İçeriğe atla

Sertifika otoritesi

Sertifika otoritesi, dijital imzalama işlemi yapan ve belgeleyen kurumdur. Sertifika otoritelerinin görevi, açık anahtarları kendi gizli anahtarlarıyla imzalayarak 3. taraflara sunmaktır. Dijital sertifika imzalama işlemi açık anahtar altyapısı kullanılarak yapılır. Açık anahtarlı şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir.

Bağlanılan sitenin sertifikası, alan adını içeren Subject Alternative Name kısmı ile doğrulanır. Sertifika otoritesi ilk önce bu sertifikadaki alan adlarının, gerçekten sertifikayı sunan kişiye ait olduğunu doğrular, daha sonra imzalar. Sonra ise tarayıcılar, imzalı sertifikayı sunucudan alıp otorite güvenilirliğini kontrol ettikten sonra, imzalı sertifikadaki alan adı ve bağlanılan sitenin alan adını karşılaştırır.

Açık anahtar ile şifreleme işlemleri sertifika otoriteleri dışında kişiler tarafından da yapılabilir. Ancak bu şekilde yapılan sertifika imzalamaları, imzalayan kişiye web tarayıcıları tarafından güvenilmediği için güvenli bulunmaz. Web tarayıcıları sertifika doğrulaması için SO sertifikalarını kullanır. Bu sertifikalar tüm yaygın web tarayıcıları tarafından tanınır.

Sertifika otoriteleri genellikle imzalama işlemlerini sertifika sağlayıcıları aracılığıyla yaparlar. Dünyada birçok sertifika otoritesi vardır ve ilk akla gelenler Comodo, Symantec, GeoTrust, Digicert ve IdenTrust'tır.[1]

Buna rağmen her sertifika otoritesi güvenilir değildir. Kötü amaçlı bir sertifika otoritesi, Man-in-the-middle saldırısı gerçekleştirmek için kötü amaçlı bir sertifika oluşturup onu imzalayabilir. Sertifika otoritesine güvenen bir istemci, bu otorite tarafından imzalı tüm sertifikalara güveneceği için güvenliği ve gizliliği tehlikeye atılır. 2012'nin sonlarına doğru, neredeyse tüm modern tarayıcı ve işletim sistemleri tarafından güvenilen, Türkiye bazlı sertifika otoritesi Turktrust tarafından Google için bir sertifika imzalanmıştır.[2] Bu sertifikanın kitle izleme gibi kötü amaçlar ile kullanılıp kullanılmaması ile ilgili kesin bir bilgi bulunmamaktadır.

Sertifika sağlayıcıları

Sertifika otoriteleri, dijital sertifika ürünlerinin satışını dünya çapında ulusal olarak hizmet veren sertifika sağlayıcılarına yönlendirmişlerdir. Böylece dijital imzanın sağlanması için gerekli olan yönetmeliklere uygunluk ve sertifikayı talep eden yetkililerin doğrulanması işlemi hızlanmıştır.

Haziran 2018'den itibaren en fazla pazar payına sahip olan kök sertifika otoriteleri:[1]

SıraSağlayıcıKullanımPazar payı
1IdenTrust20.6%40.0%
2Comodo17.9%34.8%
3DigiCert6.3%12.2%
4GoDaddy3.7%7.2%
5GlobalSign1.8%3.5%
7Certum0.4%0.7%
8Actalis0.2%0.3%
9Entrust0.2%0.3%
9Secom0.1%0.3%
10Let's Encrypt0.1%0.2%
11Trustwave0.1%0.1%
12WISeKey Group< 0.1%0.1%
13StartCom< 0.1%0.1%

Doğrulama standartları

Dijital imzalama işlemi için sertifikayı talep eden kişi veya kurumun doğrulama yapması gerekir. Sertifikalar "domain doğrulama" veya "kurum doğrulama" yöntemiyle tahsis edilir. Doğrulama işlemi sertifika otoritesi tarafından denetlenir.

Domain doğrulaması gerektiren TLS sertifikaları için e-posta veya dosya tabanlı başta olmak üzere birçok doğrulama yöntemi kullanılmaktadır. E-posta ile domain doğrulama yapılacak ise sertifika otoritesi (CA), web sitesinin (alan adı) whois kaydında geçen e-posta adresine ya da webmaster@, hostmaster@, admin@, administrator@ gibi genellikle alan adı yetkililerinin sahip olabileceği e-posta hesaplarına doğrulama iletisi gönderir. Yetkiliden bu doğrulama iletisinde geçen URL adresinden alan adı sahipliğini doğrulaması beklenir, doğrulamanın ardından sertifika tahsis edilir. Dosya tabanlı doğrulama yapılacak ise, sertifika sağlayıcıları tarafından sertifikayı talep eden yetkiliye iletilen bir .txt dosyasının, web sitesinin ana dizinine (/) gönderilmesi gereklidir. Bu işlemin ardından sertifika otoritesi tarafından doğrulama işlemi otomatik olarak yapılır. Dosya tabanlı doğrulama genelde e-posta servislerinde sorun olması durumunda tercih edilir. Ayrıca web sitesine gönderilen dosyanın adı ve içeriğinde sertifika talep edilen alan adının SHA1 ve MD5 ile şifrelenmiş verisi bulunur. Bu şifrelenmiş veri sertifika otoritesi tarafından çözülerek, alan adı doğrulanmış olur.[3]

Ayrıca bakınız

Kaynakça

  1. ^ a b "Usage of SSL certificate authorities for websites". 12 Haziran 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Haziran 2018. 
  2. ^ "Arşivlenmiş kopya". 23 Haziran 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Mayıs 2019. 
  3. ^ "What is required for validation?". 10 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mart 2020. 

İlgili Araştırma Makaleleri

HTTPS bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

<span class="mw-page-title-main">Elektronik imza</span>

Elektronik imza ya da sayısal imza, başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. E-imza olarak da bilinir. Elektronik ortamlarda imza yerine kullanılabilen yasal kimlik doğrulama sistemidir. Elektronik imza, elektronik belge'ye girilen bir isim kadar basit olabilir. Dijital imzalar, elektronik imzaları kriptografik olarak korunan bir şekilde uygulamak için e-ticarette ve düzenleyici dosyalarda giderek daha fazla kullanılmaktadır. Özellikle e-ticaretin hızlı yükselişi nedeniyle daha fazla önem kazanmştır. Elektronik imza sayesinde imzalanmış verinin, kimin tarafından imzalandığı ve güvenilirliği kontrol edilmiş olur. Elektronik imza; iletilen bilginin bütünlüğünün bozulmadığını, bilginin tarafların kimlikleri doğrulanmak suretiyle iletildiğini garanti eder. Ulusal Standartlar ve Teknoloji Enstitüsü veya ETSI gibi standardizasyon ajansları, bunların uygulanması için standartlar sağlar.

<span class="mw-page-title-main">Açık anahtarlı şifreleme</span> hem herkese açık hem de gizli anahtarları kullanarak yapılan şifreleme

Açık anahtarlı şifreleme, şifre ve deşifre işlemleri için farklı anahtarların kullanıldığı bir şifreleme sistemidir. Haberleşen taraflardan her birinde birer çift anahtar bulunur. Bu anahtar çiftlerini oluşturan anahtarlardan biri gizli anahtar diğeri açık anahtardır. Bu anahtarlardan bir tanesiyle şifreleme yapılırken diğeriyle de şifre çözme işlemi gerçekleştirilir. Bu iki anahtar çifti matematiksel olarak birbirleriyle bağlantılıdır.

Gizli anahtarlı şifreleme ya da simetrik şifreleme, kriptografik yöntemlerden, hem şifreleme hem de deşifreleme işlemi için aynı anahtarı kullanan kripto sistemlere verilen isimdir. Haberleşen tarafların aynı anahtarı kullanmaları gerektiği için burada asıl sorun anahtarın karşıya güvenli bir şekilde iletilmesidir. Simetrik şifreleme, anahtar karşıya güvenli bir şekilde iletildiği sürece açık anahtarlı şifrelemeden daha güvenlidir. Anahtar elinde olmayan birisi şifrelenmiş metni ele geçirse de şifrelenmiş metinden asıl metni bulması mümkün değildir. Simetrik şifrelemede haberleşen tarafların her biri için bir anahtar çifti üretilmelidir. Bu yüzden de çok fazla anahtar çifti üretilmesi gereklidir.

<span class="mw-page-title-main">Transport Layer Security</span> Internet Şifreleme Protokolü

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır. Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

<span class="mw-page-title-main">Kamu Sertifikasyon Merkezi</span>

Kamu Sertifikasyon Merkezi, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) bünyesinde 2005 yılında kurulmuştur. Türkiye'nin ikinci elektronik sertifika hizmet sağlayıcısı olan Kamu SM®, 5070 sayılı Elektronik İmza Kanununa uygun olarak kurulmuş ve işletilmektedir.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

<span class="mw-page-title-main">Aradaki adam saldırısı</span>

Man-in-the-middle saldırısı, saldırganın birbiri ile doğrudan iletişim kuran iki taraf arasındaki iletişimi gizlice ilettiği veya değiştirdiği saldırı türüdür. İletişim ağı üzerinde veri paketleri serbestçe dolaşır. Özellikle broadcast olarak salınan paketler, aynı ağa bağlı tüm cihazlar tarafından görülebilir. İlkesel olarak hedefinde kendi IP'si olmayan bir paketi alan makinelerin, bu paketlerle ilgili herhangi bir işlem yapmamaları gerekir. Ancak istenirse bu paketlere müdahale edebilir ya da içeriğini öğrenebilirler. Aradaki adam saldırısı ağ üzerindeki paketleri yakalayarak manipüle etmek olarak özetlenebilir.

<span class="mw-page-title-main">Verisign</span> Amerikan internet şirketi

VeriSign, Inc. Reston, Virginia, Amerika Birleşik Devletleri merkezli bir Amerikan şirketidir ve İnternet’in on üç kök ad sunucusundan ikisi dâhil olmak üzere .com, .net ve .name genel üst seviye alan adları ; .cc ve .tv ülke kodlu üst seviye alan adları ve .jobs ile .edu üst seviye alan adları için arka uç sistemlerinin yetkili kayıtçısı olarak çok sayıda ağ altyapısı işletmektedir. Verisign aynı zamanda yönetimli DNS, Dağıtılmış Hizmet Reddi (DdoS) azaltımı ve siber tehdit raporlama dâhil olmak üzere çok sayıda güvenlik hizmeti sunar. Verisign 2010 yılında SSL, PKI, Verisign Trust Seal ve Verisign Kimlik Koruma (VIP) hizmetlerini içeren kimlik doğrulama birimini 1,28 milyar $’a Symantec’e sattı.

Pretty Good Privacy (PGP), 1991 yılında Phil Zimmermann tarafından geliştirilen, OpenPGP standardını kullanarak veri şifrelemek, şifreli veriyi çözmek veya veriyi imzalamak için kullanılan, gönderilen ya da alınan verinin gizliliğini ve kimlik doğrulamasını sağlayan bir bilgisayar programıdır. Genellikle text dokümanlarını, e-postaları, dosyaları, klasörleri ve disk bölümlerini şifrelemek ve imzalamak için kullanılır.

<span class="mw-page-title-main">Açık anahtar altyapısı</span>

Açık anahtar altyapısı (AAA), dijital sertifikaların oluşturulması, yönetimesi, dağıtılması, kullanılması ve yeri geldiğinde iptal edilebilmesi için donanım, yazılım, kullanıcılar(kurumlar veya insanlar) kurallar ve gerekli prosedürlerden meydana gelen bir yapıdır.

Fırsatçı şifreleme, bir sistemden başka bir sisteme bağlanırken iletişim kanallarını şifrelemek için kullanılır. Bu yöntem iki sistem arasında ön düzenlemeyi gerektirir.

S/MIME e-postalarınızı şifrelemenizi sağlayan bir teknolojidir. S/MIME, e-postalarınızı istenmeyen erişimden korumak için asimetrik şifrelemeye dayanmaktadır. Ayrıca, mesajın meşru göndericisi olarak sizi doğrulamak için e-postalarınızı dijital olarak imzalamanıza olanak tanır ve bu da onu birçok kimlik avı saldırısına karşı etkili bir silah haline getirir. S/MIME, IETF standartlarındadır ve bir dizi belgede tanımlanmıştır. En önemlileri ise RFC 3369, 3370, 3850 ve 3851'dir. Başlangıçta RSA Data Security Inc. tarafından geliştirilmiştir. S/MIME işlevselliği modern e-posta yazılımının çoğuna yerleştirilmiş ve ve bu işlevsellik çalışan yazılımların arasında karşılıklı olarak çalışmaktadır.

<span class="mw-page-title-main">Kimlik doğrulama</span>

Kimlik doğrulama, bir varlığın(kurum, kişi ya da sistem) doğruladığı bir veri parçasının doğruluğunun teyit edilmesidir. Kimlik tanıma(identification), bir kişinin veya bir şeyin kimliğini kanıtlayan veya gösteren bir eylemi tanımlamanın; kimlik doğrulama, bu kimliğin gerçekten doğrulanma sürecidir. Bu süreç, kişinin kimliğini, kimlik belgelerini doğrulanması, bir dijital sertifikayla internet sitesinin gerçekliğinin doğrulanması, bir yapının yaşının Radyokarbon tarihleme yöntemiyle belirlenmesi ya da bir ürünün ambalajına ve etiketine bakarak doğrulamasını içerir. Diğer bir ifadeyle, kimlik doğrulama, genellikle en az bir çeşit kimlik tanımının doğrulanmasını içerir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

Kriptografide, X.509 açık anahtar sertifikalarının formatını tanımlayan bir standarttır. X.509 sertifikaları, internette gezinmek için güvenli protokol olan HTTPS'nin temeli olan TLS/SSL dahil olmak üzere birçok internet protokolünde kullanılmaktadır. Elektronik imzalar gibi çevrimdışı uygulamalarda da kullanılırlar. Bir X.509 sertifikası bir açık anahtar ve bir kimlik içerir ve bir sertifika yetkilisi tarafından imzalanır veya kendinden imzalı olarak imzalanır. Sertifika güvenilir bir sertifika yetkilisi tarafından imzalandığında veya başka yollarla doğrulandığında, bu sertifikayı tutan biri, başka bir tarafla güvenli iletişim kurmak için sertifikanın içerdiği açık anahtara güvenebilir veya ilgili özel anahtar ile dijital olarak imzalanmış belgeleri doğrulayabilir.

Disk şifreleme içerisindeki bilgiyi kimliği doğrulanmamış kişilerden korumak için kolayca çözülemeyecek okunmaz bir koda dönüştüren bir teknolojidir. Disk şifreleme disk şifreleme yazılımı veya diske veya diskin herhangi bir bölümüne giden her bir bit veriyi şifreleyen bir donanım kullanır. Veri belleğine kimliği doğrulanmamış kişilerin erişmesini engeller.

Alan adı Anahtarlarıyla Tanımlanmış E-Posta (DKIM) e-posta sahteciliğini algılamak için tasarlanmış bir [Email authentication e-posta kimlik doğrulama] yöntemidir. Alıcının, belirli bir alandan geldiği iddia edilen bir e-postanın gerçekten bu alanın sahibi tarafından yetkilendirildiğini kontrol etmesini sağlar. Bu yöntemle e-postalarda sahte gönderici adresleriyle yemleme ve yığın e-posta gibi saldırıları önlemek amaçlanmıştır.

<span class="mw-page-title-main">Açık anahtar sertifikası</span>

Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir. İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir. E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.