☀ Bu soruya hemen cevap verelim: pek mümkün değil. İmkansız olmasa da, SSL sertifikasının kendisinin saldırıya uğrama ihtimali inanılmaz derecede zayıf. Ancak, yalnızca bir SSL yüklemiş olmanız, web sitenizin diğer alanlarda saldırıya açık olmadığı anlamına gelmez.
Bir SSL'nin "saldırıya uğraması" hakkındaki yanlış anlamalar, genellikle SSL'nin bir web sitesi için gerçekte ne yaptığı konusundaki kafa karışıklığından kaynaklanır.
- Bu kafa karışıklığının bir kısmını giderelim, olur mu?
Bu yazıda SSL'ler hakkındaki yanlış anlamalardan, web sitesi güvenliğinin sayısız diğer unsurlarından, SSL'yi zayıflatabilecek faktörlerden ve web'de gezinirken nelere dikkat etmeniz gerektiğinden bahsedeceğiz.
Dalış zamanı.
SSL gerçekte ne yapar ve yapmaz?
☀ Güvenli Yuva Katmanı'nın kısaltması olan SSL, web sitenizin sunucusu (yaşadığı yer) ile son kullanıcı istemcisi (çoğunlukla bir web tarayıcısı) arasındaki bağlantıyı şifrelemek için sitenize yükleyebileceğiniz bir dijital sertifika türüdür.
Bu, bu bağlantı üzerinden gönderilen verilerin korunduğu ve üçüncü taraflarca okunamayacağı veya çalınamayacağı anlamına gelir. Bu nedenle, bir SSL sertifikasının temel amacı, web sitenizin kullanıcılarını, verileri aktarılırken sahte saldırılara, yani ortadaki adam saldırılarına karşı korumaktır.
Sunucu tarafında, SSL sertifikası web sitenizi web sitesi kodlama sorunları, güncel olmayan yazılımlar veya veritabanınızdaki sorunlar gibi diğer olası güvenlik açıklarına karşı korumaz. Sunucuda depolanan verilere herhangi bir koruma sağlamaz. Benzer şekilde, istemci tarafında tarayıcıya ek koruma sağlamaz. SSL, web sitenizin güvenliğini sağlamak için yapmanız gereken bir dizi şeyin yalnızca bir parçasıdır.
Dolayısıyla, web sitenizin güvenliğiyle ilgili bir sorununuz varsa ve bunun web sitesi güvenliğinin en önemli unsuru olduğu izlenimine kapılıyorsanız, suçu hemen SSL'nizin "saldırıya uğramasına" bağlamak kolay olabilir..
Bununla birlikte, SSL'ler, günümüzde web siteleri için kesinlikle bir zorunluluk olsa da, web sitesi güvenliğinin devasa makinesinde yalnızca tek bir dişlidir.
Web sitenizin arka ucunu güçlendirin.
☀ Sunucu tarafındaki güvenlik gerektiği kadar sağlamlaştırılmamış veya güncel değilse, SSL tek başına sitenizi koruyamaz.
Sunucunuzun veya veritabanınızın güvenliğini sağlamak, ağı güçlendirmek ve DNS denetimi gibi şeyler için bu karmaşık bir iştir ve muhtemelen deneyimli bir sistem yöneticisinin veya web geliştiricisinin yardımına ihtiyacınız olacaktır. CMS barındırma (WordPress gibi) kullanıyorsanız sitenizin güvenliğini sağlamak için atabileceğiniz bazı adımlar şunlardır:
- CMS'nizi güncel tutmak
- Eklentilerin güncel olmasını sağlamak
- Personeli veri güvenliğine ilişkin en iyi uygulamalar (sosyal mühendislik saldırıları gibi) konusunda eğitmek
Peki tüm bunlar SSL'nin asla hacklenemeyeceği anlamına mı geliyor? Şart değil. SSL'nin savunmasız olabileceği bazı durumlar vardır.
Potansiyel SSL güvenlik açıkları
☀ Daha önce de belirttiğimiz gibi, SSL güvenlik açıklarından kaçınmak söz konusu olduğunda arka uçtaki her şeyin güncel olmasını sağlamak çok önemlidir. SSL ile ilgili duymuş olabileceğiniz birçok güvenlik açığı (POODLE veya Heartbleed gibi) genellikle kötü yapılandırılmış sunuculardan, güncel olmayan yazılımlardan veya SSL'nizin kullandığı protokol olan TLS (Aktarım Katmanı Güvenliği) protokolünün eski sürümleriyle ilgili sorunlardan kaynaklanır. Bağlantınızı şifreli tutmak için.
En güncel TLS protokolü TLS 1.3'tür. Sunucunuz veya istemciniz eski protokolleri destekliyorsa siber saldırı riski altında olabilirler.
Bu neden? TLS 1.3, önceki sürüm olan TLS 1.2'den daha hızlı ve daha güvenlidir. TLS 1.3, "SSL anlaşması" sürecini birkaç milisaniye kısaltıyor ve ayrıca 1.2 tarafından desteklenen eski şifreleme algoritmalarına olan desteği de düşürerek siber saldırılara karşı daha savunmasız hale getiriyor.
SSL’nizin son kullanma tarihine de dikkat etmelisiniz. SSL'nizi süresi dolmadan yenilemeyi unutursanız, siz kullanıcılar sitenizi ziyaret etmeye çalışırken hatalarla karşılaşırsınız. Böyle bir durumla karşılaşmamak için takviminizde hatırlatıcılar ayarlayın ve yenileme hatırlatma e-postalarının spam klasörünüze düşmediğinden emin olun.
Unutmayın: SSL'li bir web sitesi mutlaka güvenilir değildir
☀ Genel web kullanıcıları için, SSL sertifikasına sahip bir web sitesinin, bilgileriniz konusunda onlara güvenmeniz gerektiğinin bir göstergesi olmadığını unutmamak önemlidir. Tarayıcınız ile web sitesi arasındaki bağlantı güvenli olsa da bu, site sahibinin kötü niyetli olmadığı anlamına gelmez.
Uygun fiyatlı ve hatta ücretsiz SSL sertifikalarının giderek yaygınlaşmasıyla, karşı taraftaki kişinin kimliğini doğrulamak zor olabilir. Bu nedenle, SSL'nin kendisi ve doğrulanmış bir kuruluş için verilip verilmediği hakkında daha fazla bilgi edinmek için asma kilide tıklamanız önemlidir. Asma kilide tıklayıp şirket adını gördüğünüzde bu genellikle siteye güvenebileceğinizin bir işaretidir.
Ancak SSL'yi satın alan kimlik (şirket) doğrulanmadıysa dikkatli olmalısınız: web sitesi alan adının yazımını bir kez daha kontrol edin ve geçerli siteyi çevrimiçi olarak arayın.
Genellikle meşru siteler arama sonuçlarında en üstte yer alır motor sonuçları veya en azından sahte olanlardan daha yüksek.
Kimlik avı sitelerinin ve kötü amaçlı sitelerin OV veya EV SSL sertifikalarını satın alması pek olası değildir çünkü bu sertifikaları satın alan kişi veya kuruluşun kapsamlı doğrulamasını ve geçmiş kontrollerini gerektirir. Yani asma kilit çubuğunda şirket adını gördüğünüzde güvendesiniz demektir.
Temel olarak, bir web sitesinin SSL'sinden ne kadar fazla bilgi toplarsanız o kadar iyidir; özellikle de sizden kredi kartı bilgilerinizi veya herhangi bir kişisel bilgiyi vermenizi istiyorlarsa.
☀ Kimlik avı saldırıları artıyor ve dolandırıcılar giderek daha karmaşık hale geliyor. Örneğin, Amazon'dan geldiğini iddia eden bir bağlantıya tıklayıp kimlik bilgilerinizle giriş yapmanızı isteyen bir e-posta alırsanız, sitenin SSL sertifikası var diye ona güvenmemelisiniz.
Bilgisayar korsanları, bugünlerde daha fazla insanın SSL asma kilidini bir güven işareti olarak gördüğünü ve buna otomatik olarak güveneceğini biliyor ve bu nedenle, ücretsiz bir SSL veya hatta ücretli bir SSL alarak bunu kimlik avı sitelerine ekleyebilirler.
Genel bir kural olarak, asla e-postanız aracılığıyla aldığınız bağlantılar aracılığıyla kişisel bilgilerinizi vermeyin. Her zaman sizden bu ayrıntıları e-posta yoluyla istediği iddia edilen meşru web sitesine gidin. Ayrıca OV veya EV SSL’si olmayan bir siteden alışveriş yaparken dikkatli olun.
Özetle: kendinizi korumanın yolları.
Yakın zamanda verilmiş bir SSL'niz varsa ve donanımınızı ve yazılımınızı güncel tutuyorsanız, SSL'nizin saldırıya uğrama olasılığı inanılmaz derecede düşüktür. Ancak daha önce de belirttiğimiz gibi SSL, web sitesi güvenliğinin yalnızca bir unsurudur.
Potansiyel SSL güvenlik açıklarından endişeleniyorsanız, web sitenizin ve çevrimiçi ortamda olabildiğince güvende olduğunuzdan emin olmak için atabileceğiniz adımlar şunlardır:
- Acunetix Güvenlik Açığı Tarayıcısını veya Qualys SSL Sunucu Testini kullanarak web sitenizi tarayarak sitenizde herhangi bir güvenlik açığı olup olmadığını kontrol edin.
- Web sitenizin arka ucunu güçlendirin
- Tüm uygulamalarda ve işletim sistemlerinde TLS protokolünün eski sürümlerini devre dışı bırakın
- Gerekirse bir sistem yöneticisinin yardımını alın
- SSL sertifikanızı süresi dolmadan yenileyin
- Kişisel bilgi isteyen web sitelerinin SSL kimlik bilgilerini bir kez daha kontrol edin.
Okuduğunuz için teşekkürler. Başka yazılarda görüşmek üzere … 🤝
Yorum Gönder