bg-blog-articles

Kök Sertifika Nedir? SSL/TLS’nin Belkemiği

Kök Sertifika Nedir

Online bir mağazada kredi kartı bilgilerinizi girerken veya banka hesabınıza giriş yaparken neden kendinizi güvende hissettiğinizi hiç merak ettiniz mi? Verilerinizin güvende kalmasını sağlayan görünmez ancak temel savunma SSL/TLS sertifika altyapısıdır ve bu güvenlik zincirinin en tepesinde kök sertifika yer alır. Peki kök sertifika nedir ve nasıl çalışır? Bu sertifika olmadan web siteleri kullanıcılarla güven ilişkisi kuramaz.

Bu makale kök sertifikaları incelemekte, nasıl çalıştıklarını ve çevrimiçi etkileşimleri korumak için neden çok önemli olduklarını açıklamaktadır.


İçindekiler

  1. Kök Sertifika Nedir?
  2. Kök Sertifikalar Nasıl Çalışır?
  3. SSL’de Kök Sertifikaların Önemi
  4. SSL’de Kök Sertifika Türleri
  5. Sertifika Yetkilileri Kök Sertifikaları Nasıl Yönetir?
  6. Kök Sertifikalarla İlgili Potansiyel Riskler ve Sorunlar

SSL sertifikalarını bugün alın

Kök Sertifika Nedir?

Kök SSL sertifik ası, sertifika zinciri adı verilen bir hiyerarşideki en üst düzey güvenlik sertifikasıdır. Güvenilir bir Sertifika Yetkilisi (CA) tarafından verilir ve bu kök sertifika, sunucu veya ara sertifikalar gibi diğer sertifikaları imzalamak için kullanılır.

Kök sertifika, işletim sistemleri veya tarayıcılar gibi güvenilir depolarda güvenli bir şekilde saklanır ve nadiren doğrudan verilir veya yüklenir. Bunun yerine, daha düşük seviyeli sertifikaların gerçekliğini doğrulamak için kullanılır. Bir sunucunun SSL sertifikası, doğrulamasını güvenilir bir kök sertifikaya kadar izleyebiliyorsa, sisteminiz bu bağlantıya güvenebileceğini bilir.

Kök SSL sertifikasının bir örneği, iyi bilinen bir Sertifika Yetkilisi (CA) olan DigiCert tarafından verilen DigiCert Global Root G2 sertifikasıdır. Aşağıda içeriğinin bir taslağı bulunmaktadır:

  • Konu: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2
  • Düzenleyen: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert Global Root G2. Sertifikayı veren, sertifikayı imzalayan CA’dır ve bu durumda bir kök sertifika olduğu için bu CA’nın kendisidir.
  • Geçerlilik Süresi: 15 Ocak 2038 tarihine kadar
  • Serial Number: 03:3A:F1:E6:A7:11:A9:A0:BB:28:64:B1:1D:09:FA:E5
  • İmza Algoritması: sha256RSA
  • Fingerprint:CB:3C:CB:B7:60:31:E5:E0:13:8F:8D:D3:9A:23:F9:DE:47:FF:C3:5E:43:C1:14:4C:EA:27:D4:6A:5A:B1:CB:5F

Konu alanı sertifikanın sahibi olan kuruluşu gösterir. Bu durumda, DigiCert’tir. Sertifikayı veren, sertifikayı imzalayan CA’dır ve bu durumda bir kök sertifika olduğu için bu CA’nın kendisidir.

Ayrıca sertifikayı imzalamak için kullanılan karma ve şifreleme yöntemini ve parmak izini de görebilirsiniz – sertifikanın içeriğinin karma hale getirilmesiyle oluşturulan ve orijinalliğini doğrulamak için kullanılan benzersiz bir tanımlayıcı.


Kök Sertifikalar Nasıl Çalışır?

Temel bileşenleri vurgulayarak kök sertifikaların nasıl güven oluşturduğunu adım adım inceleyelim:

  • Kök CA: Bir kök sertifika yetkilisi bir kök sertifika oluşturur. Bu sertifika kendinden imzalıdır, yani aynı yetkili tarafından hem verilir hem de doğrulanır. Bu nedenle kök sertifika, güvende tutulması için donanım güvenlik modüllerinde (HSM’ler) güvenli bir şekilde, genellikle çevrimdışı olarak saklanır.
  • Ara Sertifikalar: Ara CA, kök ve son varlık sertifikaları (web siteleri tarafından kullanılan) arasında bir ara katmandır. Yetkisini kök sertifikadan alır ve diğer sertifikaları imzalamaktan sorumludur.
  • Son Varlık Sertifikası (Sunucu Sertifikası): Bir web sitesinin ziyaretçilere kimliğini kanıtlamak için kullandığı sertifika, tarayıcınızın web sitesinin meşru olduğuna ve tarayıcınız ile site arasındaki iletişimin güvenli olduğuna güvenmesini sağlar. Son varlık sertifikası, bir CA’dan aldığınız ve sunucunuza yüklediğiniz sertifikadır, ancak kök olmadan var olmaz.
  • Güven Zinciri: Bir siteyi ziyaret ettiğinizde, tarayıcınız web sitesinin sunucu sertifikasından başlayarak, ara sertifikalardan geçerek ve son olarak kök sertifikaya ulaşarak sertifika zincirini doğrular.
  • Dijital Sertifikalar ve Şifreleme: Zincir doğrulandıktan sonra şifreli iletişim başlayabilir. Açık Anahtar Altyapısı (PKI) kullanan sunucu sertifikası, yalnızca ilgili özel anahtarın şifresini çözebileceği bir açık anahtar kullanarak verileri şifreler.

Kökten web sitesi sertifikasına uzanan zincir tüm bunları mümkün kılarak verilerinizin güvenli bir şekilde iletilmesini ve alınmasını sağlar. Bu yapı olmadan, bilgisayar korsanları bilgilerinizi kolayca ele geçirebilir ve web sitelerinin meşruiyetlerini kanıtlamanın bir yolu olmazdı.


SSL’de Kök Sertifikaların Önemi

Mekaniği anladığınıza göre şimdi kök sertifikaların SSL/TLS ve çevrimiçi güvenlik için neden önemli olduğunu inceleyelim.

  • Kullanıcılarla Güven Oluşturma: SSL sertifikaları kullanıcı güveninin oluşturulmasında ön planda rol oynar. Kullanıcılar asma kilidi veya HTTPS önekini gördüklerinde sitenin güvenli olduğunu bilirler. Bu güven kök sertifikaya bağlıdır. Bu sertifika olmadan, tarayıcılar bu tür web sitelerini işaretler ve ziyaretçileri uyararak web sayfalarına erişmelerini engeller.
  • Veri Bütünlüğü: Kök sertifikalar veri bütünlüğünü korur. Veriler tarayıcınız ile bir web sitesi arasında seyahat ederken, SSL sertifikası verileri şifreleyerek üçüncü tarafların bunlara erişmesini veya kurcalamasını önler. Kök sertifika, tüm sertifika zincirini doğrulayarak şifrelemenin güvenilir bir kaynaktan başladığını garanti eder.
  • Çevrimiçi İşlem Güvenliği: Bankacılık, alışveriş veya sadece bir e-posta hesabına giriş yapıyor olsanız da, bilgilerinizin güvenliği kök sertifikaya bağlıdır. Bir kök sertifika tehlikeye girerse veya süresi dolarsa, bunun feci sonuçları olabilir. Banka hesabınıza giriş yapmak ve kök sertifikasına artık güvenilmediği için sitenin güvenli olmadığına dair bir uyarı almak istemezsiniz.
  • Web Sitesi Güvenliği: Web sitesi güvenliği, kullanıcı verilerini güvende tutmanın ötesine geçer. Ayrıca, kök sertifikadan kaynaklanan SSL sertifikasının sağladığı şifreleme sayesinde sitenin içeriğinin değiştirilmemesini veya tahrif edilmemesini sağlar.

SSL’de Kök Sertifika Türleri

İki ana kök sertifika türü vardır:

  1. Özel bir CA tarafından verilen kendinden imzalı özel sertifikalar
  2. Kamu sertifika yetkilileri tarafından verilen sertifikalar

Sertifikayı veren kurum tarafından imzalanan kendinden imzalı özel bir sertifika genellikle dahili ağlar veya testler için kullanılır. Bu sertifikalar tanınmış bir sertifika yetkilisinden gelmediğinden, büyük tarayıcılar varsayılan olarak bunlara güvenmez, bu nedenle bunları manuel olarak yüklemeniz gerekir.

Öte yandan, genel kendinden imzalı kök sertifikalar tanınan ve güvenilen bir sertifika yetkilisi (CA) tarafından imzalanır. Sectigo gibi ticari CA’lar ve Let’s Encrypt gibi açık kaynaklı CA’lar, tarayıcıların ve işletim sistemlerinin varsayılan olarak güvendiği sertifikalar yayınlar. Bu CA’lar kapsamlı bir doğrulama süreci izler ve yalnızca doğrulanmış varlıkların sertifika almasını sağlar.

SSL Sertifikalarında %10 Tasarruf Edin

Temel fark, kök depolarının (işletim sisteminizdeki güvenilir sertifika deposu) bunları nasıl tanıdığıdır. Kendinden imzalı özel sertifikaların yüklenmesi için ekstra adımlar gerekir çünkü tarayıcılar bunlara otomatik olarak güvenmez. Buna karşın, genel CA tarafından verilen sertifikalar çoğu tarayıcının kök deposunda zaten bulunmaktadır.


Sertifika Yetkilileri Kök Sertifikaları Nasıl Yönetir?

Bu sertifikalar tüm sertifika zinciri için güven temelini oluşturduğundan, sertifika yetkilileri kök sertifikaları üst düzey bir hassasiyetle ele alır. CA’ların kök sertifikaları özel olarak nasıl yönettikleri aşağıda açıklanmıştır:

  1. Kök Sertifikaların Verilmesi: Kök sertifikalar gelişigüzel verilmez. Hiyerarşinin en tepesinde yer aldıklarından, oluşturulmadan önce kapsamlı bir inceleme sürecinden geçerler. Bir kök sertifika oluşturulduktan sonra, ara sertifikalar ve sunucu sertifikaları da dahil olmak üzere diğer sertifikaları imzalayan otorite haline gelir.
  2. Güvenlik ve Depolama: Kök sertifikalar son derece hassastır ve genellikle Donanım Güvenlik Modüllerinde çevrimdışı olarak saklanır. Bu çevrimdışı depolama onları çevrimiçi tehditlerden izole eder. Bu sertifikalar yalnızca gerektiğinde, örneğin imzalama işlemleri sırasında çevrimiçi hale getirilir ve o zaman bile riski en aza indirmek için sıkı güvenlik protokolleri izlenir.
  3. İmzalama: CA’lar, ara sertifikalar gibi diğer sertifikaları imzalamak için kök özel anahtarını kullanır. Bu imzalama işlemi, kök anahtara sınırlı erişimle sıkı bir şekilde kontrol edilir.
  4. Yaşam Döngüsü Yönetimi: Kök sertifikaların genellikle onlarca yıl gibi uzun geçerlilik süreleri vardır, ancak CA’lar yine de bunları aktif olarak yönetir. Son kullanma tarihlerini takip eder ve hizmet kesintisini önlemek için yenilemeleri çok önceden planlarlar. CA’lar ayrıca olası güvenlik açıklarını yakından izler ve bir kök sertifika tehlikeye girerse iptal edebilir, ancak bu durum kök sertifikaları çevreleyen yüksek güvenlik seviyesi nedeniyle nadirdir.

İptal: Bir tehlikenin ortaya çıkması durumunda, CA bir kök sertifikayı iptal edebilir. Ancak, bir kök sertifikanın iptal edilmesi altındaki tüm sertifikaları etkileyeceğinden, bu adım son çare olarak düşünülür. Bir kök sertifika iptal edildiğinde, CA bunu bir Sertifika İptal Listesi’nde (CRL) veya Çevrimiçi Sertifika Durum Protokolü (OCSP) aracılığıyla yayınlamalıdır, böylece sistemler sertifikaya güvenmeyi derhal bırakabilir.


Kök Sertifikalarla İlgili Potansiyel Riskler ve Sorunlar

Sağladıkları güvenliğe rağmen kök sertifikalar risklere karşı bağışık değildir. Güvenliği ihlal edilmiş veya süresi dolmuş bir kök sertifika yaygın sorunlara yol açarak güvensizliğe ve çevrimiçi güvenlikte potansiyel ihlallere neden olabilir.

  • Ele Geçirilmiş Kök Sertifikalar: Bir kök sertifika ele geçirilirse, saldırganlar geçerli görünen sahte sertifikalar yayınlayarak kullanıcıları kötü niyetli web sitelerini ziyaret etmeleri için kandırabilir. Kayda değer bir örnek 2011 yılında Hollandalı CA DigiNotar ‘ın saldırıya uğraması ve binlerce kullanıcıya yetkisiz sertifikalar yayınlamasıyla ortaya çıkmıştır. CA bu olaydan sonra kendini toparlayamadı ve varlığını sona erdirdi.
  • Süresi Dolmuş Kök Sertifikalar: Bir kök sertifika geçerlilik süresinin sonuna ulaştığında ve yenilenmediğinde, ona güvenen web siteleri tarayıcılarda uyarılar göstererek kullanıcıların sitenin güvenliğinden şüphe etmesine neden olur. Bu da işletmeler için güven ve gelir kaybına yol açabilir.
  • Sertifika İptali ve Yol Doğrulama: Bir CA bir sertifikayı iptal ederse, tarayıcılar geçersiz bir sertifikaya güvenmekten kaçınmak için iptal durumunu hızlı bir şekilde kontrol edebilmelidir. Yol doğrulama adı verilen bir sertifikanın geçerliliğinin kontrol edilmesi, sertifikanın güvenilir köke kadar izlenmesini ve yol boyunca herhangi bir sorun olmadığından emin olunmasını içerir.
  • Güven Deposu Yönetimi: İşletim sistemleri ve tarayıcılar, güvenilen kök sertifikaların listesini içeren bir güven deposu tutar. Bir kök sertifika güven deposundan kaldırılırsa, bu sertifika altında verilen tüm sertifikalar artık geçerli olarak tanınmayacaktır. Güven deposunun güncel tutulması güvenli bağlantıları korur.

Alt satır

Güvenilir kök sertifika yetkilileri tarafından verilen kök sertifikalar, güvendiğimiz her dijital sertifikanın arkasındaki güveni sessizce sağlar. Dijital etkileşimleri güvence altına alır, şifrelenmiş iletişimleri doğrular ve web siteleri ile uygulamaların bütünlüğünü sağlarlar.

Kök sertifikalar güven zincirini korur. Onlar olmadan web sitelerine, uygulamalara ve hatta e-posta sistemlerine olan güvenimiz sarsılır ve çevrimiçi işlemler çok daha az güvenli hale gelirdi.

Bir dahaki sefere tarayıcınızı kullandığınızda, bağlantınızın arkasındaki güvenliğin bir CA sertifikasına dayandığını unutmayın. Chrome gibi tarayıcılar artık bir asma kilit simgesi göstermese de, temel güven sistemi hala yürürlüktedir ve arka planda veri ve işlem bütünlüğünü sağlar.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.