HWP, Twitter, Facebook, Gmail veya başka güvenli web sitelerine bağlanırken tarayıcınızın kenarında çıkan yeşil asma kilit logosu gözünüze takılmıştır. Güvenli bağlantıyı simgeleyen bu minik yeşil asma kilit, nedir, neye yarar, nasıl çalışır?
İnternet üzerinde güvenliğimizi sağlayan birçok farklı teknoloji var. Bunların başında ise bir taşıma katmanı güvenliği (TLS, transport layer security) sistemi olan HTTPS geliyor. HTTPS bir internet protokolü, birbirine bağlı ve yalnızca bir düz metinden fazlasını içeren web sayfalarının bilgisayar veya telefonunuzda görüntülenebilmesi için sunucudan size doğru aktarılmasını sağlar. Kelime anlamı “hypertext transfer protocol” yani üstmetin aktarım protokolü olarak türkçeleştirilebilir. Yapısal olarak yedi farklı ağ katmanının en üstünde yer alan HTTPS bir uygulama katmanıdır. Yani fiziksel kablo bağlantıları çoktan yapılmış, karşı tarafa elektriksel iletişim kurulmuş veri parçacıklarının hangi formda aktarılacağı kararlaştırılmış, ağda buluşulmak üzere el sıkışılmış, hangi portun kullanılacağına karar verilmiş ve veri akmaya başlamıştır. Bu akan veri üzerinde bulunan son katman olan HTTPS bir önceki katmanda, yani altıncı katmanda güvenli hale getirilerek dış güçler tarafında okunması imkansız hale getirilir. HTTPS, HTTP Secure anlamına gelmektedir.
HTTPS NE YAPAR?
HTTPS ile bağlandığınız ve tarayıcınızın yanında minik bir yeşil kilit çıkmasını sağlayan sistem şöyle işler: Sunucunun sahibi bu sunucuda bulunan sunucu için bir güvenlik sertifikası oluşturur ve bunu bir doğrulama şirketine tescil ettirir. Bu tescil işleminde SSL (secure socket layer) güvenlik sertifikasını tescil eden firma (örneğin bizim örneğimizde Let’s Encrypt) temel olarak “hwp.com.tr diye bir alan adı var ve ben bu alan adının hizmet verdiği sunucunun Radore himayesindeki 31.210.69.19 IP adresine sahip fiziksel makine olduğuna şahidim demektedir. Peki bunu kime diyor? Sizin tarayıcınıza; Google Chrome, Mozilla Firefox, Microsoft Edge, Opera ve benzeri internet tarayıcıları Let’s Encrypt ve benzeri sertifika sağlayıcılarına itimat ederler ve altına imza attıkları güvenlik sertifikaları aracılığıyla gerçekliklerine şahitlik ettikleri sunucuları bu web sitelerinin resmi adresleri olarak kabul ederler. Bu şekilde bir güven mekanizması oluşturulur.
HANGİ BİLGİLERİ GİZLER?
Tamamen güvenli biçimde HTTPS üzerinden çalışan web sitesiyle araya giren kişi veya kurumlar yalnızca bu web sitesine eriştiğinizi görür. Yani https://hwp.com.tr adresine gittiğiniz bellidir. Fakat bu noktada eriştiğiniz https://hwp.com.tr piltesti adresi, giriş yaparken kullandığınız kullanıcı adları ve sayfaların içerikleri hiçbir şekilde anlaşılamaz.
MALİYETİ NEDİR?
Farklı güvenlik yan hizmetleriyle birlikte sertifika sağlayan firmalar bu güvenlik sertifikalarını yıllık 50 ila 200 TL arasına vermekteler. Bu işi finansmanını farklı şekillerde sağlayan ve kullanıcıdan ücret talep etmeyen Let’s Encrypt ise bir gönüllü girişim olarak sıfır maliyete sahiptir. Birçok web sitesi sistemi ile kullanımı da her ne kadar ciddi teknik bilgi gerektirse de, internette bulunabilecek kaynaklarla birlikte nispeten kolaydır.
Yazar: Fatih Bolelli