Diyelim ki JayP halka açık internet üzerinden youtube.com'a bağlanmak istiyor. Herhangi bir iletişim gerçekleşmeden önce bazı endişeler ortaya çıkacaktır: Gerçekten youtube ile iletişim kurduğunu nasıl doğrulayabilir? (Kimlik Doğrulama) JayP kimsenin mesajını ele geçirmediğini nasıl bilebilir? (Gizlilik) Ayrıca kimsenin mesajı değiştirmediğinden nasıl emin olabilir? (Bütünlük) Peki, her sorunu ayrı ayrı ele alalım. Öncelikle JayP'in kimliğini doğrulaması gerekiyor. Bunun için Youtube'un ortak anahtarına ihtiyacı var. Genel anahtar youtube'un kimliğini temsil eder. Youtube'un Sorun Sorun şu ki, saldırganlar internetteki bir bilgisayardan başka bir bilgisayara giden bir isteği engelleyip başlatmanın yollarını bulmuşlardır. Bu tür bir saldırı ile saldırganımız Chady kendi genel anahtarını enjekte edecek ve JayP'in aslında Chady ile iletişim kurarken Youtube ile iletişim kurduğunu düşünmesini sağlayacaktır. ortadaki adam saldırısı Chady gizlice içeri girer ve KENDİ genel anahtarını gönderir. Şimdi bunun korkutucu olduğunu düşünebilirsiniz, değil mi? Oturum açma kimlik bilgileri veya kredi kartı ayrıntıları gibi kişisel bilgilerin çalınmasından kötü amaçlı yazılım dağıtımına veya diğer kötü amaçlı hedeflere kadar bu tür bir saldırıyla neler mümkün olabileceğini hayal edin. Peki JayP aldığı genel anahtarın gerçekten Youtube'dan geldiğinden nasıl emin olabilir? Dijital sertifikaların devreye girdiği yer burasıdır. (TADAAA) Genel anahtarın kötü niyetli bir Chady'den değil, gerçekten Youtube'dan geldiğinden emin olurlar. Aslında dijital sertifikalar yalnızca HTTPS için değil aynı zamanda mail, IOT ve VPN için de kullanılabiliyor… TLS Sertifikası İçerisindeki Bilgiler Dijital sertifika oldukça fazla bilgi içerecektir, en önemlilerini inceleyelim: , bu sertifikayı imzalayan üçüncü taraftır; bu konuya birazdan değineceğiz. Bazı temel bilgiler Ortak Adı, kuruluşu ve ülkeyi içerecektir. Veren Elbette bir dijital sertifika aynı zamanda de içerecektir; iki kritik alanla birlikte, önce ve sonra değil. Validity değerini sertifikanın sahibidir ve bizim durumumuzda Youtube olacaktır. Konu ortak ad, adres ve en önemlisi ortak anahtar gibi bilgileri içerecektir. Konu Son olarak, dijital sertifika içerir. Bu, sertifikayı verenin imzaladığı ve bu sertifikanın gerçek olduğunu kanıtlayan imzadır. İmzasını Dijital sertifikayı kim imzalıyor? Dijital sertifikalar, sertifika yetkilileri adı verilen kuruluşlar (örneğin DigiCert, Comodo, Symantec, Google Trust Services) tarafından imzalanır. Ama durun, sertifika yetkilileri nedir? Özetle, Sertifika Yetkilileri dijital sertifikaların verilmesinden sorumlu güvenilir üçüncü taraf kuruluşlardır. Sertifika yetkililerinin kendilerine ait genel ve özel anahtarları vardır. Buradan yola çıkarak imzaların nasıl yapıldığını açıklayalım. Dijital sertifikada yer alan daha önce bahsedilen bilgilere, örneğin bir kullanılarak karma işlemi uygulanacaktır. Hash oluşturulduktan sonra, sertifika yetkilisi hash'i RSA asimetrik anahtar şifrelemesini kullanarak kendi özel anahtarını kullanarak şifreler. Bu şifrelenmiş karma, bir sertifikanın imzasıdır ve yalnızca sertifika yetkilisinin ortak anahtarı kullanılarak şifresi çözülebilir. Bu sertifikayı imzalayan sertifika yetkilisinin ortak anahtarına sahip olan herkes, şifreyi çözebilir ve sertifikanın gerçek olduğunu ve tahrif edilmediğini doğrulayabilir. SHA-256 algoritması Tarayıcı sertifikayı aldığında, aynı karma algoritmasını (bu örnekte SHA-256) kullanarak kendi tarafındaki tüm bilgilere karma işlemi uygular. Daha sonra, sertifika yetkilisinden alınan karmayı almak için sertifika yetkilisinin ortak anahtarını kullanarak imzanın şifresini çözer. Her iki karma eşleşirse tarayıcı bu sertifikanın gerçekten talep edilen sertifika yetkilisinden geldiğini doğrulayabilir. Sertifika Yetkilileri için Hiyerarşiler Sertifika yetkilileri için hiyerarşiler mevcuttur; kök sertifika yetkilisi ve ara sertifika yetkilisi. Bu kök CA aslında sunucular için doğrudan herhangi bir dijital sertifika vermez. Yalnızca kendi adına hareket eden ara CA'lar için dijital sertifikalar verir. Ara CA'lar, başka bir ara CA için veya doğrudan bir sunucu için dijital sertifikalar verebilir. Dolayısıyla kök CA'dan sunucuya kadar bir güven zinciri vardır. İşletim sistemleri, güvenilen kök sertifika yetkililerinin listesi olan bir güven deposuyla birlikte gelir. Bu liste Apple ve Microsoft gibi işletim sistemi üreten şirketler tarafından tutulmaktadır. Hepsinin güvenilirliğini ve geçerliliğini kanıtlayan bir veya daha fazla denetimden geçmesi için bir kök sertifika yetkilisine ihtiyacı vardır. Bütün bunlar resme nasıl uyuyor? Tüm süreci baştan itibaren görselleştirelim. Öncelikle youtube.com'un yepyeni bir girişim olduğunu varsayalım. Halka açık bir internette güvenli olmanın gerekliliğini anlayan Youtube'un güvenilir bir dijital sertifikaya sahip olması ve bunu ziyaretçilerine sunması gerekecekti. 1. Adım: Youtube dijital sertifika almak için alışverişe çıkıyor Youtube öncelikle ara sertifika yetkilisi arayışına giriyor. Ara sertifika yetkililerinin sunucular ile kök sertifika yetkilileri arasında aracı olduğunu unutmayın. Youtube söz konusu olduğunda Google'ın, Google Trust Services adı verilen kendi sertifika yetkilisi vardır. Bir ara CA seçtikten sonra Youtube bir sertifika imzalama isteğinde bulunur. Sertifika imzalama isteği, Youtube'un ortak adı, organizasyonu ve en önemlisi Youtube'un ortak anahtarı gibi Youtube'un dijital sertifikasında yer alacak bilgileri içerecektir. Youtube, sertifika imzalama isteğini ara CA'ya gönderecektir. Ara sertifika yetkilisi, konu olarak da anılan, sahibi hakkındaki bilgileri içeren CSR'yi doğrulayacaktır. Daha sonra ara sertifikaya ilişkin bilgi olan ihraççı bilgileri ve geçerlilik gibi alanları ekler ve tüm bu bilgileri daha önce imzalama sürecinde açıklandığı gibi imzalar. İmzalamanın ardından ara sertifika yetkilisi youtube için dijital sertifikayı geri gönderecektir. Youtube artık yeni satın aldığı dijital sertifikasını web sunucularına ekleyebilecek. 2. Adım: JayP, fitness videolarını izlemek için youtube.com'a bağlanır Youtube'a bağlandığında Youtube kendi sertifikasını ve ara sertifika yetkililerinin sertifikalarını gönderecektir. Kök sertifika yetkilisi, JayP'nin İşletim Sisteminde mevcut olduğundan gönderilmeyecektir. Youtube'un sertifikası, ara sertifika yetkilisi olan verenin bilgilerini içerecektir. Tarayıcı dolayısıyla bu sertifikanın Google Trust Services Ara Sertifika Yetkilisi tarafından imzalandığını bilecek ve sertifikasına sahip olacaktır. Herhangi bir dijital sertifika, daha önce açıklandığı gibi bilgi ve bir imza içerecektir. Tarayıcı, hash değerini elde etmek için tüm bilgilere hash işlemi uygulayacaktır. Daha sonra imzayı verenin genel anahtarını, diğer bir deyişle ara sertifika yetkilisinin ortak anahtarını kullanarak imzanın şifresini çözecektir. İmzanın şifresinin yalnızca verenin ortak anahtarı kullanılarak çözülebileceğini bir kez daha unutmayın. Bundan sonra tarayıcı iki hash değerini karşılaştıracaktır, eğer bunlar aynıysa, zincirin bu kısmı doğrulanır ve açıklandığı gibi ara sertifika yetkililerine doğrudan güvenilmediği için tarayıcı ara sertifika yetkilisini doğrulamaya geçer. işletim sistemleri. Tamam, şimdi tarayıcı Google Trust Orta Sertifika Yetkilisinin sertifikasını doğrulayacak. Bu ara sertifika, Google Trust Services Kök Sertifika yetkilisi tarafından imzalanmıştır. Bu adımdan önce, son sertifika ile kök sertifika arasında çok sayıda ara sertifika yetkilisine sahip olabileceğimizi ve zincirin her bir parçası için aynı doğrulama sürecinin gerçekleşeceğini lütfen unutmayın. Örneğimizde sadece bir tanesine bağlı kalacağız. Ara sertifika yetkilisinin sertifikasının imzası, daha önce de belirtildiği gibi kök sertifika yetkilisinin ortak anahtarıyla doğrulanacaktır. Kök sertifika yetkilisine ulaşıldığında zincirin bittiği yer burasıdır. Kendinden imzalı kök sertifika yetkilisi, JayPee'nin işletim sisteminin güven deposunda mevcut olacaktır. Bu kadar! Bu doğrulamanın ardından tarayıcı, tarayıcınızdaki gibi hoş görünümlü bir kilit simgesi görüntüleyecektir. Artık iletişimin gerçekten Youtube ile olduğu ve güvenli olduğu garanti ediliyor (HOORAY) Üç tür Etki Alanı Sertifikası Bitirmeden önce üç ana TLS sertifikası türünü kısaca açıklayacağız. 1) Tek Alan Adı Sertifikası Tek bir alan sertifikası, tek bir tam nitelikli alan adını güvence altına almak için tasarlanmıştır. Bu, sertifikanın yalnızca belirli bir alan adı için geçerli olduğu ve herhangi bir alt alanı veya ek alanı kapsamadığı anlamına gelir. Örneğin, "www.youtube.com" alanı için tek bir alan adı sertifikası yalnızca bu alan adını güvence altına alır ve "academy.youtube.com" veya "blog.youtube.com" gibi diğer varyasyonları korumaz. Kullanım durumları: Tek alan adı sertifikaları, ek alt alan adları gerektirmeyen tek bir web siteniz veya web uygulamanız olduğunda idealdir. Belirli bir etki alanını güvence altına almak için en basit ve uygun maliyetli seçeneklerdir. 2) Wildcard Sertifikası Daha sonra, bir ana alan adı ve tüm alt alan adları için tek bir sertifika kullanılarak verilen bir tür TLS sertifikası olan joker karakter sertifikamız var. Joker karakter yıldız işareti, Ortak Ad (CN) alanında veya Konu Alternatif Adı (SAN) alanında, belirtilen etki alanı altındaki herhangi bir alt etki alanının kapsandığını belirtmek için kullanılır. Örneğin, " . .youtube.com" için joker karakter sertifikanız varsa bu sertifika "youtube.com", "academy.youtube.com ," blog.youtube.com" vb.'yi güvence altına alır Joker karakter sertifikaları, sizi her alt alan adı için ayrı ayrı sertifikaları yönetme ve yenileme zorunluluğundan kurtarır. Ancak joker karakter sertifikalarının yalnızca bir düzeyde alt etki alanını kapsadığını unutmamak önemlidir. Örneğin, "*.youtube.com" için bir joker karakter sertifikası "academy.blog.youtube.com"u kapsamaz. Kullanım örnekleri: 3) Çoklu Alan Adı (SAN) Sertifikası Konu Alternatif Adı sertifikası olarak da bilinen çok alanlı sertifika, tek bir sertifika içinde birden fazla ilgisiz alan adını güvence altına almanıza olanak tanır. Güvenliği sağlanacak her alan adı veya alt alan adı, sertifikanın Konu Alternatif Adı (SAN) uzantısında listelenir. Örneğin Google ve diğer büyük şirketler bu çok alanlı sertifikaları kullanır. Başlıca faydalarından biri Basitleştirilmiş Sertifika Yönetimi olacaktır: Google, her biri kendi etki alanına veya alt etki alanına sahip çok sayıda web hizmeti ve uygulamasını çalıştırır. Çok alanlı sertifikaların kullanılması, birden çok alan adı veya alt alan adı için sertifika yönetimini tek bir sertifikada birleştirmelerine olanak tanır. Bu, sertifika verme, yenileme ve izleme sürecini kolaylaştırır. Ve bu kadar. Lütfen animasyonlu dersi izlemeye biraz zaman ayırın. https://youtu.be/OU-e_Qz-v4U?embedable=true Bir sonraki yazımda TLS ile şifreleme konusunu ele alacağım. Burada da yayınlandı.

Walkthroughs, tutorials, guides, and tips. This story will teach you how to do something new or how to do something better.

Check out my content !

Read My Stories

Bu ses hikayenin orijinal dilinde üretilmiştir!

Çok uzun; Okumak

Making security fun one episode at a time

TLS Sertifikaları için Basitleştirilmiş Kılavuz 📝

Çok uzun; Okumak

Jean-Paul Rustom

STORY’S CREDIBILITY

Guide

About Author

ETİKETLERİ ASIN

Languages

BU YAZI...

TLS Sertifikaları için Basitleştirilmiş Kılavuz 📝

Çok uzun; Okumak

Jean-Paul Rustom

STORY’S CREDIBILITY

Guide

About Author

ETİKETLERİ ASIN

Languages

BU YAZI...

İLGİLİ ÖYKÜLER