Loading AI tools
Vikipedi'den, özgür ansiklopediden
Açık anahtar sertifikası ya da bilinen diğer adıyla dijital sertifika, açık anahtar sahipliğinin kanıtlanmasında kullanılan bir elektronik dokümandır. Sertifika, anahtar hakkında bilgiler, sahibinin kimliği hakkında bilgiler (özne olarak adlandırılır) ve sertifikanın içeriğini doğrulayan bir varlığın dijital imzasını içerir (sağlayıcı olarak adlandırılır). İmza geçerliyse ve yazılım, incelediği sertifikanın sağlayıcısına güveniyorsa, sertifikanın öznesi ile güvenli bir şekilde iletişim kurmak için bu anahtarı kullanabilir.[1] E-posta şifreleme, kod imzalama ve elektronik imza sistemlerinde özne genelde bir kişi ya da kuruluştur. Ancak, Transport Layer Security (TLS)’de özne genelde bir bilgisayar ya da farklı aygıt olmasına rağmen TLS sertifikaları, cihazları tanımlamasındaki temel rollerine ek olarak kuruluşları ya da bireyleri tanımlayabilir. Bazen eski adı olan Secure Sockets Layer (SSL) olarak da anılan TLS, web’de güvenli gezinme için bir iletişim protokolü olan HTTPS’nin önemli bir parçasıdır.
Tipik bir açık anahtar altyapısı (PKI) şemasında, sertifika sağlayıcısı olan sertifika otoritesi (CA), genellikle müşterileri ücretlendirerek sertifika veren şirketlerdir. Buna karşılık, güven ağında bireyler birbirlerinin anahtarlarını, açık anahtar sertifikasına benzer bir işlevle doğrudan imzalarlar.
Açık anahtar sertifikalarının en yaygın formatı X.509’a göre tanımlanmıştır. X.509 çok genel olduğundan, format RFC 5280’de belirlendiği gibi belirli kullanım durumları için tanımlanmış profillerle daha da kısıtlanır.
TLS/SSL’de, sunucu; ilk bağlantı kurulumunun bir parçası olan sertifikayı sunmak için gereklidir. Bu sunucuya bağlanan bir istemci, sertifika yolu doğrulama algoritmasını gerçekleştirir:
Birincil sunucu adı (web sitesinin alan adı), sertifikanın “Subject” (Özne) bölümündeki “Common Name” (Yaygın İsmi) olarak kayıtlıdır. Bir sertifika birden fazla sunucu isimleri (ya da web siteleri) için geçerli olabilmektedir. Bu sertifikalar genellikle Alternatif Özne İsmi (SAN) sertifikaları olarak adlandırılır. Bu sertifikalar Alternatif Özne İsmi alanına da sahiptir. Eğer sunucu ismi bir yıldız (*) karakteri içeriyorsa, sertifika aynı zamanda “wildcard sertifika” olarak da adlandırılır.
TLS sunucusu kendinden imzalı (self-signed) sertifikasıyla da yapılandırılabilir. Böyle bir durumda, istemciler genellikle sertifikayı doğrulayamaz ve sertifika doğrulaması devre dışı bırakılmadıkça bağlantıyı sonlandıracaktır.
İstemci sertifikaları, sunucu sertifikalarından daha az yaygındır ve erişim kontrolünü sağlamak için, bir TLS servisine bağlanan istemcinin kimliğini doğrulamada kullanılır. Çünkü birçok servis aygıtlar yerine bireylere erişim sağladığından, birçok istemci sertifikası sunucu adı yerine e-posta adresi ya da kişi adını içerir. Ayrıca, kimlik doğrulaması genellikle servis sağlayıcısı tarafından yönetildiğinden, istemci sertifikaları genellikle sunucu sertifikası sağlayan bir sertifika otoritesi (CA) tarafından verilmez. Bunun yerine, istemci sertifikası gerektiren servisin operatörü genellikle bunları vermek için kendi iç CA’larını kullanır. İstemci sertifikaları çoğu web tarayıcısı tarafından desteklenir ancak birçok servis, kullanıcı kimliğini doğrulamak için istemci sertifikası yerine şifreler ve çerezler kullanmaktadır.
İstemci sertifikaları, yalnızca yetkili aygıtların belirli RPC çağrılarını yapabilmesini sağlamak için, aygıt kimliğini doğrulamak için kullanıldığı RPC sistemlerinde daha yaygındır.
Güvenli e-posta için S/MIME protokolünde göndericiler, herhangi bir alıcı için hangi açık anahtarın kullanıldığını bilmelidir. Kişiler bu bilgileri bir e-posta sertifikasından elde etmektedir. Bazı güvenilir sertifika otoriteleri (CA) e-posta sertifikaları sağlamaktadır ancak S/MIME genelde belirli kurumlarla iletişim kurmak için kullanılır ve bu e-posta sisteminde bu kurumlar katılımcıların güvendiği kendi sertifika otoritelerini (CA) kullanır.
Sertifikalar aynı zamanda, teslimat sırasında değiştirilmediğinden emin olmak için programlardaki imzaların doğrulanmasında kullanılabilir.
Bunlar sertifikalardaki en yaygın alanlardan bazılarıdır. Çoğu sertifika, burada bulunmayan bir dizi alan içerebilir.
Bazı büyük yazılımlar, güvenilir kabul ettikleri sertifika otoritelerinin listesini içerirler. Bu, son kullanıcılar için sertifikaların doğrulanmasını kolaylaştırır ve hangi sertifika otoritelerinin genel olarak güvenilecek bir sertifika verebileceğini öğrenmek isteyen kişi veya kuruluşlar için daha kolay olur. Bu özellikle HTTPS'de, web sitesi operatörlerinin neredeyse tüm ziyaretçilerin güvenebileceği bir sertifikayı alması için önemlidir.
Sağlayıcının kendi yazılımlarında hangi sertifika otoritesine güvenmesi gerektiğine karar vermek için kullandığı politikalar ve süreçler kök programları olarak adlandırılır. En etkili kök programları:
Firefox dışındaki tarayıcılar genellikle hangi sertifika otoritelerinin güvenilir olduğuna karar vermek için işletim sisteminin olanaklarını kullanır. Örnek olarak Windows'taki Chrome, Microsoft Kök Programı'ndaki sertifika otoritelerine güvenirken, macOS ya da iOS'taki Chrome ise Apple Kök Programı'ndaki sertifika otoritelerine güvenmektedir.[2] Firefox tüm platformlarda Mozilla Kök Programı'nı kullanmaktadır.
Mozilla Kök Programı kamuya açık olarak işletilir ve sertifika listesi açık kaynaklı Firefox web tarayıcısının bir parçasıdır, bu sayede Firefox dışında geniş çapta kullanılabilir. Örneğin, genel bir Linux Kök Programı olmamasına rağmen Debian gibi birçok dağıtım[3] Firefox'un güven listesinin kopyasını içeren, daha çok uygulamalar tarafından kullanılan paketlere sahiptir. Kök programları genellikle içerdikleri sertifikalarla birlikte geçerli amaçlar sağlar. Örneğin bazı sertifika otoriteleri TLS sunucu sertifikalarında geçerli kabul edilirken, kod imzalama sertifikaları kabul edilmez. Bu, kök sertifika depolama sisteminde bir dizi güven bitiyle belirtilir.
En yaygın sertifika kullanımı HTTPS tabanlı web siteler içindir. Web tarayıcısı HTTPS web sunucusunu otantik olarak doğrular, böylece kullanıcı web sitesi ile etkileşiminin hiçbir gizli dinleyeni olmadığını ve web sitesinin iddia ettiği kişi olduğunu güvence altına alabilir. Bu güvenlik elektronik ticaret için önemlidir. Pratikte, bir web sitesi operatörü bir sertifika yetkilisine sertifika imzalama talebi başvurusu yaparak sertifika alır. Sertifika talebi; web sitesi ismini, şirket bilgilerini ve açık anahtarı içeren elektronik bir dokümandır. Sertifika sağlayıcısı talebi imzalar ve böylece bir açık sertifika oluşturur. Web taraması sırasında bu açık sertifika, web sitesine bağlanan herhangi bir web tarayıcısına sunulur ve sertifika sağlayıcısının, web tarayıcısına web sitesinin sahibine bir sertifika verdiğine inandığı kanıtlanır.
Bir sertifika sağlayıcısı, bir alan adını idari olarak yönetme hakkı olan alıcılara Domain Validation (DV) sınıfında bir sertifika çıkartabilir
Bir sertifika sağlayıcısı, söz konusu alan adını idari olarak yönetme hakkı olan ve belki de kurumun yasal olarak tüzel kişiliğe sahip olan alıcılara Organization Validation (OV) sınıfında sertifika çıkartabilir. Sertifika sağlayıcısı, OV sınıfı sertifikaların veriliş kriterlerini Sertifika Politikası aracılığıyla yayınlar.
Extended Validation (EV) sertifikasını alabilmek için alıcının, sertifika sağlayıcısını bir insan tarafından manuel doğrulama kontrolleri dahil olarak yasal kimliğini teyit etmelidir. OV sertifikasında olduğu gibi, sertifika sağlayıcısı kendi Sertifika Politikası aracılığıyla EV sınıfındaki sertifikaların veriliş kriterini yayınlar.
Tarayıcılar genelde EV sertifikası sunan sitelerde, kullanıcılara yasal kimliğini belirten bir görsel kullanır. Çoğu tarayıcı yasal kimliği, alan adından önce ve parlak yeşil ile vurgulanmış olarak gösterir. Bu durumda kullanıcı, site sahibinin yasal kimliğinin doğrulandığını görebilir.
Web tarayıcısı kullanıcılara, eğer bir web sitesi aniden farklı bir sertifika sunarsa -ki, bu sertifika düşük sayıda anahtar bitine sahip olsa, farklı bir sertifika sağlayıcısına sahip olsa ve bir önceki sertifikanın geçerliliğinin bitişine daha çok kalmış olsa dahi- uyarı vermeyebilir. Ancak yine de EV sınıfı sertifikadan EV sınıfı olmayan sertifikaya dönüş yapıldığında, araç çubuğundaki yeşil bar bundan sonra görüntülenmeyecektir.
Sertifika sağlayıcılarının hükûmetlerin denetimi altında olduğu durumlarda, hükûmetler yasal amaçlar için sertifika sağlayıcılarına bir sertifika üretmesi için sipariş etme özgürlüğüne sahip olabilirler. Yan kuruluş olan toptan sertifika sağlayıcıları da herhangi bir sertifika üretme özgürlüğüne sahiptir.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Bilgisayar Güvenliği Bölümü[4] açık anahtar sertifikaları için rehberlik belgeleri sağlar:
W3Techs’in Şubat 2015 araştırmasına göre en yüksek pazar payına sahip 5 firma şu şekildedir:[7]
| Firma Adı | Pazar Payı |
|---|---|
| Comodo | %35 |
| Symantec | %32,5 |
| Go Daddy | %14,1 |
| GlobalSign | %10 |
| DigiCert | %2,1 |
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
