paint-brush
TLS Sertifikaları için Basitleştirilmiş Kılavuz 📝ile@jaypmedia
881 okumalar
881 okumalar

TLS Sertifikaları için Basitleştirilmiş Kılavuz 📝

ile Jean-Paul Rustom8m2023/08/09
Read on Terminal Reader
Read this story w/o Javascript

Çok uzun; Okumak

Kamuya açık internet üzerinden güvenli iletişim sağlamak için JayP'nin kimlik doğrulama, gizlilik ve bütünlük konularını ele alması gerekiyor. Dijital sertifikalar bu sorunların çözümünde hayati bir rol oynamaktadır. YouTube gibi web sitelerinin kimliğini doğrularlar ve ortak anahtarın kaynağını doğrulayarak ortadaki adam saldırılarını önlerler. Sertifika Yetkilileri (CA'lar) dijital sertifikaları imzalayarak bir güven zinciri oluşturur. İşletim sistemleri güvenilir kök CA'ları içerir ve web siteleri, CA'lardan ara sertifikalar alır. Tarayıcı, karma oluşturma ve şifre çözme yoluyla sertifikaların orijinalliğini doğrulayarak güvenli bağlantılar sağlar. Üç tür TLS sertifikası açıklanmaktadır: Tek Etki Alanı (belirli bir etki alanı için), Wildcard (ana etki alanı ve alt etki alanları için) ve Çoklu Etki Alanı (SAN, tek bir sertifikadaki ilgisiz birden fazla etki alanı için).
featured image - TLS Sertifikaları için Basitleştirilmiş Kılavuz 📝
Jean-Paul Rustom HackerNoon profile picture
0-item

Diyelim ki JayP halka açık internet üzerinden youtube.com'a bağlanmak istiyor. Herhangi bir iletişim gerçekleşmeden önce bazı endişeler ortaya çıkacaktır:


Gerçekten youtube ile iletişim kurduğunu nasıl doğrulayabilir? (Kimlik Doğrulama)

JayP kimsenin mesajını ele geçirmediğini nasıl bilebilir? (Gizlilik)

Ayrıca kimsenin mesajı değiştirmediğinden nasıl emin olabilir? (Bütünlük)


Peki, her sorunu ayrı ayrı ele alalım. Öncelikle JayP'in Youtube'un kimliğini doğrulaması gerekiyor. Bunun için Youtube'un ortak anahtarına ihtiyacı var. Genel anahtar youtube'un kimliğini temsil eder.


Sorun

Sorun şu ki, saldırganlar internetteki bir bilgisayardan başka bir bilgisayara giden bir isteği engelleyip ortadaki adam saldırısı başlatmanın yollarını bulmuşlardır. Bu tür bir saldırı ile saldırganımız Chady kendi genel anahtarını enjekte edecek ve JayP'in aslında Chady ile iletişim kurarken Youtube ile iletişim kurduğunu düşünmesini sağlayacaktır.


Chady gizlice içeri giriyor ve kendi genel anahtarını gönderiyor


Chady gizlice içeri girer ve KENDİ genel anahtarını gönderir.


Şimdi bunun korkutucu olduğunu düşünebilirsiniz, değil mi? Oturum açma kimlik bilgileri veya kredi kartı ayrıntıları gibi kişisel bilgilerin çalınmasından kötü amaçlı yazılım dağıtımına veya diğer kötü amaçlı hedeflere kadar bu tür bir saldırıyla neler mümkün olabileceğini hayal edin. Peki JayP aldığı genel anahtarın gerçekten Youtube'dan geldiğinden nasıl emin olabilir? Dijital sertifikaların devreye girdiği yer burasıdır. (TADAAA)


TLS Sertifika Örneği


Genel anahtarın kötü niyetli bir Chady'den değil, gerçekten Youtube'dan geldiğinden emin olurlar. Aslında dijital sertifikalar yalnızca HTTPS için değil aynı zamanda mail, IOT ve VPN için de kullanılabiliyor…


TLS Sertifikası İçerisindeki Bilgiler

Dijital sertifika oldukça fazla bilgi içerecektir, en önemlilerini inceleyelim:


Chrome tarayıcısında gösterilen Youtube Sertifikası


  • Veren , bu sertifikayı imzalayan üçüncü taraftır; bu konuya birazdan değineceğiz. Bazı temel bilgiler Ortak Adı, kuruluşu ve ülkeyi içerecektir.

  • Elbette bir dijital sertifika aynı zamanda Validity değerini de içerecektir; iki kritik alanla birlikte, önce ve sonra değil.

  • Konu sertifikanın sahibidir ve bizim durumumuzda Youtube olacaktır. Konu ortak ad, adres ve en önemlisi ortak anahtar gibi bilgileri içerecektir.

  • Son olarak, dijital sertifika İmzasını içerir. Bu, sertifikayı verenin imzaladığı ve bu sertifikanın gerçek olduğunu kanıtlayan imzadır.


    Sertifika yetkilisi


Dijital sertifikayı kim imzalıyor?

Dijital sertifikalar, sertifika yetkilileri adı verilen kuruluşlar (örneğin DigiCert, Comodo, Symantec, Google Trust Services) tarafından imzalanır.

Ama durun, sertifika yetkilileri nedir?

Özetle, Sertifika Yetkilileri dijital sertifikaların verilmesinden sorumlu güvenilir üçüncü taraf kuruluşlardır.

Sertifika yetkilisi


Sertifika yetkililerinin kendilerine ait genel ve özel anahtarları vardır. Buradan yola çıkarak imzaların nasıl yapıldığını açıklayalım.


Dijital sertifikada yer alan daha önce bahsedilen bilgilere, örneğin bir SHA-256 algoritması kullanılarak karma işlemi uygulanacaktır. Hash oluşturulduktan sonra, sertifika yetkilisi hash'i RSA asimetrik anahtar şifrelemesini kullanarak kendi özel anahtarını kullanarak şifreler. Bu şifrelenmiş karma, bir sertifikanın imzasıdır ve yalnızca sertifika yetkilisinin ortak anahtarı kullanılarak şifresi çözülebilir. Bu sertifikayı imzalayan sertifika yetkilisinin ortak anahtarına sahip olan herkes, şifreyi çözebilir ve sertifikanın gerçek olduğunu ve tahrif edilmediğini doğrulayabilir.


Tarayıcı sertifikayı aldığında, aynı karma algoritmasını (bu örnekte SHA-256) kullanarak kendi tarafındaki tüm bilgilere karma işlemi uygular. Daha sonra, sertifika yetkilisinden alınan karmayı almak için sertifika yetkilisinin ortak anahtarını kullanarak imzanın şifresini çözer. Her iki karma eşleşirse tarayıcı bu sertifikanın gerçekten talep edilen sertifika yetkilisinden geldiğini doğrulayabilir.


Sertifika Yetkilileri için Hiyerarşiler

Sertifika yetkilileri için hiyerarşiler mevcuttur; kök sertifika yetkilisi ve ara sertifika yetkilisi.



Kök ve Ara Sertifika Yetkilisi



Bu kök CA aslında sunucular için doğrudan herhangi bir dijital sertifika vermez. Yalnızca kendi adına hareket eden ara CA'lar için dijital sertifikalar verir. Ara CA'lar, başka bir ara CA için veya doğrudan bir sunucu için dijital sertifikalar verebilir.



Dolayısıyla kök CA'dan sunucuya kadar bir güven zinciri vardır.

İşletim sistemleri, güvenilen kök sertifika yetkililerinin listesi olan bir güven deposuyla birlikte gelir. Bu liste Apple ve Microsoft gibi işletim sistemi üreten şirketler tarafından tutulmaktadır. Hepsinin güvenilirliğini ve geçerliliğini kanıtlayan bir veya daha fazla denetimden geçmesi için bir kök sertifika yetkilisine ihtiyacı vardır.


Bütün bunlar resme nasıl uyuyor?

Tüm süreci baştan itibaren görselleştirelim.

Öncelikle youtube.com'un yepyeni bir girişim olduğunu varsayalım. Halka açık bir internette güvenli olmanın gerekliliğini anlayan Youtube'un güvenilir bir dijital sertifikaya sahip olması ve bunu ziyaretçilerine sunması gerekecekti.



1. Adım: Youtube dijital sertifika almak için alışverişe çıkıyor

Youtube öncelikle ara sertifika yetkilisi arayışına giriyor. Ara sertifika yetkililerinin sunucular ile kök sertifika yetkilileri arasında aracı olduğunu unutmayın. Youtube söz konusu olduğunda Google'ın, Google Trust Services adı verilen kendi sertifika yetkilisi vardır.



Bir ara CA seçtikten sonra Youtube bir sertifika imzalama isteğinde bulunur. Sertifika imzalama isteği, Youtube'un ortak adı, organizasyonu ve en önemlisi Youtube'un ortak anahtarı gibi Youtube'un dijital sertifikasında yer alacak bilgileri içerecektir. Youtube, sertifika imzalama isteğini ara CA'ya gönderecektir.



Ara sertifika yetkilisi, konu olarak da anılan, sahibi hakkındaki bilgileri içeren CSR'yi doğrulayacaktır. Daha sonra ara sertifikaya ilişkin bilgi olan ihraççı bilgileri ve geçerlilik gibi alanları ekler ve tüm bu bilgileri daha önce imzalama sürecinde açıklandığı gibi imzalar. İmzalamanın ardından ara sertifika yetkilisi youtube için dijital sertifikayı geri gönderecektir.


Youtube artık yeni satın aldığı dijital sertifikasını web sunucularına ekleyebilecek.


2. Adım: JayP, fitness videolarını izlemek için youtube.com'a bağlanır


Youtube'a bağlandığında Youtube kendi sertifikasını ve ara sertifika yetkililerinin sertifikalarını gönderecektir. Kök sertifika yetkilisi, JayP'nin İşletim Sisteminde mevcut olduğundan gönderilmeyecektir. Youtube'un sertifikası, ara sertifika yetkilisi olan verenin bilgilerini içerecektir. Tarayıcı dolayısıyla bu sertifikanın Google Trust Services Ara Sertifika Yetkilisi tarafından imzalandığını bilecek ve sertifikasına sahip olacaktır. Herhangi bir dijital sertifika, daha önce açıklandığı gibi bilgi ve bir imza içerecektir. Tarayıcı, hash değerini elde etmek için tüm bilgilere hash işlemi uygulayacaktır. Daha sonra imzayı verenin genel anahtarını, diğer bir deyişle ara sertifika yetkilisinin ortak anahtarını kullanarak imzanın şifresini çözecektir. İmzanın şifresinin yalnızca verenin ortak anahtarı kullanılarak çözülebileceğini bir kez daha unutmayın. Bundan sonra tarayıcı iki hash değerini karşılaştıracaktır, eğer bunlar aynıysa, zincirin bu kısmı doğrulanır ve açıklandığı gibi ara sertifika yetkililerine doğrudan güvenilmediği için tarayıcı ara sertifika yetkilisini doğrulamaya geçer. işletim sistemleri.



Tamam, şimdi tarayıcı Google Trust Orta Sertifika Yetkilisinin sertifikasını doğrulayacak. Bu ara sertifika, Google Trust Services Kök Sertifika yetkilisi tarafından imzalanmıştır. Bu adımdan önce, son sertifika ile kök sertifika arasında çok sayıda ara sertifika yetkilisine sahip olabileceğimizi ve zincirin her bir parçası için aynı doğrulama sürecinin gerçekleşeceğini lütfen unutmayın.



Örneğimizde sadece bir tanesine bağlı kalacağız. Ara sertifika yetkilisinin sertifikasının imzası, daha önce de belirtildiği gibi kök sertifika yetkilisinin ortak anahtarıyla doğrulanacaktır. Kök sertifika yetkilisine ulaşıldığında zincirin bittiği yer burasıdır. Kendinden imzalı kök sertifika yetkilisi, JayPee'nin işletim sisteminin güven deposunda mevcut olacaktır.




Bu kadar! Bu doğrulamanın ardından tarayıcı, tarayıcınızdaki gibi hoş görünümlü bir kilit simgesi görüntüleyecektir. Artık iletişimin gerçekten Youtube ile olduğu ve güvenli olduğu garanti ediliyor (HOORAY)


Üç tür Etki Alanı Sertifikası

Bitirmeden önce üç ana TLS sertifikası türünü kısaca açıklayacağız.


1) Tek Alan Adı Sertifikası

Tek bir alan sertifikası, tek bir tam nitelikli alan adını güvence altına almak için tasarlanmıştır. Bu, sertifikanın yalnızca belirli bir alan adı için geçerli olduğu ve herhangi bir alt alanı veya ek alanı kapsamadığı anlamına gelir. Örneğin, "www.youtube.com" alanı için tek bir alan adı sertifikası yalnızca bu alan adını güvence altına alır ve "academy.youtube.com" veya "blog.youtube.com" gibi diğer varyasyonları korumaz.

Kullanım durumları: Tek alan adı sertifikaları, ek alt alan adları gerektirmeyen tek bir web siteniz veya web uygulamanız olduğunda idealdir. Belirli bir etki alanını güvence altına almak için en basit ve uygun maliyetli seçeneklerdir.


2) Wildcard Sertifikası


Daha sonra, bir ana alan adı ve tüm alt alan adları için tek bir sertifika kullanılarak verilen bir tür TLS sertifikası olan joker karakter sertifikamız var. Joker karakter yıldız işareti, Ortak Ad (CN) alanında veya Konu Alternatif Adı (SAN) alanında, belirtilen etki alanı altındaki herhangi bir alt etki alanının kapsandığını belirtmek için kullanılır. Örneğin, " .youtube.com" için joker karakter sertifikanız varsa bu sertifika "youtube.com", "academy.youtube.com ," blog.youtube.com" vb.'yi güvence altına alır .


Kullanım örnekleri: Joker karakter sertifikaları, sizi her alt alan adı için ayrı ayrı sertifikaları yönetme ve yenileme zorunluluğundan kurtarır. Ancak joker karakter sertifikalarının yalnızca bir düzeyde alt etki alanını kapsadığını unutmamak önemlidir. Örneğin, "*.youtube.com" için bir joker karakter sertifikası "academy.blog.youtube.com"u kapsamaz.


3) Çoklu Alan Adı (SAN) Sertifikası


Konu Alternatif Adı sertifikası olarak da bilinen çok alanlı sertifika, tek bir sertifika içinde birden fazla ilgisiz alan adını güvence altına almanıza olanak tanır. Güvenliği sağlanacak her alan adı veya alt alan adı, sertifikanın Konu Alternatif Adı (SAN) uzantısında listelenir.


Örneğin Google ve diğer büyük şirketler bu çok alanlı sertifikaları kullanır. Başlıca faydalarından biri Basitleştirilmiş Sertifika Yönetimi olacaktır: Google, her biri kendi etki alanına veya alt etki alanına sahip çok sayıda web hizmeti ve uygulamasını çalıştırır. Çok alanlı sertifikaların kullanılması, birden çok alan adı veya alt alan adı için sertifika yönetimini tek bir sertifikada birleştirmelerine olanak tanır. Bu, sertifika verme, yenileme ve izleme sürecini kolaylaştırır.



Ve bu kadar. Lütfen animasyonlu dersi izlemeye biraz zaman ayırın.

Bir sonraki yazımda TLS ile şifreleme konusunu ele alacağım.