Secure Sockets Layer (SSL), İnternet üzerinden iki veya daha fazla cihaz arasında güvenli bir bağlantı sağlamak için Netscape tarafından geliştirilen bir protokoldür. SSL, verileri şifrelemek için herkesin bildiği bir genel anahtar ve yalnızca mesajın alıcısının bildiği özel veya gizli bir anahtarı şifrelemek için iki anahtar kullanan bir şifreleme sistemi kullanır. Çoğu web tarayıcısı SSL'yi destekler ve birçok web sitesi, kredi kartı numaraları dahil olmak üzere gizli kullanıcı bilgilerini almak için protokolü kullanır. Kural olarak, SSL bağlantısı gerektiren URL'ler http yerine https ile başlar.
Bu, SSL ve S-HTTP'nin aynı protokoller olduğu anlamına gelmez, yalnızca ikisinin yakından ilişkili olduğu ve https etiketi tarafından kolayca tanındığı anlamına gelir. SSL, bir istemci ile sunucu arasında herhangi bir miktarda verinin güvenli bir şekilde gönderilebileceği güvenli bir bağlantı oluştururken, S-HTTP tek tek mesajları güvenli bir şekilde iletmek için tasarlanmıştır. Bu nedenle SSL ve S-HTTP, rekabet eden teknolojiler yerine tamamlayıcı olarak görülebilir. Her iki protokol de İnternet Mühendisliği Görev Gücü (IETF) tarafından standart olarak onaylandı.
SSL nasıl çalışır?
SSL, TCP bağlantısının üzerine katman olarak yerleştirilmiş üç adımlı bir el sıkışma uygulayarak çalışır:
- Bir web tarayıcısı SSL kullanarak bir web sitesine bağlanmaya çalıştığında, tarayıcı ilk olarak web sunucusunun kendisini tanımlamasını isteyecektir. Bu, web sunucusundan tarayıcıya SSL Sertifikasının bir kopyasını göndermesini ister.
- Tarayıcı, SSL Sertifikasına güvenilip güvenilmediğini kontrol eder ve eğer öyleyse, tarayıcı web sunucusuna bir doğrulama mesajı gönderir.
- Sunucu daha sonra, SSL şifreli bir oturum başlatmak için tarayıcıya dijital olarak imzalanmış bir onay ile yanıt verir. Bu, şifrelenmiş verilerin tarayıcı ve sunucu arasında http yerine https etiketiyle tanımlandığı gibi paylaşılmasına olanak tanır.
SSL ve TSL
Güvenli Yuva Katmanı (SSL), Aktarım Katmanı Güvenliği'nin (TLS) öncülüdür. 2014 yılında, SSL'nin 3.0 sürümü, güvenli HTTP tanımlama bilgilerinin veya HTTP Yetkilendirme başlık içeriklerinin düşürülen iletişimlerden çalınmasına izin veren POODLE (Oracle'ı Düşürülmüş Eski Şifreleme Üzerine Dolgu) saldırıları nedeniyle savunmasız olarak değerlendirildi. Bugün, SSL 3.0 eski olarak kabul edilir ve yerini Taşıma Katmanı Güvenliği (TLS) almıştır, ancak yine de yaygın olarak kullanılmaktadır. TLS, SSL'nin el sıkışma sürecini iyileştirir ve daha güvenilir bir protokol oluşturmak için bazı güvenlik açıklarını iyileştirir. TSL sertifikaları bazen yanlış bir şekilde SSL sertifikaları olarak adlandırılır, ancak SSL protokolü 2015'te resmi olarak kullanımdan kaldırıldığından beri nadiren kullanılmıştır.