Sertifika Yetkilisi (CA) Nedir ve Ne Yaparlar?

HTTPS ile başlayan bir web sitesini her ziyaret ettiğinizde, bir sertifika yetkilisi kullanırsınız. Ancak CA tam olarak nedir, işlemlerinizi ve iletişimlerinizi nasıl daha güvenli hale getirir?

Sertifika yetkilisi (CA), internetin kritik bir parçasıdır. CA’lar olmasaydı; internet güvensiz olacağından alışveriş yapamaz, vergi ödeyemez veya çevrimiçi bankacılık yapamazdınız. (Web tarayıcınız aslında şu anda bir sertifika yetkilisi kullanıyor.)

Neler Okuyacaksınız?

Sertifika Yetkilisi (CA) Nedir?

Sertifika yetkilisi, çevrimiçi olarak kiminle iletişim kurduğunuzu bilmeniz için web sitelerini (ve diğer varlıkları) doğrulayan güvenilir bir kuruluştur. Amaçları, interneti hem kuruluşlar hem de kullanıcılar için daha güvenli bir yer haline getirmektir. Bu, dijital güvenlikte çok önemli bir rol oynadıkları anlamına gelir.

Bu biraz belirsiz veya kafa karıştırıcı geldiyse, sertifika yetkilisinin ne olduğunu açıklamak için bir örnek kullanalım. Diyelim ki bankanızın web sitesini ziyaret ediyorsunuz, bbt.com:

İnternetin nasıl çalıştığına aşina iseniz, işlerin her zaman göründüğü gibi olmadığını bilirsiniz. Web sitesi bbt.com’a benziyor ve alan adı bunun bbt.com olduğunu söylüyor… Ancak BB&T tarafından yönetilen bir sunucuya gerçekten bağlı olduğunuzu nasıl anlarsınız? bbt.com’a benzeyen bir web sitesi kuranın bir bilgisayar korsanı olmadığını nereden biliyorsun? Hacker dahiler için bunu yapmak oldukça kolay olurdu.

Peki gerçek web sitesine bağlı olduğunuzu nasıl anlarsınız? Bu bir sertifika yetkilisinin işidir. Çevrimiçi olarak kiminle iletişim kurduğunuzu bilmeniz için web sitelerini/kuruluşları doğrularlar. (Bu sayede alışveriş yaptığınız x sitesinde yanlışlıkla kredi kartı numaranızı bir bilgisayar korsanına göndermemiş olursunuz.) Yani bbt.com için SSL/TLS sertifika detaylarına baktığımızda sitenin DigiCert Inc tarafından doğrulandığını görebiliriz. Bu, DigiCert’in ziraatbank.com’u doğrulayan sertifika yetkilisi olduğu anlamına gelir. Böylece resmi BB&T web sitesine bağlı olduğunuzdan %100 emin olabilirsiniz:

Sertifika Yetkilileri İnternet Pasaport Yetkilileri gibidir

Uluslararası seyahat etmek için bir pasaport aldıysanız, muhtemelen iddia ettiğiniz kişi olduğunuzu kanıtlamak için geçtiğiniz doğrulama sürecini hatırlarsınız. (Muhtemelen bazı yasal belgeler, fotoğraflı kimlik ve belki parmak izleri içeren bir süreçti.)

Pasaportunuzu aldıktan sonra gerçekten siz olduğunuzu herkese kanıtlamak için kullanabilirsiniz. (Seninle daha önce hiç tanışmamış olsalar bile.)

Sertifika yetkilileri böyledir. Ancak web siteleri ve çevrimiçi etkinlikler için. Pasaport ofisi gibi bir sertifika makamı da doğrulama sürecini tamamlamak ve sertifikayı vermek için küçük bir ücret alır. Bu durumda, bir web sitesini (veya kuruluşu) doğruladıktan sonra dijital sertifika olarak bilinen şeyi yayınlarlar. Bu dijital dosya; kuruluşların, web sitelerinin veya diğer varlıkların kim olduklarını anlamamızı sağlar.

Peki tüm bunlar nasıl çalışıyor? Sonuçta, web sitelerinin gerçek pasaportları yok ve bankamızın web sitesini ziyaret ettiğimizde herhangi bir pasaport kullanmayız öyle değil mi? Bu konuya daha ayrıntılı olarak girelim.

Sertifika Yetkilisi Nasıl Çalışır: Teknik Ayrıntılar

Sertifika yetkilileri, ortak anahtar altyapısı veya kısaca PKI adı verilen daha büyük bir sistemi oluşturan ayrılmaz parçalardan biridir. Bir web sitesine gittiğinizde ve asma kilidi (veya yukarıda ziraatbank.com için gösterdiğimiz gibi güvenlik ayrıntılarını) gördüğünüzde, bunu sağlayan teknoloji bir SSL sertifikasıdır (veya daha doğrusu bir TLS sertifikasıdır ancak her iki terimi de kullanabilirsiniz).

SSL/TLS sertifikaları PKI’yı temel alır ve SSL sertifikasının çalışması için yerinde olması gereken birkaç önemli kısım vardır.

Bir dijital sertifika (örneğin, bir SSL / TLS sertifikası), web sitesinin kimliğini kanıtlıyor.
Web sitesini doğrulayan ve dijital sertifikayı veren bir sertifika yetkilisi.
Bir dijital imza SSL sertifikası kanıtlıyor güvenilen sertifika yetkilisi tarafından yayınlandı.
Bir özel anahtar web sitesi kullanımları kendisine gönderilen verilerin şifresini çözmek için söyledi.

Gelin bu görsele bir göz atalım. PKI’nin web sitesi güvenliğinde nasıl çalıştığına ve CA’ların bunda oynadığı role ilişkin süreci özetlemeye yardımcı olur:

Orada da görebileceğiniz gibi sertifika yetkilisi sürecin en başında yer alıyor. Bunun nedeni; birisi bir kez sertifika istediğinde, bundan sonra her şey CA’nın onayından geçer.

Sertifika Yetkilisi Ne Yapar?

Bahsettiğimiz gibi ticari sertifika yetkilileri açık anahtar altyapısının ayrılmaz bir parçasıdır. Yaptıkları şey:

Alan adları, kişi ve kuruluşların kimliklerini resmi kayıtlar aracılığıyla doğrulamak.
Sunucuların, bireylerin ve kuruluşların kimliğini doğrulayan dijital sertifikalar yayınlamak (güven oluşturarak).
Sertifikaların sona erme tarihlerinden önce ne zaman geçersiz hale geldiğini gösteren sertifika iptal listelerini korumak.

Bunu biraz daha açıklamak için gerçekleştirdikleri belirli işlevlere dalalım.

Doğrulama

Süreç, bir web sitesi dijital sertifika almak için bir sertifika yetkilisine ulaşmaya çalıştığında başlar. Sertifika yetkilisi, talep edilen sertifikanın türüne bağlı olarak bir doğrulama sürecini tamamlar:

Etki alanı doğrulaması: Sertifika yetkilisi, istekte bulunanın söz konusu etki alanının/web sitesinin yasal yöneticisi olduğunu doğrular. Bu kadar. Söylemeye gerek yok; bu, alan doğrulamasının doğrulama açısından minimum düzeyde olduğu anlamına gelir.
Kuruluş doğrulaması: Sertifika yetkilisi yalnızca alan bilgisinin meşru olduğunu doğrulamakla kalmaz, bir adım daha ileri gider ve temel iş doğrulamasını gerçekleştirir. OV yöntem, bir insan elemanı içerir. Temel olarak CA, sertifika talep edenin sağladığı bilgileri gözden geçirir ve ayrıca kuruluşun meşru olduğundan emin olmak için ek bilgileri (üçüncü taraf kayıtları ve kaynakları kullanarak) araştırır.
Genişletilmiş doğrulama: Bu, en kapsamlı iş doğrulama düzeyidir . Bu bir ila beş günlük doğrulama sürecinde CA, talepte bulunanın kuruluşunu kapsamlı bir şekilde inceler. Kuruluşunuzun gerçekten meşru olduğundan emin olmak için OV doğrulama sürecinin gereksinimlerinin ötesine geçerler.

Dijital Sertifikalar

Sertifika yetkilileri, sertifika kimlik doğrulaması yoluyla kimliği resmi hale getirir. Bu, web sitesinin tarayıcınızla güven ağı oluşturmasına yardımcı olur.

Şimdiye kadar gerçekten yalnızca bir tür sertifika (SSL/TLS) hakkında konuşmuş olsak da aslında CA’ların yayınladığı birden çok dijital sertifika kategorisi vardır ve her biri PKI içinde farklı bir rol oynar. Bazı durumlarda, her kategoride birden çok dijital sertifika türü vardır. Bu sertifikaların tümü, X.509 dijital sertifikaları olarak bilinir. Çünkü X.509, hepsinin uyumlu olduğu teknik standarttır.

1. SSL/TLS Sertifikaları

SSL/TLS sertifikaları (diğer adıyla web sitesi güvenlik sertifikaları ) şimdiye kadar bahsettiğimiz şeydir. Bu sertifikalar; bir kullanıcının tarayıcısı ile web sunucunuz arasında gerçekleşen güvenli, şifreli bağlantıları kolaylaştıran şeydir. (Daha önce işaret ettiğimiz asma kilit simgesini hatırlıyor musunuz? Evet, bu sertifikalar bunu mümkün kılıyor.)

Bu sertifikalar, URL çubuğundaki “güvenli değil” uyarılarını ve tarayıcıların güvenli olmayan web siteleri için görüntülediği “bağlantınız gizli değil” uyarı mesajlarını ortadan kaldırır. Örneğin, SSL/TLS sertifikası yüklenmediğinde Chrome’da şöyle görünür:

2. Kod İmzalama Sertifikaları

Geliştiriciler ve yayıncılar; bütünlüğünü sağlamak, kodlarını dijital olarak imzalamak için bu tür sertifikaları kullanır. Bu, kullanıcıların orijinal olarak imzalandığından bu yana kurcalanıp değiştirilmediğini anlamalarını sağlar. Ayrıca, gerçekten imzalayanın siz olduğunuzu göstererek kendinizin veya kuruluşunuzun kimliğini doğrulamanıza yardımcı olur.

3. E-posta İmzalama Sertifikaları

E-posta imzalama sertifikaları, bireylerin ve istemcilerin web sunucularının kimliklerini doğrulamak için kullanışlıdır. Bu sertifikalar ayrıca S/MIME sertifikaları, kişisel kimlik doğrulama sertifikaları, istemci kimlik doğrulama sertifikaları vb. olarak da bilinir.