GÜNCELLEME - 24 Temmuz 2018: Bugün Google, Chrome 68'i kullanıma sunmaya başladı. Artık Google'ın tarayıcısı, HTTPS ile korunmayan tüm web siteleri için adres çubuğunda "Güvenli Değil" uyarısı verecek.
Web siteniz için mükemmel bir alan adı aldınız. Ürün listeniz bir araya geliyor ve siteniz harika görünüyor. Ama tam bu sırada, ticaret odasındaki yeni bir kontağınız KOBİ web sitenizin bir SSL sertifikası ile korunup korunmayacağını soruyor. Birden panik oluyorsunuz, nedir bu SSL? Web sitemin gerçekten bir SSL sertifikasına ihtiyacı var mı? SSL’nin nasıl çalıştığını bilmek zorunda mıyım?
Endişelenmeyin. Bu yazımızda bilmeniz gereken her şeyi anlatacağız.
SSL sertifikası nedir?
Öncelikle, SSL tam olarak nedir? “SSL” Secure Socket Layer (Güvenli Yuva Katmanı)’ın kısaltılmış halidir. Basitçe açıklamak gerekirse, küçük işletmeler müşterilerine web sitelerinde güvenle dolaşabileceklerini, hizmet veya ürün satın alabileceklerini ve bilgilerini paylaşabileceklerini bu yolla belirtirler. Sitenize SSL sertifikası eklemek bu tür aktiviteler için güvenli bir bağlantı oluşturur.
SSL sertifikasını, bilgi otobanında araba sürerken kullandığınız kocaman bir ön cam olarak düşünün. Otobanda araba sürerken, özellikle de kırsal bir alandaysanız, böcekler ile aranıza bir bariyer koymadan yola çıkmak istemezsiniz. SSL sertifikası da web sitenizi ve ziyaretçilerini aynı şekilde dijital böceklerden ve web ortamındaki diğer kötü yaratıklardan korur.
Sitenizin “hedef olmayacak kadar küçük” olduğunu düşünmeden önce, çoğu saldırının elektronik olarak yapıldığını ve kimlerin saldırıya uğrayacağına bir insanın karar vermediğini unutmayın.
Hiçbir site hacklenmeyecek kadar küçük değildir.
Web bug’ları ne kadar büyük olduğunuzu ya da ne iş yaptığınızı umursamaz. Onların tek amacı bir açık bulmaktır. Açığı keşfettiklerinde de pis işlerini yapmaya başlarlar.
SSL nasıl çalışır?
SSL’nin nasıl çalıştığını merak ediyorsanız hemen açıklayalım. SSL sertifikası, ziyaretçilerinizin tarayıcısıyla sunucu arasında şifreli bir bağlantı oluşturur. Güvenli oturum, web tarayıcısı ve web sunucusu arasında ileri-geri işlem içeren bir “el sıkışma” süreciyle sağlanır. Bunların hepsi arka planda gerçekleşir, yani siteye göz atmanız ya da alışveriş deneyiminiz kesintiye uğramaz.
SSL, iki taraf arasında paylaşılan değerli bilgileri korumaya yarar.
Bu da bizi başlangıçtaki soruya getiriyor: Web siteniz için SSL sertifikası gerekli mi? İşte karar vermenize yardımcı olacak birkaç ipucu.
Güvenli bir şekilde ödeme kabul etmek
Sitenizde çoğu bilindik kredi kartını kabul etmeyi mi düşünüyorsunuz? Büyük olasılıkla bir satıcı hesabına ihtiyacınız olacak, çoğu da bir SSL sertifikası kullanmanızı gerektirecek. GoDaddy dahil bazı web hosting şirketlerinin, kredi kartı kabul etmeden önce web sitelerinin SSL ile güvence altına alınmasını gerektiren hizmet şartları vardır. Zaten, müşterileriniz web sitenizden alışveriş yaparken kredi kartı bilgilerinin çalınması gibi bir riskleri olsun istemezsiniz, değil mi?
Bu, düzenli iş akışı sağlamak için pek de iyi bir yöntem olmazdı.
Bazı online mağaza ve alışveriş sepeti programları, yerleşik bir güvenli ödeme sistemi ile gelir. Böyle durumlarda, kredi kartı işlemleriyle üçüncü bir taraf ilgilenir ya da online ödeme için başka bir yöntem sunar. O zaman, küçük işletmenizin ödeme sayfası için bir SSL korumasına ihtiyacınız olmayabilir.
Ancak, SSL eklemek için başka nedenler de vardır.
Şifreli girişleri korumak
Sayfalarınızdan herhangi birinin şifre ile korunuyor olması, web sitenize SSL sertifikası eklemek için önemli bir sebep olabilir. Bu, WordPress veya Joomla! gibi bir yönetici giriş sayfası olan veritabanı odaklı siteler için de geçerlidir.
Birden fazla girişe sahip üyelik siteleri de siyah şapkalı korsanların saldırıya geçmesi için daha fazla fırsat yaratır.
Unutmayın, online ortamda güvende olması gereken her şeyin bir SSL sertifikası koruması altında çalışması gerekir.
İnternet, web sitenize erişim sağlamak için zayıf korumalı şifreli sayfaları arayan botlarla doludur. Web sitenize girip de sayfalarınızın bozulduğunu ya da silindiğini görmek istemezsiniz.
Tüm web formlarını güvenli hale getirmek
Online ortamda herkes para toplamaz. Bazı web siteleri bilgi toplar. Bunlar, ev alma potansiyeli olan insanların bilgileri ya da müşterinizin çalışma geçmişi bilgilerini içeren bir anket olabilir. Ya da herhangi bir şey de olabilir. İsim, adres, telefon numarası, e posta adresi gibi en temel bilgileri bile topluyor olsanız, müşterileriniz bu bilgilerin sızdırılmasını istemezler.
SSL sertifikası olmadan, bazı mail formları başkalarının eline geçebilir. Bazı kodlar diğerlerinden daha güvenilirdir. Sizinkinin hacklenmeye müsait olma riskini göze almak ister miydiniz?
Büyük olasılıkla, hayır.
Bu nedenle, online formlarınızı bir SSL sertifikası ile güvence altına almanız gerekir. Bu adımı atlayan biriyle iş yapmak istemezsiniz. Başkalarının da sizinle iş yapmamak için bunu bir neden olarak göstermelerine izin vermeyin.
Google’ın HTTPS olmayan siteleri “güvenli değil” olarak işaretlemesi
Google Chrome’un “güvenli değil” uyarısı ile web güvenliği standartlarını yükselttiğinden daha önce de bahsetmiştik. Ocak 2017’den beri şifre ve kredi kartı bilgisi toplayan http sayfaları “güvenli değil” olarak işaretleyen Google, Chrome 68 sürümüyle bunu daha da ileriye taşıyacak ve Temmuz ayından itibaren tüm http sayfaları “güvenli değil” olarak işaretlemeye ve adres çubuğunda bunu belirli bir şekilde vurgulamaya başlayacak.
Web sitenize gelen ziyaretçilerinizin adres çubuğunda sitenizin güvenli olmadığını belirten bir işaretle karşılaşmasını istemezsiniz, değil mi? Web sitenizin trafiğinin bu uyarıdan etkilenmemesi için, Temmuz’dan önce bir SSL sertifikası edinerek hem kendinizin hem ziyaretçilerinizin içini rahatlatabilirsiniz.
Bunun yanı sıra bazı alan adı uzantıları ile birlikte https şifreleme de zorunlu hale geliyor. Örneğin, kullanıma yeni sunulan .app alan adı uzantısını alanlar mecburi olarak SSL sertifikası almak zorunda kalacak.
SSL sertifikası çeşitleri
Artık SSL’nin ne olduğunu ve nasıl çalıştığını öğrendiğinize göre, sıra web siteniz için bir tanesini seçmeye geldi. Web sitenizin ya da sitelerinizin türüne göre farklı SSL sertifikalarına ihtiyacınız olabilir. İşte 3 farklı SSL sertifikası seçeneği:
- Joker Karakterli SSL Sertifikası
- Birden fazla alan adı için SAN SSL Sertifikası
- Kurumsal Doğrulamalı OV SSL Sertifikası
Hangi seçeneğin sizin için en uygun olduğunu belirledikten sonra web sitenize ekleyin ve avantajlarından yararlanmaya başlayın. Ziyaretçileriniz size teşekkür edecek.