancak kuruluşlar bunu dahili iletişimlerini ve bağlı cihazlara erişimi güvence altına almak için de kullanabilirler.
SSL sertifikaları, kriptografik anahtar çiftlerini bir araya getirerek (daha fazla bilgi edinmek isteyenler için x.509 sertifikalarının kullanımı yoluyla) etki alanı doğrulaması yapabilir ve müşteri bilgilerini gizli tutarken, bağlantıyı güvenli tutmak için gerekli kimlik güvencesini de korur.
Bir SSL/TLS sertifikası, kabaca aşağıdaki özelliklerden oluşur:
Web sitenizi ziyaret eden kullanıcıların oturum açmayı gerekiyorsa veya bir kullanıcı adı ve şifre gibi bir kişisel bilgilerin girilmesi gerekiyorsa, sitenizde mutlaka SSL sertifikası bulunmalıdır. Kredi kartı, kullanıcı bilgileri, vb. verilerin korunduğuna dair güvenceye sahip olan ziyaretçilerinizin tekrardan web sitenizi ziyaret etmesi daha muhtemeldir.
Perakende sektöründe güven her şey demektir ve güven, satışların büyük bir itici gücüdür. Web sitesi hızını ve çalışma süresini en üst düzeye çıkarmak için iyi bir web barındırıcısı kullandığınızda güvenilir görünebilirsiniz. Müşterilerinizin verilerini etkili bir şekilde korumak için saygın bir ödeme işlemcisi kullanmanız gerekir ve web site güvenliğinin bir parçası olan SSL, dünya genelinde geçerliliği ile bu güveni sağlayacaktır.
SSL, verilerin alınırken veya gönderilirken şifrelenmesini sağlar. Bu şifreleme, bir kupon, promosyon kodu, tatil mesajı veya haber bülteni gibi web sitesi ziyaretçilerine gönderdiğiniz bilgilerin kötü niyetli kişiler tarafından izlenmesini ve yönetilmesini engeller.
Google, HTTPS'yi çok az aramayı etkileyen "çok hafif bir arama sinyali” olarak tanımlıyor. Fakat ilerleyen süreçlerde bu tabir “çok güçlü bir arama sinyali” şekline dönüşebilir. Çünkü Google, hem site sahiplerinin hem de ziyaretçilerin güvenli bir şekilde web ortamına dahil olabilmeleri için tüm web sitesi sahiplerini HTTP'den HTTPS'ye geçmeye teşvik ediyor. Bu gelişime ayak uyduramayan sitelerin arama sonuç sayfalarında geride kalması, hiç de sürpriz olmaz.
SSL, web sitenizin yükleme hızlarını iyileştirebilir. HTTPS, bağlantı başına birden fazla istek kullandığından, web sitenizin daha hızlı yüklenmesini sağlayabilir. Böylece SEO tarafında olumlu bir işlem olarak gözükür.
Web siteniz müşterilerin kredi kartı veya diğer yüksek değerli bilgileri girmesini gerektiriyorsa, “Genişletilmiş Doğrulama” diğer bir ifadeyle EV SSL sertifikası kullanmanız ve müşterilerinize, hızlı bir şekilde web sitenizin kimliğinin ve şifrelemesinin kanıtını göstermeniz gerekir. EV SSL sertifikası, güven oluşturmaya ve daha yüksek değerde daha fazla işlem oluşturmaya yardımcı olabilir. EV SSL sertifikası, adres çubuğunda HTTPS olarak görünür ve kapalı bir asma kilit simgesi, şifreli bir oturumun mevcut olduğunu ifade eder. Ayrıca, tarayıcı adres çubuğu yeşile döner. Şirketinizin adı ve bilgileri doğrulayan sertifika yetkilisinin adı, web adresinin yanında görüntülenir.
Sertifika Yetkilisi, temel bir inceleme yapar ve belirli bir alanı kullanmak için yasal hakkınız olup olmadığını kontrol eder. OV SSL sertifikası için yapılacak kontrol, EV SSL sertifikası durumunda olduğu kadar kapsamlı değildir. Müşteriler, sertifika ayrıntılarını kontrol ettiklerinde işletmenizle ilgili bilgileri de görebilirler.
Sertifika Yetkilisi, yalnızca şirketinizin belirli alan adını kullanma hakkını kontrol eder ve işletmenizi yayınlama için incelemez.
Web sitenizde çok çeşitli güvenlik özelliklerini sağlamak için bir SSL sertifikası kullanabilirsiniz. Örneğin tek alanlı bir SSL sertifikası, tüm kurulumları için basit bir güvenlik uygulamasına ihtiyaç duyan küçük zamanlı blog yazarları ve küçük işletme sahipleri için yeterli bir seçim olacaktır.
Öte yandan, çok alanlı SSL sertifikaları, birkaç farklı etki alanında özellikler sunan web sunucuları için daha geniş kapsama alanı sağlayabilir.
SSL/TLS, ister basit bir alan doğrulaması isterse üst düzey bir EV SSL sertifikası (genişletilmiş doğrulama, kurumsal alan adları, vb.) olsun, herhangi bir SSL sertifikasında güvenlik için kullanılır. Nihai hedef, her zaman güvenilir bir üçüncü taraf aracılığıyla alan sahipliğini kanıtlamaktır.
Transport Layer Security (Aktarım Katmanı Güvenliği) teriminin kısaltması olan TLS, esasen SSL'nin halefidir, ancak daha güvenlidir. SSL'nin artık bir halefi olmasına rağmen ve hala çevrimiçi olarak en popüler protokollerden birisi olmasına rağmen, genellikle aynı protokol olarak değerlendirilir.
Uzun yıllar boyunca HTTPS, standart protokolü olarak SSL'yi kullandı. Günümüzde ise TLS adı verilen daha yeni bir SSL sürümü mevcut. Bu iki sürüm pek çok açıdan birbirine benzese de; TLS, SSL'nin yükseltilmiş versiyonudur. Güvenilir bir sağlayıcıdan çevrimiçi olarak bir SSL sertifikası satın alırsanız, büyük olasılıkla bir SSL/TLS sertifikası edinmiş olursunuz.
Özetle, SSL ve TLS arasında çok fazla fark yoktur. Ancak, sunucu yapılandırmalarınız söz konusu olduğunda, SSL'den TLS'ye geçiş çok değerli olabilir ve tarayıcı güvenlik uyarıları, güncel olmayan şifre paketleri ve ağ güvenlik açıkları için daha iyi bir performans sunabilir.
Özetleyecek olursak:
HTTPS ve SSL özünde bağlantılıdır. HTTP ve HTTPS, iletişim protokolleridir ve SSL/TLS, bu iletişim kanallarının güvenliğinin sağlandığı araçlardır. Modern bir SSL sertifikası kullanan çoğu kişi, sunucuları bu yeni protokolü kabul edecek şekilde yapılandırıldığı sürece TSL'den de yararlanacaktır.