- Katılım
- 15 May 2013
- Konular
- 971
- Mesajlar
- 6,650
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 12 Gün
- MmoLira
- 22,212
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
Bu konumdaki anlatmak istediklerim CCNA seviyesinde SSL/TLS sertifikaları hakkında pratik bir anlayış kazandıracaktır. Dersin sonunda, sertifikalara neden ihtiyaç duyduğumuzu, ne olduklarını, nasıl çalıştıklarını ve sertifika yetkililerinin ve kök sertifikaların bu tabloya nasıl uyduğunu açıklayabilmelisiniz.
Neden Sertifikalara İhtiyacımız Var?
Bir an için SSL sertifikalarının bir kavram olarak var olmadığını ve web tarayıcılarının hiç sertifika kullanmadığını hayal edelim.
Şimdi, bir havaalanı gibi halka açık bir yerde olduğunuzu ve dizüstü bilgisayarınızı Wi-Fi ağına bağladığınızı varsayalım. Dizüstü bilgisayarınız DHCP aracılığıyla bir IP adresi, Alt Ağ Maskesi, Varsayılan Ağ Geçidi ve DNS adresleri alır ve İnternet'e erişebilirsiniz. Hemen Google.com'u açarsınız. Tarayıcınızda gördüğünüz sayfanın gerçekten Google'dan geldiğinden nasıl emin olabilirsiniz? Emin olamazsınız.
Ağın sahibi siz değilsiniz, varsayılan ağ geçidinin sahibi de siz değilsiniz, size verilen DNS sunucusunun da sahibi siz değilsiniz. DNS sunucusu google.com'u kötü amaçlı bir IP adresine çözümleyebilir ve tarayıcınız yukarıdaki şemada gösterildiği gibi Google web sitesinin sahte bir kopyasını gösterebilir.
İnternet gibi halka açık bir ağ üzerinden bir web sitesi açtığınızda, varsayılan olarak gerçek siteyi mi yoksa sahte bir kopyayı mı gördüğünüzü bilemezsiniz. Yol boyunca birileri, örneğin sahte bir Wi-Fi erişim noktası, tehlikeye atılmış bir yönlendirici veya kötü amaçlı bir DNS sunucusu, siz fark etmeden sizi benzer bir sayfaya yönlendirebilir.
İşte SSL/TLS sertifikaları ve güven zincirinin çözmek için tanıtıldığı sorun tam olarak budur. Cihazınızın doğrulayabileceği bir şifreleme anahtarı kullanarak bağlandığınız sunucunun kimliğini kanıtlarlar.
Bazı insanlar HTTPS kullanırsak bağlantının şifrelendiğini ve bunun yeterli olduğunu varsayarlar. Ancak şifreleme ve kimlik/güven farklı şeylerdir. Eğer bir saldırgan sizi sahte sunucularına bağlanmaya kandırabilirse, yine de sizinle şifreli bir bağlantı kurabilir ve gerçek siteymiş gibi davranabilir. Bu bir "ortadaki adam" saldırısıdır. Aşağıdaki gibi hem güven zincirine hem de şifrelemeye ihtiyacınız vardır:
Sertifikalar (güven zinciri): "Bu gerçekten Google" olduğunu kanıtlar.
Şifreleme: Gönderdiğiniz ve aldığınız her şeyi korur, böylece başkaları okuyamaz.
Güven Nedir?
Güven zincirini anlamak için genel olarak güvenden bahsedelim. Aşağıdaki şemada gösterildiği gibi iki ana güven türü vardır: doğrudan ve üçüncü taraf güveni.
Doğrudan güven, birine kendi deneyimlerinizden dolayı güvenmenizdir. Örneğin, arkadaşınıza yıllardır tanıdığınız için güvenirsiniz.
Üçüncü şahıs güveni ise, zaten güvendiğiniz üçüncü bir kişinin bunu söylemesi nedeniyle birine güvenmenizdir. Örneğin, Bob'u tanımıyorsunuz. Ama en iyi arkadaşınız (ki ona güveniyorsunuz) "Bob güvenilir, ona güvenebilirsin" diyor. Sonuç olarak, onu şahsen tanımıyor olsanız bile Bob'a güveniyorsunuz.
Ancak internet, milyarlarca cihaz, web sitesi ve hizmetle muazzam bir alan olduğu için, doğrudan güven modeli ölçeklenebilir ve pratik değildir.
İşte bu yüzden internette üçüncü şahıs güven modelini kullanıyoruz. Bir varlık (bir cihaz, web sitesi veya hizmet), aşağıda gösterilen şemada olduğu gibi, Sertifika Otoritesi (CA) adı verilen üçüncü bir tarafa güvendiği için diğerine güvenir.
Bir tarayıcı, yukarıdaki diyagramın sağ tarafında gösterildiği gibi, kök sertifikaları yüklü olduğu için hangi Sertifika Yetkililerine (CA'lara) güvendiğini bilir. Her kök sertifika, CA'nın genel anahtarını içerir. Bu genel anahtarın neden bu kadar önemli olduğunu dersin ilerleyen bölümlerinde göreceksiniz.
Sertifika Yetkilisi (Kök CA) nedir?
Sertifika Yetkilisi (CA), internetteki web sitelerinin ve diğer varlıkların kimliklerini doğrulamak için dijital sertifikalar veren güvenilir bir üçüncü taraf kuruluştur.
Bu kavramı anlamak için, aşağıdaki diyagramda gösterildiği gibi, hükümet tarafından pasaport verme süreciyle ilgili bir örnek verelim.
İnsanlar gerçek hayatta kim olduklarını nasıl kanıtlıyorlar? Çoğu ülkede, bir kişi pasaport başvurusunda bulunur. Hükümet pasaportu verir ve kişi daha sonra kimliğini diğer kurumlara kanıtlamak için bunu kullanır.
Aynı fikir dijital dünyada da geçerlidir. Bir web sitesi, Sertifika Otoritesinden (CA) bir SSL sertifikası için başvurur. CA sertifikayı verir ve web sitesi kimliğini kullanıcılara ve diğer sistemlere kanıtlamak için bunu kullanır.
Pasaport Olarak SSL Sertifikası
TLS veya x.509 sertifikası olarak da adlandırılan bir SSL sertifikası, bir kişinin pasaportuna çok benzer. Bir kişi kim olduğunu kanıtlaması gerektiğinde pasaportunu gösterir. Aynı şekilde, bir web sitesi uzak bir kullanıcıya kimliğini kanıtlamak istediğinde, SSL/TLS el sıkışması sırasında SSL sertifikasını gönderir.
Şimdi ilk kez ziyaret ettiğiniz bir ülkenin havaalanında olduğunuzu hayal edin. Sınır kontrolünde, kim olduğunuzu kanıtlamak için pasaportunuzu gösterirsiniz. Memurlar, ülkenizin pasaportlarını tanıyor ve güveniyorlarsa ve pasaportunuzun gerçek olup olmadığını kontrol etmek için araçlara sahiplerse kimliğinizi doğrulayabilirler. Eğer ülkenizin pasaportlarına güvenmiyorlarsa veya doğrulayamıyorlarsa, pasaportunuz kimlik belgesi olarak kabul edilmeyecektir.
Aynı prensip SSL sertifikaları için de geçerlidir. Bir tarayıcı bir web sunucusuna SSL/TLS bağlantısı başlattığında, sunucu kimliğini kanıtlamak için SSL sertifikasını sunar. Tarayıcı, web sitesinin sertifikasını veren Sertifika Otoritesine (CA) güveniyorsa ve CA'nın genel anahtarına sahipse, sertifikanın dijital imzasını doğrulayabilir. Doğrulama başarılı olursa, tarayıcı web sitesine güvenir (ve araç çubuğunda yeşil kilit simgesini görürsünüz). Bu fikir yukarıdaki diyagramda gösterilmiştir.
SSL/TLS sertifikaları hakkında bir önemli nokta daha var. SSL sertifikası, güven zincirinin son halkasıdır. Başkalarına yeni sertifikalar vermek için kullanılamaz (tıpkı yeni pasaport veremeyen bir pasaport gibi...). Tek görevi, o istemcinin veya cihazın kimliğini temsil etmektir.
Şimdi ilk kez ziyaret ettiğiniz bir ülkenin havaalanında olduğunuzu hayal edin. Sınır kontrolünde, kim olduğunuzu kanıtlamak için pasaportunuzu gösterirsiniz. Memurlar, ülkenizin pasaportlarını tanıyor ve güveniyorlarsa ve pasaportunuzun gerçek olup olmadığını kontrol etmek için araçlara sahiplerse kimliğinizi doğrulayabilirler. Eğer ülkenizin pasaportlarına güvenmiyorlarsa veya doğrulayamıyorlarsa, pasaportunuz kimlik belgesi olarak kabul edilmeyecektir.
Aynı prensip SSL sertifikaları için de geçerlidir. Bir tarayıcı bir web sunucusuna SSL/TLS bağlantısı başlattığında, sunucu kimliğini kanıtlamak için SSL sertifikasını sunar. Tarayıcı, web sitesinin sertifikasını veren Sertifika Otoritesine (CA) güveniyorsa ve CA'nın genel anahtarına sahipse, sertifikanın dijital imzasını doğrulayabilir. Doğrulama başarılı olursa, tarayıcı web sitesine güvenir (ve araç çubuğunda yeşil kilit simgesini görürsünüz). Bu fikir yukarıdaki diyagramda gösterilmiştir.
SSL/TLS sertifikaları hakkında bir önemli nokta daha var. SSL sertifikası, güven zincirinin son halkasıdır. Başkalarına yeni sertifikalar vermek için kullanılamaz (tıpkı yeni pasaport veremeyen bir pasaport gibi...). Tek görevi, o istemcinin veya cihazın kimliğini temsil etmektir.
Güven zinciri nasıl çalışır?
Şimdi, güven zincirinin nasıl çalıştığını ve her şeyin nasıl bir araya geldiğini, böylece tarayıcınızın bir web sitesinin gerçek mi yoksa sahte mi olduğunu nasıl bildiğini yakından inceleyelim.
Kök CA özel anahtarı
Her şey Sertifika Otoritesinin özel anahtarıyla başlar. Aşağıdaki CLI bloğunda gösterildiği gibi, kriptografi matematiğinde diğer sertifikaları "imzalamak" için kullanılan gizli bir veri parçasıdır.
Özel anahtar, tüm sertifika sistemindeki en hassas bilgi parçasıdır. Birisi onu çalarsa, her tarayıcının güveneceği sahte sertifikalar oluşturabilir. Bu nedenle, sertifika yetkilileri (CA'lar), aşağıdaki şemada gösterildiği gibi, özel anahtarlarını son derece sıkı fiziksel ve dijital güvenlik önlemleriyle veri merkezlerindeki güvenli kasalarda saklarlar.
Özel anahtar asla veri merkezinden ayrılmaz. Tüm imzalama işlemleri veri merkezi içinde gerçekleşir ve birisi içeri girmeye veya anahtarı çalmaya çalışırsa, güvenlik sistemi anahtarı kapatabilir veya hatta yok edebilir. Birçok Sertifika Otoritesi (CA) ayrıca kök anahtarı tamamen çevrimdışı tutar. Anahtar yalnızca "imzalama törenleri" adı verilen nadir, kontrollü olaylar sırasında etkinleştirilir.
Sertifika Nedir?
Şimdi de sertifikaları tanıyalım. Sertifika, bir varlığın (web sitesi, cihaz vb.) kimliğini bir genel anahtar ve güvenilir bir imza kullanarak kanıtlayan dijital bir belgedir. Günümüzde tüm sertifikalar X.509 standardını takip etmektedir. Bu standart, bir sertifikanın içinde hangi bilgilerin olması gerektiğini, genel anahtarın nasıl saklandığını, kimliklerin nasıl yazıldığını ve sertifikanın nasıl imzalandığını açıklar. Genel olarak, basitleştirilmiş bir bakış açısıyla, her sertifikanın aşağıdaki şemada gösterildiği gibi iki ana bölümü vardır:
Birinci bölüm, sertifikayı kimin verdiğine, geçerlilik süresine ve sertifikanın seri numarasına, web sitesi adına ve genel anahtarına ilişkin tüm ayrıntıları içerir.
İkinci bölüm ise Sertifika Otoritesinden gelen dijital imzadır. Bu imza, sertifikanın orijinal olduğunu ve değiştirilmediğini kanıtlamaktadır.
Sertifikanın nasıl imzalandığına dikkat edin. Bu imza, sertifikanın güvenilir olduğunu kanıtlar. Sertifika Otoritesi, dersin başında açıkladığımız gibi, bu imzayı oluşturmak için özel anahtarını kullanır.
Birçok kişi "imza"nın tam olarak ne olduğunu merak eder. Bir Sertifika Otoritesi bir sertifikayı imzaladığında, sertifikanın verilerini ("imzalanacak" kısım) alır, kriptografik bir karma fonksiyonundan geçirir ve ardından karmayı özel anahtarıyla şifreler. Sonuç dijital imzadır. Kısacası, imza, bilmemize gerek olmayan kriptografik bir matematiksel işlemin sonucudur.
Kök Sertifika Nedir?
Her Sertifika Otoritesi (CA), aşağıdaki şemada gösterildiği gibi, kendi özel anahtarıyla imzaladığı bir sertifika oluşturur.
Bu, kök sertifika olarak adlandırılır. Bu, o Sertifika Otoritesi (CA) tarafından verilen diğer tüm sertifikalar için güven zincirinin köküdür. Bu Sertifika Otoritesinden web sitesi sertifikalarını doğrulamak için, işletim sisteminizde veya tarayıcınızda CA'nın kök sertifikasının yüklü olması gerekir. Ama tarayıcınıza herhangi bir kök sertifika yüklediğinizi hatırlamıyorsunuz, değil mi?
Kök Sertifikaların Dağıtımı
Kök CA'lar, kök sertifikalarını dünyadaki her cihaza tek tek göndermezler. Açıkçası, bu ölçeklenebilir değildir. Bunun yerine, kök sertifikalar zaten kullandığımız sistemlere önceden yüklenir.
Windows, macOS, iOS, Android ve Linux gibi işletim sistemlerinin tümü, aşağıdaki şemada gösterildiği gibi, en popüler CA'lar için önceden yüklenmiş güvenilir kök sertifikalar listesiyle birlikte gelir.
Web tarayıcıları ve işletim sistemleri, kök sertifika depoları adı verilen kendi güvenilir listelerini tutarlar. Elbette, bir sertifika yetkilisi (CA), kök sertifikasının bu depolara dahil edilmesi için uzun bir onay sürecinden geçmelidir. İşletim sistemi veya tarayıcı şirketi, eklemeden önce CA'nın güvenlik standartlarını, denetimlerini ve politikalarını kontrol eder. Eklendikten sonra, kök sertifika normal yazılım güncellemeleri yoluyla kullanıcılara gönderilir. Bu şekilde, her cihaz hangi kök CA'lara güveneceğini otomatik olarak bilir.
Yani pratikte, bir CA'nın web sitesinden kök sertifika indirmenize gerek yoktur. Cihazınızda zaten vardır, çünkü işletim sisteminiz veya tarayıcınız bir güncelleme sırasında sizin için yüklemiştir. Bu, güven sisteminin kullanıcıların manuel olarak hiçbir şey yapmasına gerek kalmadan milyarlarca cihaza nasıl ölçeklendiğinin yoludur.
Pratik bir ipucu: Tarayıcınızın ayarlarını açın, "sertifika" arayın ve "Sertifikaları yönet" bölümünü veya benzerini bulun. Orada, kök depoyu ve tarayıcınızın önceden yüklediği tüm kök sertifikaları kolayca bulabilirsiniz.
Windows, macOS, iOS, Android ve Linux gibi işletim sistemlerinin tümü, aşağıdaki şemada gösterildiği gibi, en popüler CA'lar için önceden yüklenmiş güvenilir kök sertifikalar listesiyle birlikte gelir.
Web tarayıcıları ve işletim sistemleri, kök sertifika depoları adı verilen kendi güvenilir listelerini tutarlar. Elbette, bir sertifika yetkilisi (CA), kök sertifikasının bu depolara dahil edilmesi için uzun bir onay sürecinden geçmelidir. İşletim sistemi veya tarayıcı şirketi, eklemeden önce CA'nın güvenlik standartlarını, denetimlerini ve politikalarını kontrol eder. Eklendikten sonra, kök sertifika normal yazılım güncellemeleri yoluyla kullanıcılara gönderilir. Bu şekilde, her cihaz hangi kök CA'lara güveneceğini otomatik olarak bilir.
Yani pratikte, bir CA'nın web sitesinden kök sertifika indirmenize gerek yoktur. Cihazınızda zaten vardır, çünkü işletim sisteminiz veya tarayıcınız bir güncelleme sırasında sizin için yüklemiştir. Bu, güven sisteminin kullanıcıların manuel olarak hiçbir şey yapmasına gerek kalmadan milyarlarca cihaza nasıl ölçeklendiğinin yoludur.
Pratik bir ipucu: Tarayıcınızın ayarlarını açın, "sertifika" arayın ve "Sertifikaları yönet" bölümünü veya benzerini bulun. Orada, kök depoyu ve tarayıcınızın önceden yüklediği tüm kök sertifikaları kolayca bulabilirsiniz.
Sertifika Doğrulama
Tamam, şimdi Chrome gibi bir tarayıcıda xyz.com gibi bir web sitesini açtığınızda kök sertifikanın rolünün ne olduğunu görelim. Web sitesinin kimliğini doğrulama süreci aşağıdaki şemada gösterilmiştir:
Adım 0: Tarayıcı, web sitesine bir HTTPS/TLS bağlantısı başlatır.
Adım 1: TLS el sıkışması sırasında, web sitesi VeriSign tarafından verilen SSL sertifikasını gönderir.
Adım 2: Tarayıcının kök deposunda VeriSign kök sertifikası önceden yüklüdür. Web sitesinin sertifikasındaki imzayı kontrol etmek ve doğrulamak için bu kök sertifikadan gelen genel anahtarı kullanır.
Bu işlem sayesinde, tarayıcı gördüğü web sitesinin gerçek olduğundan ve sahte bir "aradaki adam" saldırısı kopyası olmadığından %100 emin olabilir.
Adım 0: Tarayıcı, web sitesine bir HTTPS/TLS bağlantısı başlatır.
Adım 1: TLS el sıkışması sırasında, web sitesi VeriSign tarafından verilen SSL sertifikasını gönderir.
Adım 2: Tarayıcının kök deposunda VeriSign kök sertifikası önceden yüklüdür. Web sitesinin sertifikasındaki imzayı kontrol etmek ve doğrulamak için bu kök sertifikadan gelen genel anahtarı kullanır.
Bu işlem sayesinde, tarayıcı gördüğü web sitesinin gerçek olduğundan ve sahte bir "aradaki adam" saldırısı kopyası olmadığından %100 emin olabilir.
Ara Sertifika Yetkilileri (CA'lar)
Güven zincirini basitleştirmek ve anlaşılmasını kolaylaştırmak için daha önce güven zincirinin önemli bir bölümünü kasıtlı olarak atlamıştım. Ancak gerçekte, zincirde ara CA adı verilen fazladan bir bağlantı daha vardır.
Çevrimiçi güven oluşturmak için kök sertifika yeterli olsa da, tüm bilinen CA'lar ara sertifikalar kullanır. Bu, ekstra bir güvenlik katmanı ekler ve sistemin ölçeklendirilmesini kolaylaştırır. Nedenini merak edebilirsiniz?
Daha önce CA'ların özel anahtarlarını çevrimdışı ve son derece güvenli kasalarda sakladığını tartışmıştık. Ancak CA'ların her yıl milyonlarca sertifika vermesi gerekiyor. Kök anahtarın hepsini imzalaması gerekseydi, sürekli çevrimiçi kalması ve sürekli risk altında olması gerekirdi. Bunu önlemek için, Sertifika Yetkilileri aşağıdaki şemada gösterildiği gibi ara CA'lar kullanır.
Bu ara CA'lar günlük imzalama işlemlerini yürütürken, kök anahtar çevrimdışı kalır ve korunur. Bir güvenlik olayı meydana gelirse, CA, kök sertifikayı ve onun tarafından imzalanan her sertifikayı iptal etmek yerine, yalnızca tehlikeye atılan ara sertifikayı iptal edebilir.
Çevrimiçi güven oluşturmak için kök sertifika yeterli olsa da, tüm bilinen CA'lar ara sertifikalar kullanır. Bu, ekstra bir güvenlik katmanı ekler ve sistemin ölçeklendirilmesini kolaylaştırır. Nedenini merak edebilirsiniz?
Daha önce CA'ların özel anahtarlarını çevrimdışı ve son derece güvenli kasalarda sakladığını tartışmıştık. Ancak CA'ların her yıl milyonlarca sertifika vermesi gerekiyor. Kök anahtarın hepsini imzalaması gerekseydi, sürekli çevrimiçi kalması ve sürekli risk altında olması gerekirdi. Bunu önlemek için, Sertifika Yetkilileri aşağıdaki şemada gösterildiği gibi ara CA'lar kullanır.
Bu ara CA'lar günlük imzalama işlemlerini yürütürken, kök anahtar çevrimdışı kalır ve korunur. Bir güvenlik olayı meydana gelirse, CA, kök sertifikayı ve onun tarafından imzalanan her sertifikayı iptal etmek yerine, yalnızca tehlikeye atılan ara sertifikayı iptal edebilir.
Her şeyi bir araya getirelim
Şimdi her şeyin nasıl bir araya geldiğine bakalım. Kök CA hiyerarşisi birden fazla CA katmanından oluşur; güven zinciri aşağıdaki şemada gösterildiği gibi değişir. Web siteleri artık sertifika imzalama isteklerini (CSR) bir Ara CA'ya gönderir, bu CA bunları imzalar ve web sitesi sertifikasını verir.
Yukarıdaki şemada da görebileceğiniz gibi, bir Ara Sertifika Yetkilisi (Intermediate CA) tarafından imzalanmış bir web sitesi sertifikası alan bir tarayıcının, web sitesi sertifikasını doğrulamak için hem Ara hem de Kök sertifikaları yüklemesi gerekir.
Kök sertifikalar doğrudan cihazın güvenilir kök deposunda saklanır. Bu depo, işletim sisteminin veya tarayıcının bir parçasıdır ve yalnızca küçük, dikkatlice seçilmiş bir kök sertifika yetkilileri listesi içerir. Bu sertifikalar sistem güncellemeleri veya tarayıcı güncellemeleri yoluyla eklenir. Bir kez yüklenirler ve nadiren değişirler.
Ara sertifikalar farklı şekilde ele alınır. Cihazlar genellikle eksiksiz bir ara sertifika listesiyle birlikte gelmez. Bunun yerine, bunları otomatik olarak öğrenirler. Tarayıcınız bir web sitesine bağlandığında, sunucu sertifikasını ve köke kadar uzanan ara sertifikaları gönderir. Tarayıcı, bu ara sertifikaları saklar veya önbelleğe alır, böylece başka bir site aynı ara sertifikayı kullansa bile daha sonra kullanabilir.
Yani akış basittir. İşletim sistemi veya tarayıcı güvenilir kökleri içerir. Web sitesi, TLS el sıkışması sırasında ara sertifikaları sağlar. Tarayıcı, ara sertifikaları zincire takar ve her şeyin güvenilir bir köke kadar izlenebilir olduğunu kontrol eder.
Yukarıdaki şemada da görebileceğiniz gibi, bir Ara Sertifika Yetkilisi (Intermediate CA) tarafından imzalanmış bir web sitesi sertifikası alan bir tarayıcının, web sitesi sertifikasını doğrulamak için hem Ara hem de Kök sertifikaları yüklemesi gerekir.
Kök sertifikalar doğrudan cihazın güvenilir kök deposunda saklanır. Bu depo, işletim sisteminin veya tarayıcının bir parçasıdır ve yalnızca küçük, dikkatlice seçilmiş bir kök sertifika yetkilileri listesi içerir. Bu sertifikalar sistem güncellemeleri veya tarayıcı güncellemeleri yoluyla eklenir. Bir kez yüklenirler ve nadiren değişirler.
Ara sertifikalar farklı şekilde ele alınır. Cihazlar genellikle eksiksiz bir ara sertifika listesiyle birlikte gelmez. Bunun yerine, bunları otomatik olarak öğrenirler. Tarayıcınız bir web sitesine bağlandığında, sunucu sertifikasını ve köke kadar uzanan ara sertifikaları gönderir. Tarayıcı, bu ara sertifikaları saklar veya önbelleğe alır, böylece başka bir site aynı ara sertifikayı kullansa bile daha sonra kullanabilir.
Yani akış basittir. İşletim sistemi veya tarayıcı güvenilir kökleri içerir. Web sitesi, TLS el sıkışması sırasında ara sertifikaları sağlar. Tarayıcı, ara sertifikaları zincire takar ve her şeyin güvenilir bir köke kadar izlenebilir olduğunu kontrol eder.
Ağlarda SSL/TLS Sertifikaları
SSL/TLS sertifikaları modern ağlarda yaygın olarak kullanılmaktadır. Ağ cihazlarının parolalara güvenmeden birbirlerine güvenmelerine yardımcı olurlar. Bir cihaz sertifikasını sunar ve diğer taraf, cihazın gerçek olduğunu kanıtlamak için güven zinciri aracılığıyla doğrular. Bu güven daha sonra IPsec, SSL VPN ve SD-WAN gibi teknolojilerde güvenli tüneller oluşturmak için kullanılır. Kimlik doğrulandıktan sonra, cihazlar aşağıdaki şemada gösterildiği gibi şifrelenmiş kanallar oluşturabilir ve verileri güvenli bir şekilde değiştirebilir.
SSL/TLS'nin kullanılabileceği sayısız örnek var, ancak şimdilik gerçek dünya örneklerine girmektense, sertifikalara neden ihtiyaç duyduğumuzu, ne olduklarını ve nasıl çalıştıklarını anlamak ve hatırlamak daha önemli.
SSL/TLS'nin kullanılabileceği sayısız örnek var, ancak şimdilik gerçek dünya örneklerine girmektense, sertifikalara neden ihtiyaç duyduğumuzu, ne olduklarını ve nasıl çalıştıklarını anlamak ve hatırlamak daha önemli.
Önemli Noktalar
Şüphesiz, sertifikaları ve tüm teknik detaylarını anlamak zorlayıcıdır. Umarım artık değildir!
Sertifikalar, sunucu kimliğini kanıtlayarak "sahte web sitesi/ortadaki adam" sorununu çözer.
İnternet, her iki tarafın da bir Sertifika Otoritesine (CA) güvendiği üçüncü taraf güvenini kullanır.
Tüm modern sertifikalar X.509 standardını takip eder ve benzer bir iç yapıya sahiptir.
CA, özel anahtarını kullanarak sertifika verileri üzerinde dijital bir imza oluşturur.
Kök sertifika, güven zincirinin en üstünde yer alır ve CA tarafından kendi kendine imzalanır.
Kök sertifikalar, işletim sistemi ve tarayıcı kök depolarına önceden yüklenir ve güncellemeler yoluyla dağıtılır.
Tarayıcılar, sertifikanın imzasını güvenilir bir köke kadar kontrol ederek bir siteyi doğrular.
Ara CA'lar, kök CA ile son kullanıcı sertifikaları arasında yer alarak güvenlik ve ölçeklenebilirlik sağlar.
Kök CA'nın özel anahtarı çevrimdışı kalır ve korunur; ara CA'lar günlük imzalama işini yapar.
Bir ara CA tehlikeye girerse, yalnızca o ara CA ve alt sertifikalarının iptal edilmesi gerekir, kök sertifikanın değil.
Ağ iletişiminde, sertifikalar cihazların karşılıklı olarak kimlik doğrulaması yapmasına ve güvenli tüneller (IPsec, SSL VPN, SD-WAN) oluşturmasına olanak tanır.
Sertifikalar, sunucu kimliğini kanıtlayarak "sahte web sitesi/ortadaki adam" sorununu çözer.
İnternet, her iki tarafın da bir Sertifika Otoritesine (CA) güvendiği üçüncü taraf güvenini kullanır.
Tüm modern sertifikalar X.509 standardını takip eder ve benzer bir iç yapıya sahiptir.
CA, özel anahtarını kullanarak sertifika verileri üzerinde dijital bir imza oluşturur.
Kök sertifika, güven zincirinin en üstünde yer alır ve CA tarafından kendi kendine imzalanır.
Kök sertifikalar, işletim sistemi ve tarayıcı kök depolarına önceden yüklenir ve güncellemeler yoluyla dağıtılır.
Tarayıcılar, sertifikanın imzasını güvenilir bir köke kadar kontrol ederek bir siteyi doğrular.
Ara CA'lar, kök CA ile son kullanıcı sertifikaları arasında yer alarak güvenlik ve ölçeklenebilirlik sağlar.
Kök CA'nın özel anahtarı çevrimdışı kalır ve korunur; ara CA'lar günlük imzalama işini yapar.
Bir ara CA tehlikeye girerse, yalnızca o ara CA ve alt sertifikalarının iptal edilmesi gerekir, kök sertifikanın değil.
Ağ iletişiminde, sertifikalar cihazların karşılıklı olarak kimlik doğrulaması yapmasına ve güvenli tüneller (IPsec, SSL VPN, SD-WAN) oluşturmasına olanak tanır.
- Katılım
- 26 Tem 2023
- Konular
- 442
- Mesajlar
- 5,604
- Online süresi
- 2ay 24g
- Reaksiyon Skoru
- 3,218
- Altın Konu
- 133
- Başarım Puanı
- 249
- TM Yaşı
- 2 Yıl 8 Ay 28 Gün
- MmoLira
- 49,879
- DevLira
- 12
Eline sağlık
