Kullanıcı verilerinin güvende olmasını sağlamak, web sitesinin sahipliğini doğrulamak, saldırganların sitenin sahte bir sürümünü oluşturmasını engellemek ve kullanıcılara güven vermek için web sitelerinin SSL sertifikasına sahip olması gerekir.
Web sitesi kullanıcılardan oturum açmalarını, kredi kartı numarası gibi kişisel bilgiler girmelerini veya sağlık yardımları ya da finansal bilgiler gibi gizli bilgileri görüntülemelerini istiyorsa verilerin gizliliğini korumak şarttır. SSL sertifikaları çevrimiçi işlemlerin gizli kalmasını sağlar ve kullanıcılara web sitesinin gerçek olup özel bilgileri paylaşmak için güvenli olduğuna dair güvence verir.
Şirketler için asıl önemli olan ise HTTPS web adresi için SSL sertifikasının gerekli olmasıdır. HTTPS, HTTP'nin güvenli versiyonudur; bu da HTTPS web sitelerinin trafiğinin SSL ile şifrelendiği anlamına gelir. Çoğu tarayıcı, SSL sertifikasına sahip olmayan HTTP sitelerini "güvenli değil" olarak işaretler. Bu, kullanıcılara sitenin güvenli olmayabileceğine dair net bir sinyal verir ve henüz yapmamış olan işletmeleri HTTPS'ye geçiş yapmaya teşvik eder.
SSL sertifikası, aşağıdaki gibi bilgilerin güvende olmasını sağlamaya yardımcı olur:
Oturum açma bilgileri
Kredi kartı işlemleri veya banka hesabı bilgileri
Kişiyi tanımlayabilecek bilgiler (tam ad, adres, doğum tarihi, telefon numarası vb.)
Yasal belgeler ve sözleşmeler
Tıbbi kayıtlar
Tescilli bilgiler
SSL sertifikası türleri
Farklı doğrulama seviyelerine sahip farklı SSL sertifikası türleri mevcuttur. Altı başlıca SSL türü şunlardır:
Genişletilmiş Doğrulama sertifikaları (EV SSL)
Kuruluş Doğrulama sertifikaları (OV SSL)
Etki Alanı Doğrulama sertifikaları (DV SSL)
Wildcard SSL sertifikaları
Çok Etki Alanlı SSL sertifikaları (MDC)
Birleşik İletişim Sertifikaları (UCC)
SSL sertifikası nasıl alınır?
SSL sertifikası, doğrudan bir Sertifika Yetkilisinden (CA) alınabilir. Sertifika Yetkilileri (Sertifikalandırma Yetkilisi de denir) her yıl milyonlarca SSL sertifikası düzenler. İnternetin işleyişi ve çevrimiçi ortamdaki etkileşimlerin şeffaf, güvenilir olmasında kritik bir rol oynarlar.
İhtiyaç duyduğunuz güvenlik düzeyine bağlı olarak SSL sertifikaları ücretsiz olabildikleri gibi yüzlerce dolara da mal olabilir. İhtiyacınız olan sertifika türüne karar verdikten sonra ihtiyacınız olan düzeyde SSL sertifikası veren bir Sertifika Yetkilisi bulmanız gerekir.
SSL sertifikası alma süreci aşağıdaki adımlardan oluşur:
Hazırlanma: Sunucunuzu kurun ve WHOIS kaydınızın güncellenmiş olup Sertifika Yetkilisine gönderdiğiniz bilgilerle eşleştiğinden emin olun (doğru şirket adını, adresini vb. göstermelidir).
Sunucunuzda veya hosting firmanızda bir Sertifika İmzalama İsteği (CSR) oluşturma. Bu adım için barındırma şirketinizden yardım alabilirsiniz.
Etki alanınızı ve şirket ayrıntılarını doğrulamak için bunu Sertifika Yetkilinize gönderme.
Süreç tamamlandığında Sertifika Yetkilinizin verdiği sertifikayı yükleme.
Web sitesini kendiniz barındırıyorsanız aldıktan sonra sertifikayı kendi web ana bilgisayarınızda veya kendi sunucularınızda yapılandırmanız gerekir.
Alacağınız sertifikanın türü ve sertifikayı hangi sağlayıcıdan alacağınız, sertifika alma sürecinin ne kadar hızlı olacağını belirler. Her bir doğrulama düzeyinin tamamlanması için gereken süre farklıdır. Basit bir Etki Alanı Doğrulama SSL sertifikası siparişten dakikalar sonra düzenlenebilirken Genişletilmiş Doğrulama sertifikasını almak bir hafta kadar sürebilir.
SSL sertifikasının süresi dolduğunda ne olur?
SSL sertifikalarının bir geçerlilik süresi vardır; sonsuza dek kullanılamazlar. SSL sektörü için fiili düzenleyici kurum görevi gören Certificate Authority/Browser Forum, SSL sertifikalarının geçerlilik süresinin en fazla 27 ay olması gerektiğini belirtiyor. Bu, iki yıllık bir süre demek ve ayrıca önceki SSL sertifikanızın süresi dolmadan sertifikayı yenilerseniz üç aylık süreyi de devredebilirsiniz.
SSL sertifikalarının geçerlilik süresinin olmasının sebebi, herhangi bir doğrulama belgesinde olduğu gibi, bilgilerin hala doğru olduğunun denetlenmesi için düzenli olarak tekrar onaylanmasının gerekmesidir. Şirketler ve aynı zamanda web siteleri satın alınıp satıldıkça internette de bir şeyler değişir. Bunlar el değiştirdiğinde SSL sertifikalarıyla ilişkili bilgiler de değişir. Bu geçerlilik süresinin amacı, sunucuları ve kuruluşları doğrulamak için kullanılan bilgilerin olabildiğince güncel ve doğru olmasını sağlamaktır.
Daha önceden, SSL sertifikaları beş yıla kadar süreyle verilebiliyordu ancak bu süre öncelikle üç yıla, en son ise ekstra potansiyel üç ayla birlikte iki yıla düşürüldü. 2020 yılında Google, Apple ve Mozilla, Certificate Authority Browser Forum tarafından oylamayla reddedilmesine rağmen bir yıllık SSL sertifikası uygulamasına geçeceğini açıkladı. Bu uygulama, Eylül 2020'den sonra yürürlüğe girdi. Gelecekte sertifikaların geçerlilik süresi daha da fazla kısaltılabilir.
Bir SSL sertifikasının geçerlilik süresi sona erdiğinde, söz konusu site erişilemez hale gelir. Kullanıcının tarayıcısı bir web sitesine eriştiğinde, milisaniyeler içinde SSL sertifikasının geçerliliğini kontrol eder (SSL el sıkışması). SSL sertifikasının süresi dolmuşsa ziyaretçiler "Bu site güvenli değil. Potansiyel riskler söz konusu olabilir." gibi bir mesaj alır.
Kullanıcılara devam etme seçeneği sunulsa da kötü amaçlı yazılım olasılığı da dahil olmak üzere siber güvenlik riskleri düşünüldüğünde devam edilmesi önerilmez. Kullanıcılar hızlıca ana sayfadan uzaklaşıp başka bir yere gideceği için bu durum, web sitesi sahipleri için hemen çıkma oranını büyük oranda etkileyecektir.
SSL sertifikası süresinin ne zaman dolacağını takip etmek büyük işletmeler için bir zorluk teşkil eder. Küçük ve orta büyüklükteki işletmelerin (KOBİ) yönetmesi gereken bir veya yalnızca birkaç tane sertifika bulunurken pazarlar arası işlem yapan, çok sayıda web sitesi ve ağa sahip kuruluş düzeyindeki şirketlerin çok fazla sertifikası olabilir. Bu düzeyde, bir SSL sertifikasını süresi dolmadan önce yenilememek, yetersizlikten ziyade ihmalkârlığın bir sonucudur. Büyük işletmelerin, SSL sertifikalarının geçerlilik süresinin ne zaman biteceğini takip etmesi için en iyi yol bir sertifika yönetim platformu kullanmaktır. Pazarda, çevrimiçi aramayla bulabileceğiniz birçok farklı ürün mevcuttur. Kuruluşlar, bu platformlar sayesinde tüm alt yapılarındaki dijital sertifikaları görebilir ve yönetebilir. Bu platformlardan birini kullanıyorsanız sertifikaların yenilenme zamanını takip etmek için düzenli olarak platforma giriş yapmanız önemlidir.
Bir sertifikayı süresi dolmadan önce yenilemezseniz sertifika geçerliliğini kaybeder ve artık web sitenizde güvenli işlemler yürütemezsiniz. Sertifika Yetkilisi (CA), geçerlilik tarihinden önce SSL sertifikanızı yenilemeniz için istemde bulunacaktır.
SSL sertifikalarınızı almak için kullandığınız Sertifika Yetkilisi veya SSL hizmeti, belirlenen aralıklarda size sürenin dolmak üzere olduğuna dair bildirimler yollar. Bunlar genelde 90 gün öncesinden başlar. Bu hatırlatmaların, hatırlatmanın gönderileceği zamana kadar şirketten ayrılabilecek veya başka bir role geçebilecek tek bir kişi yerine bir e-posta dağıtım listesine gönderilmesini sağlamaya çalışın. Bu hatırlatmaları doğru zamanda doğru kişilerin görmesini sağlamak için bu dağıtım listesinde şirketinizden hangi paydaşların yer aldığını düşünün.
