SSL (Secure Sockets Layer) ve onun yerini alan TLS (Transport Layer Security), internet üzerinden iletilen verilerin şifrelenmesini sağlayan güvenlik protokolleridir. Aslında bugün kullandığımız neredeyse tüm sertifikalar teknik olarak TLS (v1.2 veya v1.3) olsa da, alışkanlık gereği hala "SSL" terimi kullanılmaktadır. Bu protokollerin temel amacı, bir tarayıcı ile web sunucusu arasındaki veri akışını "dinlenemez" ve "değiştirilemez" hale getirmektir. SSL olmadan, girdiğiniz şifreler veya kredi kartı bilgileri ağ üzerindeki herhangi bir saldırgan tarafından düz metin olarak okunabilir. SSL sertifikası, sitenizin kimliğini doğrulayan dijital bir pasaporttur. Bir siteye girdiğinizde tarayıcının adres çubuğunda gördüğünüz kilit simgesi, bu güvenli tünelin kurulduğunu temsil eder. Google, 2014 yılından bu yana SSL kullanan siteleri arama sonuçlarında üst sıralara çıkararak bu güvenliği tüm web için zorunlu hale getirmiştir. Güvenlik protokollerinin gelişimi, her yeni versiyonda daha hızlı ve daha kırılmaz algoritmaların (ECC gibi) devreye girmesiyle devam etmektedir.
SSL/TLS dünyası, iki temel şifreleme yönteminin mükemmel bir işbirliği üzerine kuruludur. Asimetrik şifreleme, bir "Açık Anahtar" (Public Key) ve bir "Gizli Anahtar" (Private Key) kullanır. Açık anahtar herkesle paylaşılabilir ve sadece veriyi şifrelemek için kullanılır. Bu şifreyi çözecek tek şey, sunucuda saklanan gizli anahtardır. Asimetrik şifreleme çok güvenlidir ancak matematiksel olarak ağırdır ve yavaştır. Öte yandan simetrik şifreleme, hem şifreleme hem de çözme için aynı anahtarı kullanır ve çok hızlıdır. SSL el sıkışması (handshake) sırasında, asimetrik şifreleme kullanılarak taraflar arasında güvenli bir "geçici simetrik anahtar" değişimi yapılır. Bu değişim tamamlandıktan sonra, asıl veri trafiği hızlı olan simetrik şifreleme ile devam eder. Bu sayede hem başlangıçtaki kimlik doğrulama güvenliği sağlanır hem de veri transferi sırasında performans kaybı yaşanmaz. Bu hibrit yapı, modern internetin hem hızlı hem de güvenli olmasını sağlayan temel mühendislik harikalarından biridir. Algoritmaların gücü, anahtar uzunluğu (bit değeri) arttıkça katlanarak büyür.
Bir tarayıcı bir web sitesine bağlandığında, milisaniyeler içinde gerçekleşen karmaşık bir "el sıkışma" süreci başlar. İlk adımda tarayıcı (Client Hello), desteklediği TLS versiyonlarını ve şifreleme algoritmalarını sunucuya gönderir. Sunucu, uygun olanı seçer ve kendi sertifikasını (Server Hello) tarayıcıya iletir. Tarayıcı, bu sertifikanın güvenilir bir otorite tarafından imzalanıp imzalanmadığını ve geçerlilik tarihini kontrol eder. Eğer sertifika geçerliyse, tarayıcı asimetrik şifreleme kullanarak sunucuya rastgele bir "pre-master secret" anahtarı gönderir. Sunucu bunu kendi gizli anahtarıyla çözer ve her iki taraf da bu veriden bir "oturum anahtarı" (session key) üretir. Bu noktadan sonra tüm iletişim bu ortak anahtarla şifrelenir. TLS 1.3 ile bu süreç "Zero Round-Trip Time" (0-RTT) özelliğine kavuşmuş, yani daha önce ziyaret edilen sitelerle el sıkışma süresi neredeyse sıfıra inmiştir. Bu süreçteki herhangi bir hata (sertifika süresinin dolması veya yanlış domain), tarayıcının kullanıcıya "Bağlantınız Güvenli Değil" uyarısı vermesine neden olur.
SSL sertifikaları, doğrulama seviyelerine göre üç ana kategoriye ayrılır. DV (Domain Validation), en temel seviyedir. Sadece domainin size ait olduğunun (e-posta veya DNS kaydı ile) kanıtlanmasıyla dakikalar içinde alınır; bloglar ve küçük siteler için idealdir. OV (Organization Validation), alan adının yanı sıra kurumun varlığını da doğrular. Sertifika detaylarında şirket ismi yer alır, bu da kullanıcılara daha fazla güven verir. EV (Extended Validation) ise en üst seviye doğrulamadır. Sertifika otoritesi, şirketin fiziksel varlığını, yasal durumunu ve yetkililerini sıkı bir denetimden geçirir. Eskiden tarayıcılarda "yeşil bar" olarak bilinen bu özellik, günümüzde sertifika detaylarına tıklandığında şirket bilgisinin tam olarak görünmesiyle prestij sağlar. Teknik olarak şifreleme güçleri aynı olsa da, sağladıkları güven algısı ve sigorta bedelleri farklıdır. E-ticaret siteleri ve bankalar, yasal sorumlulukları ve müşteri güveni için genellikle EV sertifikası kullanır. Doğru sertifika seçimi, markanızın ciddiyetini ve siber güvenliğe verdiğiniz önemi yansıtır.
Büyük platformlar genellikle birden fazla alt alan adı (subdomain) veya farklı domainler kullanır. Bu durumlar için özel sertifika türleri mevcuttur. Wildcard SSL, ana domainin önündeki tüm alt alan adlarını (örneğin; *.ornek.com) tek bir sertifika ile korur. Bu sayede her yeni subdomain için ayrı sertifika alma zahmetinden kurtulursunuz. SAN (Subject Alternative Name) veya Multi-Domain sertifikaları ise tek bir sertifika içerisinde tamamen farklı alan adlarını (ornek.com, sitem.net, blog.org gibi) barındırmanıza olanak tanır. Genellikle kurumsal Microsoft Exchange sunucularında veya birden fazla mikroservis barındıran altyapılarda tercih edilir. Wildcard sertifikalar esneklik sağlarken, SAN sertifikaları yönetim kolaylığı sunar. Her iki tür de maliyet açısından tek tek sertifika almaktan daha ekonomiktir. Ancak güvenlik perspektifinden bakıldığında, bir wildcard sertifikanın gizli anahtarı çalınırsa, o domain altındaki tüm servislerin güvenliği tehlikeye girer. Bu yüzden, kritik servisler için hala izole sertifikalar kullanılması önerilen bir siber güvenlik pratiğidir.
Bir SSL sertifikasının "güvenilir" olması için, dünya çapında tanınan bir Sertifika Yetkilisi (Certificate Authority - CA) tarafından imzalanmış olması gerekir. CA'lar (DigiCert, Sectigo, GlobalSign gibi), internetin güvenliğinin bekçileridir. İşletim sistemleri ve tarayıcılar, bu CA'ların "Kök Sertifikalarını" (Root Certificates) önceden yüklü olarak içinde barındırır. Siz bir siteye girdiğinizde, tarayıcı sertifikayı kontrol ederken bu kök sertifikalara kadar uzanan bir "Güven Zinciri" (Chain of Trust) kurar. Eğer zincirdeki bir halka kırılırsa veya sertifika bilinmeyen bir kişi tarafından imzalanmışsa, tarayıcı güven uyarısı verir. CA'lar, sertifika vermeden önce sıkı denetimler yapar ve kendi altyapılarını siber saldırılara karşı korumak zorundadırlar. Eğer bir CA'nın güvenilirliği sarsılırsa, o CA tarafından verilen tüm sertifikalar tarayıcılar tarafından engellenir (Geçmişte DigiNotar örneğinde olduğu gibi). Bu yüzden, sertifika alırken sadece fiyata değil, CA'nın geçmişine, destek kalitesine ve tarayıcı uyumluluğuna bakılmalıdır. Güven zinciri, internetteki dijital kimliklerin doğruluğunun yegane garantisidir.
SSL sertifikası alma süreci, sunucunuzda bir CSR (Certificate Signing Request) dosyası oluşturmanızla başlar. CSR, aslında sunucunuzun "Açık Anahtarını" ve şirket/alan adı bilgilerinizi içeren kodlanmış bir dosyadır. CSR oluşturulurken sunucunuzda aynı zamanda bir "Gizli Anahtar" (Private Key) üretilir. En kritik kural şudur: Gizli anahtar asla hiç kimseyle (CA dahil) paylaşılmamalı ve sunucudan dışarı çıkarılmamalıdır. CSR dosyasını sertifika otoritesine gönderdiğinizde, onlar bu bilgileri doğrular ve açık anahtarınızı kendi imzalarıyla mühürleyip size geri gönderirler. CSR oluştururken girilen "Common Name" (CN) alanı, sertifikanın hangi alan adı için olacağını belirler. Modern sistemlerde artık CSR içinde "Subject Alternative Name" (SAN) alanları da tanımlanabilmektedir. CSR süreci, asimetrik şifrelemenin ilk adımıdır. Eğer gizli anahtarınızı kaybederseniz, sertifikanız işlevsiz kalır; eğer çaldırırsanız, sertifikanızın iptal edilmesi gerekir. Bu yüzden CSR oluşturma ve anahtar saklama aşamaları, sistem yöneticileri için en hassas görevlerden biridir.
Sertifikayı CA'dan aldıktan sonra, web sunucusunda yapılandırma yapmanız gerekir. Nginx kullanıyorsanız, ssl_certificate (sertifika dosyası + ara sertifikalar) ve ssl_certificate_key (gizli anahtar) direktiflerini belirtmeniz gerekir. Ayrıca modern bir güvenlik için ssl_protocols TLSv1.2 TLSv1.3; ve güçlü şifreleme setlerini (cipher suites) tanımlamak önemlidir. Apache sunucularda ise SSLCertificateFile, SSLCertificateKeyFile ve SSLCertificateChainFile komutları kullanılır. Kurulumdan sonra en önemli adım, HTTP trafiğini otomatik olarak HTTPS'e yönlendirmektir (301 Redirect). Ayrıca "Strict-Transport-Security" (HSTS) başlığı eklenerek, tarayıcının siteye her zaman güvenli kanaldan girmesi zorunlu hale getirilmelidir. Yanlış yapılandırma, "Mixed Content" (Karma İçerik) hatalarına yol açabilir; yani sayfa HTTPS olsa bile içindeki resim veya scriptler HTTP üzerinden çağrılıyorsa kilit simgesi kaybolur. Kurulum tamamlandıktan sonra SSL Labs gibi araçlarla yapılandırmanın kalitesini (A+ skoru hedefleyerek) test etmek en iyi uygulamadır.
Eskiden SSL sertifikaları pahalı ve manuel süreçlerle alınan ürünlerdi. Let's Encrypt, bu durumu tamamen değiştirerek internetteki her sitenin ücretsiz ve otomatik bir şekilde SSL alabilmesini sağladı. "Certbot" gibi araçlar sayesinde, tek bir komutla sertifika alınabilir, sunucuya kurulabilir ve süresi dolmadan otomatik olarak yenilenebilir. Let's Encrypt sertifikaları sadece 90 gün geçerlidir; bu kısa süre aslında bir güvenlik önlemidir. Eğer bir sızıntı olursa, sertifikanın etki süresi kısıtlanmış olur. Otomatik yenileme (Auto-renewal) sayesinde bu kısa süre bir dezavantaj olmaktan çıkar. Bu sistem, "ACME" protokolü üzerinden çalışır. İnternet dünyasının %50'den fazlasının Let's Encrypt kullanması, web'in güvenliğini demokratize etmiştir. Ancak bu sertifikalar sadece DV (Domain Validation) tipindedir; yani ticari güven veya marka prestiji için hala ücretli OV/EV sertifikalarına ihtiyaç duyulabilir. Yine de, teknik şifreleme seviyesi açısından Let's Encrypt, en pahalı sertifikalarla aynı düzeyde güvenlik (AES-256) sunar.
Bir sertifikanın süresi dolmasa bile, gizli anahtarın çalınması veya domain sahibinin değişmesi durumunda iptal edilmesi gerekebilir. Bunun için CRL (Certificate Revocation List) ve OCSP (Online Certificate Status Protocol) mekanizmaları kullanılır. CRL, iptal edilen sertifikaların büyük bir listesidir; ancak bu listeyi indirmek tarayıcıyı yavaşlatabilir. OCSP ise tarayıcının anlık olarak sunucuya "Bu sertifika hala geçerli mi?" diye sormasını sağlar. "OCSP Stapling" özelliği ile bu sorgu yükü web sunucusuna kaydırılarak performans artırılabilir. Gelecekte SSL dünyası, "Kuantum Sonrası Kriptografi"ye (PQC) odaklanmaktadır. Kuantum bilgisayarların mevcut asimetrik anahtarları saniyeler içinde kırabilme potansiyeline karşı, daha dirençli algoritmalar geliştirilmektedir. Ayrıca TLS 1.3'ün yaygınlaşmasıyla birlikte, "Handshake" süreleri daha da kısalmış ve şifrelenmemiş alanlar (SNI gibi) şifrelenmeye başlanmıştır. SSL/TLS, internetin sadece bir katmanı değil, dijital dünyada güvenin temel yapı taşıdır.