Önemli Güvenlik Terminolojisi

HTTPS'ye geçiş yaparken geliştiricilerin karşılaştığı zorluklardan ikisi kavramlar ve terimlerdir. Bu kılavuzda, her ikisine de kısa bir genel bakış sunulmaktadır.

Can Aydın
Chris Palmer
Matt Gaunt

Özet

  • Tarayıcı ile sunucu arasındaki iletileri imzalamak ve şifrelerini çözmek için genel/özel anahtarlar kullanıldı.
  • Sertifika yetkilisi (CA), ortak anahtarlar ile genel DNS adları (ör. "www.foobar.com") arasındaki eşleme için kefil olan bir kuruluştur.
  • Sertifika imzalama isteği (CSR), ortak anahtarı, anahtara sahip varlıkla ilgili bazı meta verilerle birlikte gruplandıran bir veri biçimidir.

Genel ve özel anahtar çiftleri nedir?

Genel/özel anahtar çifti, şifreleme ve şifre çözme anahtarı olarak kullanılan ve özel bir matematiksel ilişkiyi paylaşan çok büyük sayılardan oluşan bir çifttir. RSA kriptosistemi, anahtar çiftleri için de yaygın olarak kullanılan bir sistemdir. Ortak anahtar, mesajları şifrelemek için kullanılır ve mesajların şifresi yalnızca ilgili özel anahtar ile çözülebilir. Web sunucunuz tüm dünyaya kendi ortak anahtarının reklamını yapar ve istemciler (web tarayıcıları gibi) sunucunuza güvenli bir kanal eklemek için bunu kullanır.

Sertifika yetkilisi nedir?

Sertifika yetkilisi (CA), ortak anahtarlar ile genel DNS adları (ör. "www.foobar.com") arasında eşleme için başvuruda bulunan bir kuruluştur. Örneğin, istemci belirli bir ortak anahtarın www.foobar.com için true ortak anahtar olup olmadığını nasıl anlar? Yani, bunu bilmenin bir yolu yok. CA, web sitesinin ortak anahtarını şifreleme olarak imzalamak için kendi özel anahtarını kullanarak belirli bir site için belirli bir anahtarın doğru olduğunu garanti eder. Bu imzanın oluşturulması sayısal olarak mümkün değildir. Tarayıcılar (ve diğer istemciler), tanınmış CA'ların sahip olduğu ortak anahtarları içeren güvenilir depo depoları sağlar ve bu ortak anahtarları, CA'nın imzalarını kriptografik olarak doğrulamak için kullanır.

X.509 sertifikası, ortak anahtarı, anahtara sahip varlıkla ilgili bazı meta verilerle birlikte gruplandıran bir veri biçimidir. Web söz konusu olduğunda, anahtarın sahibi site operatörüdür ve önemli meta veriler, web sunucusunun DNS adıdır. Bir istemci HTTPS web sunucusuna bağlandığında, web sunucusu istemcinin doğrulaması için sertifikasını sunar. İstemci, sertifikanın süresinin dolmadığını, DNS adının istemcinin bağlanmaya çalıştığı sunucunun adıyla eşleştiğini ve bilinen bir güven bağlantısı CA'sının sertifikayı imzaladığını doğrular. Çoğu durumda CA'lar web sunucusu sertifikalarını doğrudan imzalamaz. Genellikle bir güven bağlantısını ara imzalayanlara veya imzalayanlara ve son olarak web sunucusunun kendi sertifikasına (son varlık) bağlayan bir sertifika zinciri bulunur.

Sertifika imzalama isteği nedir?

Sertifika imzalama isteği (CSR), sertifika gibi anahtarın sahibi olan varlıkla ilgili bazı meta verilerle birlikte bir ortak anahtarı gruplandıran bir veri biçimidir. Bununla birlikte, istemciler CSR'leri yorumlamaz, CA'lar da yorumlar. Web sunucunuzun ortak anahtarı için bir CA kefili olmasını istediğinizde CA'ya bir CSR gönderirsiniz. CA, CSR'deki bilgileri doğrular ve sertifika oluşturmak için kullanır. Ardından CA size son sertifikayı gönderir ve bu sertifikayı (veya büyük olasılıkla bir sertifika zincirini) ve özel anahtarınızı web sunucunuza yüklersiniz.