SSL Sertifikalı Siteler Güvenli mi?

SSL Sertifikalı Siteler Güvenli mi?
SSL Sertifikalı Siteler Güvenli mi?

Merhaba dostlarım.

Bugün sizlere SSL sertifikalı, yani adres çubuğunun başında “https://” (Güvenli) yazan siteler ve bunların ne kadar güvenli olduklarından bahsedeceğim.

SSL sertifikası maalesef güvenliğini geçmişteki gibi korumuyor.Bunun sebebiyse maddiyat.Önceden 100 siteden bir tanesinde bulunan SSL sertifikası, bugün 100 siteden 80’inde bulunuyor.Sebebi ise günümüzde çeşitli işlemler sonrası bedava alınabiliyor olması.Yani bu sertifikayı günümüzde her isteyen rahatlıkla alabiliyor.Herkesin elinde bulunan bi şey en fazla ne kadar güvenli olabilir?

Olaya bir de başka boyuttan bakalım.O “güvenli” ibaresini gördüğünüz, güvenli sandığınız sitelerin aslında hiçbirisi sizin sandığınız kadar güvenli olmadı.Çünkü burada güvenlikten kasıt, sunucuyla sizin bilgisayarınız arasındaki iletişimdir.Yani, atıyorum siz site.com diye bir siteye üye olacaksınız, gerekli formları doldurdunuz ve “Kayıt Ol” butonuna bastınız, tarayıcınız sizin form verilerinizi, cookie’lerinizi vs. toplayıp hedef sunucuya yollayacak, hedef sunucu da bu istekleri işleyip bir yanıt (response) döndürecek ve tekrar sizin tarayıcınıza yollayacak, bu response’un sonucuna göre de tarayıcı ekrana gerekli verileri yazdıracak, “kayıt işleminiz başarıyla tamamlandı” gibi.

Buradaki güvenlik, ağın takip edilmesinden, yani network sniffing dediğimiz olaydan korunmaktır.Nedir bu network sniffing, sizinle aynı ağda bulunan bir saldırganın, internet ağınınızı takip ederek sizin şifrelerinizi/cookie’lerinizi ve bu gibi birtakım HTTP request’lerinizi ele geçirmesine network sniffing diyoruz.İşte SSL sertifikalı sitelerin “Güvenli” tabirini alması buradan geliyor.Yani, siz site.com gibi herhangi bir SSL sertifikası kullanmayan siteden işlem yaptığınızda, oturumlarınız veya şifreleriniz sizinle aynı ağdaki saldırganlar tarafından ele geçirilebilirken, facebook.com gibi SSL kullanan bir siteden işlem yaptığınızda bu hassas verilerin takip edilmesi ciddi ölçüde zorlaşacaktır.

Bu durumda, bir sitenin güvenli olup olmadığını SSL sertifikasına göre belirleyemeyeceğimiz gerçeği ortaya çıkar.Çünkü o sitenin arkaplanda (server-side) sizin şifrelerinizi, kredi kartlarınız gibi hassas bilgileri veritabanında depolamadığını bilemeyiz. 🙂

İpucu: Network sniffing’den korunmak için bir VPN kullanmanızı öneririm.

Sonuç olarak, SSL sertifikalı sitelere “güvenli” dememiz doğru olmaz.

Hepinize güvenli günler.

Yazıya gelen yorumlar:

  1. Merhabalar,

    Yazınızı okuduğumda çıkardığım sonuç kullanıcıların bilinçsiz olmasıdır. SSL sertifikasından dolayı ve ücretsiz ssl sertifikası kullanan sitelerden dolayı bir “güvenlik” sorunu oluşmuyor. Her ne kadar güvenlik önlemlerini alsanız dahi kullanıcı bilinçsizce kullandığı takdirde zarar görmesi kaçınılmazdır. SSL sertifikasını amacını kullanıcılara öğretmek lazım -ki Google bu doğrultuda Chrome tarayıcısı üzerinde gerekli uyarıları ve bildirileri yapıyor ve bilinçli kullanıcı kitlesinde bundan ötürü artış mevcut. Aynı işlemi facebook, mozilla, opera gibi internet sektörünün önde gelen firmaları da yapmaya başladılar.

    • Chrome’un uyarısı da ağ güvenliği üzerine dostum.Yine de farkındalık yaratmaya çalışmaları güzel bi şey.

  2. Günümüzün en önemli güvenlik problemi SSL güzel makale için teşekkürler Numan bey,

  3. Ayhan

    Asıl önemli olan free sertifika veren siteler güvenli mi ?

    • Yoruma açıktır. 🙂 Benim güvenli diyebileceklerim var içinde.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yazı URL