Bir web sitesinin kimliğini doğrulayan ve şifreli bağlantı sağlayan dijital sertifika, “SSL Sertifikası” olarak adlandırılır. SSL yani Secure Sockets Layer, Güvenli Yuva Katmanı (Güvenli Giriş Katmanı) anlamına gelir. Bir güvenlik protokolü olan SSL, bir web sunucusu ile bir web tarayıcısı arasında şifreli bağlantı oluşturur.
Şirketlerin ve kuruluşların hem çevrimiçi işlemleri güvence altına almak hem müşteri bilgilerinin gizliliğini ve güvenliğini korumak için web sitelerine SSL sertifikası eklemesi gerekir. SSL’in temel görevi, internet bağlantısının güvenliğini sağlamak ve kötü niyetli kişilerin iki sistem arasında aktarılmakta olan bilgileri okumasını ya da değiştirmesini önlemektir. Web tarayıcının adres çubuğunda yer alan URL’nin yanında asma kilit işareti varsa, ziyaret ettiğiniz sitesinin SSL sertifikasıyla korunduğunu anlayabilirsiniz.
İçindekiler
SSL Nasıl Çalışır?
SSL sertifikası, kullanıcılar ile web siteleri veya iki sistem arasında aktarılan verilerin herhangi bir şekilde okunmasını önler. Aktarılan verilerin karmaşık bir hâle getirilmesi için şifreleme algoritmaları kullanarak korsanların bağlantı üzerinden gönderilen verileri okumasını engeller. Bu veriler arasında isim, adres, kimlik bilgisi, kredi kartı numarası ve diğer finansal bilgiler gibi son derece hassas bilgiler bulunabilir.
SSL sertifikası çalışırken izlenen adımlar şu şekilde sıralanabilir:
- Bir tarayıcı ya da sunucu, SSL ile güvenli hâle getirilen bir web sunucusuna yani web sitesine bağlanmayı talep eder.
- Bunun üzerine tarayıcı ya da sunucu, web sunucusundan kendisini tanımlamasını talep eder.
- Web sunucusu SSL sertifikasının bir kopyasını yanıt olarak tarayıcıya ya da sunucuya gönderir.
- Tarayıcı ya da sunucu, sertifikayı kontrol ederek güvenilir olup olmadığı kararını verir. Sertifikanın güvenilir olduğuna karar verdiği takdirde, bu doğrultuda bir sinyali web sunucusuna gönderir.
- Daha sonra web sunucusu, dijital olarak imzalanmış bir onay ile yanıt vererek SSL şifreli oturum başlatır.
- Tarayıcı ya da sunucu ile web sunucusu arasında şifreli verilerin paylaşımı gerçekleşir. Zaman zaman “SSL el sıkışması” olarak da adlandırılan bu işlemin tamamlanması yalnızca milisaniyeler sürer.
SSL sertifikası ile güvenli hâle getirilen web sitelerinin URL’sinde HTTPS (Güvenli Köprü Metni Aktarım Protokolü) şeklinde bir kısaltma görülür. SSL sertifikası bulunmuyorsa Secure kelimesinin kısaltması olmadan yalnızca HTTP kısaltması bulunur. Bunun yanı sıra URL adres çubuğunda görülen asma kilit simgesi, ziyaretçilere web sitesinin güvenilir olduğu mesajını iletir. Kullanıcılar tarayıcı çubuğundaki asma kilit simgesine tıklayarak SSL sertifikasına ilişkin ayrıntıları görüntüleyebilir.
SSL sertifikalarında görüntüleyebileceğiniz ayrıntılar aşağıda sıralanmıştır:
- Sertifikanın hangi etki alanı adı için düzenlenmiş olduğu
- Sertifikanın hangi kişi, kurum veya cihaz için düzenlenmiş olduğu
- Sertifikayı düzenlemiş olan Sertifika Yetkilisi
- Sertifikayı düzenleyen Sertifika Yetkilisine ait dijital imza
- İlişkili alt etki alanları
- Sertifikanın düzenlenmiş olduğu tarih
- Sertifikanın sona ereceği tarih
- Ortak anahtar (özel anahtar gösterilmez)
SSL Sertifikasına Neden İhtiyaç Duyulur?
Web sitesi sahipliğini doğrulama, kullanıcı verilerinin güvende olmasını sağlamak, kullanıcı nezdinde güvenilir bir imaja sahip olmak ve saldırganların web sitesinin sahte bir sürümünü oluşturmasını önlemek için SSL sertifikasına ihtiyaç duyulur.
Web sitesinin kullanıcılarda oturum açma, kredi kartı numarası gibi kişisel bilgiler girme, sağlık yardımları ya da finansal bilgiler gibi gizli bilgileri görüntülemesini istemesi durumunda verilerin gizliliğinin korunması bir zorunluluktur. SSL sertifikası sayesinde çevrimiçi işlemlerin gizli kalması sağlanır. Kullanıcılara web sitesinin gerçek olduğu ve özel bilgileri paylaşmak için güvenli olduğuna ilişkin güvence sunulur.
Şirketler açısından en önemli konulardan biri, HTTPS web adresi için SSL sertifikasının gerekliliğidir. HTTPS, HTTP’nin güvenli versiyonu olarak tanımlanabilir. Yani HTTPS, web sitesi trafiğinin SSL ile şifrelendiğini gösterir. Pek çok tarayıcı, SSL sertifikası bulunmayan HTTP sitelerini “Güvenli değil” olarak işaretlemekte olup bu durum aslında, kullanıcılara ilgili web sitesinin güvenli olmayabileceğine ilişkin net bir sinyal gönderir. Bunun sonucunda, henüz yapmamış olan işletmelerin HTTPS’ye geçiş konusunda bir adım atması teşvik edilmiş olur.
SSL sertifikası kullanıldığında; oturum açma bilgileri, kişisel bilgiler, yasal belgeler ile sözleşmeler, kredi kartı işlemleri ya da banka hesabı bilgileri, tescilli bilgiler ve tıbbi kayıtlar güvende olur.
SSL Sertifikası Türleri Nelerdir?
SSL sertifikasının farklı doğrulama seviyelerine sahip türleri vardır. Başlıca SSL sertifikası türlerine aşağıda yer verilmiştir:
Genişletilmiş Doğrulama Sertifikaları (EV SSL)
En yüksek dereceli ve en pahalı SSL sertifikası türü olup çoğunlukla veri toplayan ve çevrimiçi ödeme içren yüksek profilli web sitelerinde kullanılır. Bu SSL sertifikasının yüklü olması durumunda, tarayıcı adres çubuğunda HTTPS kısaltması, kilit simgesi, işletmenin adı ile ülke gösterilir. Adres çubuğunda web sitesi sahibine ait bilgileri göstermek, web sitesinin kötü amaçlı web sitelerinden ayırt edilmesine yardımcı olur. EV SSL sertifikası alınabilmesi için etki alanına yönelik özel haklara yasal olarak sahip olunduğunun doğrulanmasını sağlayan standart bir kimlik doğrulama sürecinden geçilir.
Kuruluş Doğrulama Sertifikaları (OV SSL)
OV SSL sertifikasının güven düzeyi, EV SSL sertifikasına benzer. Web sitesi sahibi önemli bir doğrulama sürecinden geçtikten sonra bu sertifikayı almaya hak kazanabilir. Kötü amaçlı web sitelerinden ayırt edilebilmek için adres çubuğunda web sitesi sahibine ait bilgilere yer verilir. Genellikle ikinci en pahalı sertifika olan OV SSL sertifikası, işlemler sırasında kullanıcıya ait hassas bilgilerin şifrelenmesini amaçlar. Ticari ya da kamuoyuna açık web siteleri, paylaşılan tüm müşteri bilgilerinin gizliliğini sağlama amacıyla OV SSL sertifikası yüklemesi gerekmektedir.
Etki Alanı Doğrulama Sertifikaları (DV SSL)
DV SSL sertifikası almak için gereken doğrulama sürecinin minimum düzeyde olduğu ifade edilebilir. Bu nedenle, düşük düzeyde güven ve minimum düzeyde şifreleme sağlayan SSL sertifikası türüdür. Çoğunlukla veri toplama ya da çevrimiçi ödeme söz konusu olmayan bloglar ya da bilgilendirme amaçlı web sitelerinde tercih edilir. En ucuz ve en hızlı alınabilen SSL sertifikası türleri arasında yer alır. Doğrulama sürecinde web sitesi sahibinin bir e-postayı ya da bir telefon aramasını yanıtlayıp etki alanının sahibi olduğunu kanıtlaması istenir. Tarayıcı adres çubuğunda, işletme adı olmaz sadece HTTPS ve asma kilit simgesi bulunur.
Wildcard SSL Sertifikaları
Tek bir sertifikayla bir temel etki alanının ve sınırsız sayıda alt etki alanının güvenli hâle getirilmesini sağlar. Güvenli hâle getirilmesi gereken birden çok alt etki alanı olduğu durumlarda, bunların her biri için ayrı ayrı SSL sertifikası satın almaya göre çok daha ekonomik bir çözümdür.
Çok Etki Alanlı SSL Sertifikası (MDC)
Birçok etki alanını ve/veya alt etki alanı adını güvenli hâle getirmek için MDC sertifikası kullanılabilir. Yerel olanlar hariç olmak kaydıyla farklı TLD’lere sahip tamamen benzersiz etki alanları ile alt etki alanları da bunlara dâhil olmaktadır.
Birleşik İletişim Sertifikası (UCC)
Çok Etki Alanı SSL sertifikası sayılan UC, başlangıçta Microsoft Exchange ve Live Communications sunucularını güvenli hâle getirmek için tasarlanmış olsa da, günümüzde herhangi bir web siesi sahibinin, birden çok etki alanı adını tek bir sertifikayla güvenli hâle getirmek için bu sertifikayı kullanması mümkündür. Kurumsal olarak doğrulanan UCC sertifikaları tarayıcıda bir asma kilit simgesinin gösterilmesini sağlar.
SSL’in SEO Üstündeki Tesiri
SSL Google için bir sıralama kriteri değildir yani ssl kullanmanız sitenizin sıralamalarını yükselteceği anlamına gelmemektedir. SSL başta e-ticaret sitelerinde kullanılan kart bilgilerinin güvenliğini sağlamak için geliştirilmişti. Bunun dışında SSL, hizmet veren veya farklı türde bilgi sağlayan siteler üzerinden form doldurup, kişisel bilgilerini paylaşan kullanıcılarında bilgilerini güvende tutmaktadır.
Ayrıca SSL aktif olmayan sitelerde “bu site güvenli değil” ve “bilgileriniz çalınabilir” gibi ibareler yer alır. Bu ibareler, siteye gelen kullanıcıların direkt olarak dikkatini çekeceği için, organik trafiği dolaylı yoldan etkileyecektir. Eğer sitede SSL yoksa kullanıcıların siteye olan güveni oldukça düşük olmakla birlikte trafik kaybı da yaşayacaktır.
Http’den Https’ye Geçiş
Günümüzde http protokolü kullanan site sayısı her geçen gün azalmaktadır. Ancak yine de kullanan siteler için, https sürümüne geçiş yapmak bazı durumlarda sancılı olabilmektedir. Doğru geçiş yapılmadığı durumlarda sitelerde kopya sorunları baş verecek ve tarama bütçesi oldukça gereksiz bir şekilde harcanmış olacak.
Http’den Https’ye Geçerken Dikkat Edilmesi Gerekenler
Bir SSL sertifikasının internet adresine entegre edilmesi esnasında dikkatli olunması lazımdır. Eksik ya da yanlış yapılan işlemler gerek motivasyon kaybına gerekse de maddi kayıplara sebebiyet verebilir. Bütün site kayıpsız bir biçimde SSL yöntemine geçilmelidir. SSL oryantasyonu 301 daimi oryantasyon ile yapılmalıdır. Standart sertifikanın 128 bit ve 256 bit veri şifreleme özelliği vardır. Şayet kapsamlı ve büyük bir site söz konusu değilse klasik SSL kullanılabilir.
Wildcard sertifika internet adresi ile beraber bütün subdomainleri de kapsayabilecek bir olanak sağlar. Şayet büyük ve kapsamlı bir internet adresi söz konusu ise Wildcard SSL kullanılmalıdır. SSL sertifikasının geçerli olma süresi mühimdir. Süre tamamlanmadan uzatılmalıdır. Sertifika kullanılan internet sitesi için alınmalıdır. Aksi halde problemler yaşanabilir. SSL’e geçiş yapıldıktan sonra Google Analytics kullanılıyorsa “Yönetici – Mülk Ayarları” kısmında yer alan “Varsayılan URL” alanının “HTTPS” olarak güncellenmesi unutulmamalıdır. Robots.txt ve Sitemap.xml kontrolleri yapılmalıdır.
Search Console’a SSL sertifikalı sürümü ilave edilmelidir. Fakat burada dikkatli olunması gereken pek çok adresin canonical yapısı sayfaların kendisinedir. Haliyle Google’a baz alması söylenecek olan linki bildiren bu yapı Https’ye çevrildikten sonra Search Console ayarları gerçekleştirilmeli ve bir vakit Http olan yapı silinmemelidir.
- Ana domain ve alt sayfalar için http to https yönlendirilme yapılması
- Subdomain kullanılıyorsa, subdomainlere http to https yönlendirilme yapılması
- Subfolder kullanılıyorsa, http to https yönlendirilme yapılması