İnternette dolaşırken çoğumuz, "bu web sitesinin güvenlik sertifikasında sorun var" gibi bir hatayla karşılaşmışızdır. İnternet güvenliği oldukça karmaşık bir konu, ancak bu yazımızda size güvenlik sertifikasının ne olduğunu anlatmaya çalışacak, hata almanız durumunda neler yapabileceğinizi anlatacağız.
Güvenlik sertifikaları neden önemli?
Oturum açmanız gereken bir web sitesini açtığınızda (banka, PayPal, eposta hesabınız gibi), bilgilerin sizinle web sitesi arasında kalması önemlidir. Bu tür bir web sitesine bağlandığınızı URL'nin HTTP yerine HTTPS (HyperText Transfer Protocol Secure) ile başlamasından ve yanındaki kilit işaretinden anlarsınız.
HTTPS bağlantısında web sitesinin kimliği doğrulanır ve veriler şifrelenerek gönderilir. Site, gerçek olduğunu elindeki güvenlik sertifikasını web tarayıcınıza göstererek ispat eder. Bu durumda web tarayıcınız, bir kilit simgesi görüntüler.
Güvenli olması gereken bir sitede bu işaretleri görmüyorsanız, sahte bir sayfada olabilirsiniz. Veya verilerinizi bağlantınızın arasına giren kişilere (man-in-the-middle saldırısı) gönderiyor olabilirsiniz.
Güvenlik sembolleri tarayıcıdan tarayıcıya değişebiliyor. Google'ın Chrome'la ilgili açıklamalarına buradan, Internet Explorer için gerekli bilgilere buradan, Safari'nin URL'nin sonunda beliren güvenlik düğmeleri hakkında bilgilere ise buradan ulaşabilirsiniz.
Site sahipleri, web tarayıcıları ve CA'lar
Site sahipleri, web tarayıcıları ve sertifika yetkilileri
E-ticaret siteleri, ticaret işlemlerinin gerçek olduğunu ve kimliklerini doğrulamak için Certificate Authority (CA - Sertifika Yetkilisi) adında bir üçüncü partiye ödemede bulunurlar. Google Chrome, Firefox ve Internet Explorer gibi web tarayıcıları ise güvenilir saydıkları Sertifika Yetkililerinin bir listesini tutarlar. Güvenilir olması beklenen bir web sitesini açtığınızda site, güvenlik sertifikasını tarayıcıya sunar. Sertifika güncelse ve güvenilen bir Sertifika Yetkilisinden geliyorsa, siteye giriş yapabilir ve işlemlerinizi gerçekleştirebilirsiniz.
Daha yüksek güvenlik
Şirketinizin ve sizin kim olduğunu doğrulamaya izin veren daha kısıtlayıcı CA'lar da vardır. Örneğin Extended Validation, web sitesinin sahibinin yasal kimliği, şirket adı, fiziksel adres, kayıt, yargı yetkisi gibi bilgiler içerir.
Extended Validation'dan geçen bir web sitesini açtığınızda, modern web tarayıcıları firma adını URL çubuğunda, yeşil olarak gösterir. Böylece doğru firmayla çalışıp çalışmadığınızı anlayabilirsiniz.
Ücretsiz Sertifika Yetkilileri
Ücretsiz Sertifika Yetkilileri
Ücretsiz hizmet sunan Sertifika Yetkilileri bulmanız da mümkündür, ancak ücretsiz olduklarından aynı seviyede güvenlik sunmazlar. Bunun yanında her web tarayıcısı, bu yetkilileri tanımayabilir. Bu durumda tarayıcı, kullanıcının karşısına sertifikanın güvenilir olmadığına dair bir uyarı çıkarabilir.
Sertifika uyarısı gördüğünüzde ne yapmalısınız?
Bu durumda yapmanız gereken şey, detayları kontrol etmek. Sertifikanın neden reddedildiğini görebilir ve siteyi kullanmaya devam edebilirsiniz. Sertifikanın süresi dolmuşsa, site sahibi onu yenilemeyi unutmuş olabilir. Bu hatayı çok sık görüyorsanız, bilgisayarınızın tarihinin doğru ayarlandığından emin olun.
Sertifika "geri çekilmişse" (revoked) site onu kötü amaçla kullanıyor olabilir. Bu durumda siteye güvenmemelisiniz. Sertifika Yetkilisinin güvenilir olmadığına dair bir uyarı da alabilirsiniz. Bu durumda CA'ya güvenip güvenmeme tercihi size kalıyor. CACert'in peer-to-peer modeli doğrulamasına veya StartSSL'nin alan adı doğrulamasına güveniyorsanız, devam edebilirsiniz.
Bir web sitesinde sertifika hatasına rastladığınızda, sitenin Twitter hesabına göz atmanızda fayda var. Site, burada hatayla ilgili bir bilgilendirme yapmış olabilir. Eğer herhangi bir bilgi bulamıyorsanız, sitenin sahibine ulaşın ve durum hakkında bilgi edinmeye çalışın.