1. 24/12/14
1
SSL
• Secure Socket Layer – (Güvenli Soket Katmanı )
•Hazırlayan : Mehmet ÇELİK
•İstanbul Kültür Üniv. 2005 - İstanbul
2. 24/12/14
2
İçerik
• SSL nedir? Nerede kullanılır?
• SSL nasıl ayarlanır ve kullanılır ?
• Web SERVER ‘LARDA SSL kullanımı
3. 24/12/14
3
Kısaca SSL (https)
• Üç ayrı güvenlik problemine çözüm sunar.
– Kriptolama (Encryption)
– Kimlik Doğrulama (authentication)
– Veri Bütünlüğü (data integrity)
6. 24/12/14
6
SSL ile gelenler
• Hand shake
• Change cipher
• Alert Protocol etc...
• Hand shake
• Change cipher
• Alert Protocol
SSL ile gelen protokoller, aynı zamanda Application Layer’da
ayrı birer uygulama olarak çalışırlar.
7. 24/12/14
7
WEB SERVER ‘LARDA SSL KULLANIMI
• Herkesçe bilinen kriptolama algoritması
• gizli bir kriptolama anahtarı
• Sayısal imza ( Digital Signature)
8. 24/12/14
8
Standart
• 40 bit anahtar (~ 100 - 350 $)
• 128 bit anahtar (~ 300 - 1000 $)
• sunucu sertifikası ( sunucu kimliği)
–
Sunucu sertifikasi diger web sitelerinin sizin sitenizmis gibi görünmelerini engellemektedir
–
sunucu sertifikası web siteniz, organizasyonunuz ve sertifikayi veren kurum hakkinda bilgiler içerir
9. 24/12/14
9
Güvenlik Paranoyası
• 128 bit şifrelemede 2128 değişik anahtar vardır ve bu
şifrenin çözülebilmesi çok büyük bir maliyet ve zaman
gerektirir.
• 128 bit'lik şifreyi çözmek için 1 milyon dolarlık yatırım
yaptıktan sonra 67 yıl gibi bir zaman gerekir.
• Bilgi gönderilmeden önce otomatik olarak şifrelenir ve sadece
doğru alıcı tarafından deşifre edilebilir.
• Hatta bilgiyi gönderen istemci şifrelediği bilgiyi deşifre edemez.
11. 24/12/14
11
WEB SERVER ‘DA SSL‘İN ETKİNLESTİRİLMESİ
• IIS’de
1. MS Key Manager ile başvuru dosyası oluşturma
• Certificate Request File ve Encryption key pair
1. Oluşturulan dosya ile CA ‘e (Certification
Authority) başvuru
2. MS Key Manager ile sunucu sertifikasını yükleme
•Apache için OpenSSL.
http://www.globalsign.com.tr/destek/ss_apache.asp
12. 24/12/14
12
SERTIFIKA TALEP DOSYASI
( Certificate Request File ) OLUSTURULMASI
• INTERNET SERVICE MANAGER ‘i çalistirin ve araç çubugundaki KEY MANAGER ikonuna tiklayin. Key
manager ‘in içindeyken KEY > CREATE NEW KEY ‘i seçin. Bu sayede sertifika olusturmak için size yardimci
olacak sihirbaza ulasabilirsiniz.
· REQUEST FILE : Sihirbazi tamamladiginizda, sabit diskinize kaydedilecek olan sertifika talep dosyanizin adi.
· KEY NAME : Burada istediginiz bir ismi verebilirsiniz. Bu isim anahtari tanimlamak için kullanilacak.
· PASSWORD : Onaylanmis sertifikaniz, sertifika otoritesinden gelince sertifikanin yüklenmesi için gerekli olan
sifre.
· KEY SIZE : Anahtar boyu; varsayilan degeri 512 bit uzunlugunda olacaktir. Bu anahtar boyu mesajlari
kriptolamak için kullanilan oturum anahtarinin kuvveti degil, sunucu sertifikasinin kuvvetini ifade eder.
· ORGANIZATION : Web sitenizin domain name (alan adi) sahibinin ismidir. Genellikle sirket ismi girilir.
· ORGANIZATIONAL UNIT : Bulundugunuz departmanin ismi.
· COMMON NAME : Tam alan adiniz. ( eticaret.site.com ) Burada protokol yazilmaz. ( http:// gibi )
· COUNTRY / REGION : Ülkeniz için iki harfli ISO kodu. Örnegin Türkiye için ; TR, ABD için ; US gibi. Bu ülke
kodlarinin listesi sihirbazda mevcut.
· STATE / PROVINCE : Bulundugunuz bölgenin yada eyaletin tam ismi.
· LOCALITY : Bulundugunuz sehrin adi
· YOUR NAME : Tam adiniz.
· EMAIL ADDRESS : E-mail adresiniz
· PHONE NUMBER : Telefon numaraniz
Sihirbazi tamamladiginizda, sabit diskinizde bir sertifika talep dosyasi olusturulacaktir. Key Manager
programinda kirik anahtar görünecektir. Bu kirik anahtar sertifika talep dosyasinin olusturuldugunu, fakat
sunucu sertifikasinin yüklenmedigini göstermektedir.
13. 24/12/14
13
SUNUCU SERTIFIKASI IÇIN BAŞVURMAK
• Sertifika talep dosyanızı oluşturduktan sonra, sunucu sertifikanızı alabilmek için sertifika
talep dosyanızı bir sertifika otoritesine göndermeniz gerekmektedir. En çok kullanilan
sertifika otoritelerinin arasinda
· VERISIGN Inc. ( http://www.verisign.com )
· THAWTE CONSULTING ( http://www.thawte.com )
· GLOBALSIGN (http://www.globalsign.com.tr)
bulunmaktadir.
• Mesela Veri Sign firmasina basvurmak için ilk olarak firmanin web sitesini girmemiz
gerekmektedir. Burada ilgili bölümlere girip, gerekli bilgileri verdikten sonra, sertifika
talep dosyanizi online olarak firmaya yollayabilirsiniz. Bilgileriniz incelenip, onaylandiktan
sonra, sunucu sertifikanizi indirmeniz için gerekli talimatlari içeren bir e-mail alacaksiniz.
14. 24/12/14
14
SUNUCU SERTIFIKANIZIN YÜKLENMESI
• Sunucunuzun SSL kullanacak sekilde konfigüre edilmesindeki son adim ise sertifika
otoritesinden gelen sunucu sertifikasinin yüklenmesidir. Sunucu sertifikanızı yüklemek
için Key Manager ‘i çalıştırın. Daha sonra KEY > INSTALL EY CERTIFICATE ‘i seçin.
Yeni sunucu sertifikası dosyanızı sabit diskinizden açın ve sertifika talep dosyasını
oluştururken verdiğiniz şifreyi girin. Sonra SSL kullanılacak olan IP adresini ve portu
belirtin. Bu işlem gerçekleştiğinde Key Manager ‘de sağlam bir anahtar ikonu
göreceksiniz.
Bir sunucu sertifikası daha önceden belirlenmiş süre içinde geçerlidir. Key Manager ‘in
sag tarafindaki bölümde, sertifikanizin sona erecegi tarihi görebilirsiniz. SSL kullanimina
devam etmek için, bitis tarihinden önce sertifikanizi yenilemeniz gerekmektedir.
15. 24/12/14
15
WEB SAYFALARINDA, LINKLERDE ve ASP DOSYALARINDA
SSL KULLANIMI
• Sunucu sertifikanizi yükledikten sonra, web sitenizdeki bir sayfayi güvenli olarak
çagirabilirsiniz. Bunun için link, yönlendirme, form action gibi bölümlerde http:// ile
baslayan adresi https:// yapmaniz yeterli olacaktir. Böylece sayfaniz SSL kullanilarak
çagrilmis olacak ve web browser ‘inizin sag alt tarafinda bir kilit isareti olusacaktir.
Eger bir ziyaretçiyi, web sitenizden bir sayfayi talep ederken SSL kullanmaya zorlamak
istiyorsaniz Internet Service Manager ‘i kullanarak bir dizini (yada belirli bir dosyayi) SSL
gerektirecek sekilde ayarlayabilirsiniz. Bunu yapmak için Internet Service Manager ‘i
baslatin ve web sitenizdeki bir dizin için özellikler sayfasini açin. Sonra, Secure
Communications altindaki Edit dügmesine tiklayin ve Require Secure Channel When
Accessing This Resource seçenegini isaretleyin.
Sunuları yapanların sık sık, konuya ve terminolojiye yabancı bir dinleyici kitlesine teknik bir konu anlatması gerekir. Konu karmaşık veya ayrıntılarla dolu olabilir. Teknik konuları etkin bir biçimde sunmak için aşağıdaki Dale Carnegie Training® rehberini kullanın.
Kullanacağınız zamanı göz önüne alın ve malzemenizi düzenlemeye hazırlanın. Konuyu daraltın. Sunuyu açık bölümlere ayırın. Mantıksal bir gelişim izleyin. Sunu boyunca konudan uzaklaşmayın. Sunuyu bir özetle, önemli adımların tekrarı ile veya mantıklı bir sonuçla kapatın.
Her zaman dinleyici kitlenizi aklınızda tutun. Örneğin, verilerin açık, bilgilerin ilgili olmasına dikkat edin. Ayrıntı düzeyini ve terminolojiyi dinleyicilere göre ayarlayın. Önemli noktaları ve adımları desteklemek için görsel malzemeler kullanın. Dinleyicilerinizin gereksinimlerine dikkat edin, daha ilgiyle izleyen bir dinleyici kitleniz olacaktır.
Açış konuşmasında konuyu dinleyicilerle ilişkilendirin. Sununun kısa bir ön tanıtımını yapın ve dinleyicilerin önemsemesini sağlayın. Kullandığınız terminolojiyi, örnekleri ve resimleri seçerken dinleyicilerinizin konuya olan ilgilerini ve uzmanlıklarını dikkate alın. Konunun dinleyicileriniz için olan önemi üzerinde durun, daha dikkatli dinleyicileriniz olacaktır.
Birkaç nokta, adım veya önemli fikir varsa, birden çok slayt kullanın. Dinleyicilerinizin yeni bir fikri anlayıp anlamayacaklarını, bir yöntemi öğrenip öğrenemeyeceklerini veya bildikleri bir konuyu daha derinlemesine kavrayıp kavrayamayacaklarını saptayın. Her noktayı yeterli açıklamalarla destekleyin. Hangisi uygunsa, teknik sununuzu basılı biçimde veya diskte, e-posta ile ya da Internet’te sağlayacağınız teknik destek verileri ile tamamlayın. Her noktayı dinleyicilerinize iletebilecek kadar yeterli biçimde işleyin.
Sununuz ve dinleyicileriniz için en uygun kapanışı belirleyin. Bir özet yaparak kapanış yapın; seçenekler sunun; strateji ve plan önerin; bir hedef koyun. Sunu boyunca konuya odaklanın, istediğinizi başaracaksınızdır.