Görüyoruz ki koca koca sistemlerin yöneticileri dahi konu kriptografi olduğunda biraz bocalayabiliyorlar, özelliklede konu SSL olduğunda ve http dışında bir protokolde kullanılması gerektiğinde. Burada yavaş yavaş SSL konusunu basitçe sizlere aktarmaya çalışacağım. Bu makalede SSL nedir nasıl alınır bir takım işlemleri niye yapıyoruz basitçe izah edeceğim, bundan sonraki makalelerde yavaş yavaş openssl ile bir takım örnekler verip teknik detaylara değineceğim. Özellikle SAN sertifikaları ve EV sertifikalar konusunda detaylı bilgiler aktaracağım.
SSL (Secure Sockets Layer) TCP/IP üzerinde iletişim güvenliği ve mesaj bütünlüğü için tasarlanmış kriptografik bir protokoldür. Genel olarak istemciler ve sunucular arasındaki güvenin sağlanması , kimlik denetimi ve iletişimin şifrelenmesi amacı ile kullanılmaktadır. SSL Protokolü ve SSL sertifikasını birbirine karıştırmamak gerekir.
İletişim ağlarında yaygın olarak kullanılan kimlik denetimi (Authentication) tek yönlü olup sunucu tarafındadır, yani istemciler sunucuya sertifika ibraz etmezler, sunucular istemcilere sertifika ibraz ederler. İstemcinin sunucunun sertifikasına güvenip güvenmeme insiyatifi, sertifika sağlayıcısının kim olduğu ve istemcinin sertifika deposunda, sunucunun ibraz ettiği sertifikanın sağlayıcısının kök sertifikasının bulunması ile doğrudan ilintilidir.
Yani “İ” istemcisinin “S” sunucusunun ibraz ettiği “X” sertifikasına güvenmesi için , X sertifikasını sağlayan sertifika otoritesinin (örneğin Verisign, Geotrust …) kök sertifikasının “K”, istemcinin sertifika deposunda bulunması gerekir. İstemcinin sertifikaya güvenmemesi durumunda örneğin bir internet tarayıcısı uyarı mesajı gösterecektir. Kök sertifika olarak isimlendirilen sertifika aslında sertifika sağlayıcısının öz-imzalı (self signed) sertifikası olup sağlayıcının açık anahtarını içerir.
SSL Sertifikaları bir ITU-T standardı olan x509 formatındadır. SSL sertifikaları kimlik denetimi için gerekli bilgileri , sertifika sahibinin açık anahtar bilgisini (Public Key) ve algoritma bilgilerini içerir.
SSL Sertifikası başvurusu yapabilmek için ilk etapta CSR (Certificate Signing Request) Sertifika İmza Talebi oluşturulmalıdır. CSR oluşturulurken öncelikle bir anahtar çifti oluşturulur , bu anahtarlardan biri Açık anahtar(Public Key) diğer ise Özel anahtar(Private Key) dır.
CSR oluşturulurken içinde; Sertifika talep eden kurumun bilgileri (Organization Name), sertifikanın hangi adreste kullanılacağı(Common Name), Açık Anahtar (Public Key) bilgileri yer alır ve bu bilgiler oluşturulmuş olan Özel Anahtar (Private key) ile imzalanır. Bu aşamada CSR oluşturulmuştur ve sertifika otoritesine gönderilmeye hazırdır. CSR Base64 olarak kodlanmış bir metindir.
Bundan sonraki aşama bu bilgilerin (CSR) bir sertifika otoritesi tarafından imzalanarak onaylanması işlemidir. İmza talebiniz (CSR) imzalarak tarafınıza geri döndürüldüğünde SSL Sertifikası adını alır.
Sertifika sağlayıcılığı özetle bir noterlik hizmeti olarak düşünülebilir. Oluşturduğunuz CSR sizin nüfus cüzdanı suretinizdir ancak bu surete dünyadaki bütün istemcilerin güvenebilmesi için bir sertifika sağlayıcısı tarafından imzalanması gerekiyor. bütün hikaye budur.