Bağlantı doğrulama: SSL/TLS ve site sertifikası nasıl kontrol edilir

Casino Bağlantı Güvenliği

Bağlantı doğrulama: SSL/TLS ve site sertifikası nasıl kontrol edilir

Casino Bağlantı Güvenliği
5 dk okuma süresi
Bu rehber, tarayıcılar, açık kaynak araçlar ve çevrimiçi hizmetlerle site sertifikası kontrolü, SSL kontrolü ve TLS doğrulama adımlarını açık ve uygulanabilir şekilde anlatıyor.
Bağlantı doğrulama: SSL/TLS ve site sertifikası nasıl kontrol edilir

Giriş

İnternette bir web sitesine bağlanırken tarayıcınızın adres çubuğundaki kilit simgesi veya güvenlik uyarısı, arka planda bir sertifika ve TLS yapılandırmasının doğrulanmakta olduğunu gösterir. Bu rehberde "site sertifikası kontrolü" ve bunun parçası olan SSL/TLS doğrulama adımlarını; hem son kullanıcı hem de site yöneticisi bakış açısıyla, pratik araçlar ve kontrol listeleriyle açıklıyorum.

Temel kavramlar

İlk önce birkaç temel terime kısaca değinelim: sertifika (X.509), Sertifika Yetkilisi (CA), kök ve ara sertifikalar, Common Name (CN) ve Subject Alternative Name (SAN), imza algoritması, parmak izi (fingerprint) ve geçerlilik tarihleri.

Sertifika bileşenleri

  • Sahip (Subject): Sertifikanın hangi domaine veya kuruluşa verildiğini gösterir; modern sertifikalarda DNS adları SAN içinde yer alır.
  • Yayımlayan (Issuer): Sertifikayı imzalayan CA bilgisi.
  • Geçerlilik: Başlangıç ve bitiş tarihleri (Not Before / Not After).
  • İmza algoritması ve anahtar: RSA veya ECC anahtar türü ve hangi hash/algoritmanın kullanıldığını gösterir.
  • Parmak izi: Sertifikanın özet değeri (genellikle SHA-256 ile verilir) — elle karşılaştırma veya kayıt eşleştirmede kullanılır.

Sertifika zinciri ve güven kökleri

Sunucu genelde kendi sertifikasının yanı sıra ara CA sertifikalarını da gönderir; tarayıcı bu zinciri takip ederek güvenilen kök CA'ya ulaşır. Eksik ara sertifikalar, bazı istemcilerde güven hatasına yol açabilir. Kök sertifikalar işletim sistemleri veya tarayıcıların güven depolarında bulunur.

Tarayıcı ile hızlı kontrol

En basit doğrulama yöntemi tarayıcı üzerinden yapılır. Arayüzler zamanla değişebilir; temel adımlar genelde benzer:

  • Adres çubuğundaki kilit simgesine dokunun veya tıklayın.
  • Bağlantı ayrıntıları veya sertifika bilgilerini görüntüleme seçeneğini bulun ("Sertifika" / "Certificate" / "Bağlantı güvenli" gibi).
  • Sertifikanın kime verildiğini (CN/SAN), geçerlilik tarihlerini ve yayımlayan CA bilgisini kontrol edin.

Tarayıcı uyarısı görürseniz (örneğin sertifika süresi geçmişse veya isim uyuşmazlığı varsa), uyarının içeriğini dikkatle okuyun ve eğer emin değilseniz devam etmeyin. Uyarıların ne anlama geldiğini anlamak için ayrı bir kontrol yapmanız faydalıdır.

Komut satırı ile doğrulama (uygulamalı araçlar)

Sunucu ve ağ düzeyinde daha ayrıntılı bilgi almak için şu araçlar yaygın olarak kullanılır:

  • OpenSSL – hızlı ve yaygın. Örnek: openssl s_client -connect example.com:443 -servername example.com -showcerts. Bu komut TLS el sıkışmasını başlatarak sunucunun gönderdiği sertifikaları ve zinciri gösterir.
  • Aynı şekilde openssl s_client -connect example.com:443 -status ile OCSP stapling yanıtı varsa görebilirsiniz; yanıt yoksa stapling etkin değil demektir.
  • openssl x509 -noout -text -in cert.pem ile bir sertifikanın içeriğini okunabilir biçimde inceleyebilirsiniz (önce sertifikayı dosyaya çıkarmanız gerekir).
  • curl -vI https://example.com komutu TLS sürümü ve kullanılmakta olan şifreleme mekanizması hakkında kısa bilgi verir; çıktıdaki "SSL" veya "TLS" satırlarına bakın.
  • nmap --script ssl-enum-ciphers -p 443 example.com veya testssl.sh gibi araçlar sunucunun desteklediği protokol sürümlerini ve şifre paketlerini listeler.

Komutların çıktısında aramanız gerekenler: sertifikanın geçerlilik tarihleri, SAN içinde sitenin adresinin olup olmadığı, zincirin eksiksiz gönderilip gönderilmediği, OCSP stapling durumu ve kullanılan TLS sürümü ile şifreleme paketi (cipher).

Çevrimiçi araçlarla derin tarama

Grafiksel ve detaylı raporlar için şu ücretsiz hizmetleri kullanabilirsiniz:

  • Qualys SSL Labs — sunucu yapılandırmasını ayrıntılı test ederek puan ve tavsiyeler verir.
  • Mozilla Observatory — TLS, HSTS, içerik güvenlik politikaları gibi ek başlıkları da değerlendirir.
  • crt.sh — Sertifika Saydamlığı (Certificate Transparency) kayıtlarında belirli bir alan adı için yayınlanan sertifikaları aramanızı sağlar.

Ne kontrol edilmeli: Hızlı kontrol listesi

  • Domain eşleşmesi: Site adresi sertifikanın SAN listesinde yer almalı.
  • Geçerlilik: "Not Before" ve "Not After" tarihlerinin geçerli olduğundan emin olun.
  • Yayımlayan CA: Tanınmış bir CA tarafından imzalanmış ve zincir tamamlanmış olmalı.
  • Kök/ara sertifika: Sunucu ara sertifikaları doğru şekilde gönderiyor mu?
  • TLS sürümü: Eski ve bilinen zayıflıkları olan sürümlerden kaçının; TLS 1.2 ve 1.3 tercih edilir.
  • Güçlü şifrelemeler: ECDHE ile PFS desteği ve AES-GCM/ChaCha20-Poly1305 gibi modern paketler önerilir.
  • OCSP stapling: Varsa doğrulama gecikmeleri azalır ve revokasyon yanıtları daha hızlı alınır.
  • HSTS başlığı: Mevcutsa yeniden yönlendirme ve protokol zorlaması açısından değerlidir.

Sık karşılaşılan sorunlar ve çözümleri

  • Sertifika süresi geçmiş: Kullanıcılar tarayıcı uyarısı alır. Site sahibiyle iletişim kurup sertifika yenileme yapılmalı.
  • İsim uyuşmazlığı: SAN'ın ilgili domaini içermemesi durumunda sertifika hatası oluşur; doğru domain için sertifika yenilenmelidir.
  • Ara sertifika eksik: Sunucu ara CA'ları göndermiyorsa bazı istemciler sertifikayı doğrulayamaz; sunucu yapılandırması düzeltilmelidir.
  • Self-signed sertifika: Kurumsal iç ağlarda kullanılabilir ancak genel erişim için tarayıcılar tarafından güvenilmeyecektir; güven deposu yönetimi veya CA imzası gereklidir.
  • Zayıf şifreler/protokoller: Sunucunun TLS yapılandırması güncellenmeli; eski protokoller kapatılmalıdır.

Otomasyon ve izleme

Site yöneticileri için sertifika yenileme ve izleme kritikidir. Let's Encrypt gibi ACME tabanlı sağlayıcılarla otomatik yenileme (ör. Certbot) sık kullanılan çözümlerden biridir. Ayrıca, sertifika süresi yaklaşırken e-posta veya izleme sistemleriyle bildirim almak ve periyodik taramalarla yapılandırmayı kontrol etmek faydalıdır. Certificate Transparency kayıtları ve çevrimiçi testler düzenli olarak izlenebilir.

Sonuç

Site sertifikası kontrolü, hem son kullanıcılar hem de site yöneticileri için temel bir güvenlik adımıdır. Tarayıcı uyarılarını ciddiye almak, hızlı kontrolleri yapmak ve gerektiğinde komut satırı araçları ile detaylı inceleme gerçekleştirmek, bağlantı güvenliğini sağlamaya yardımcı olur. Bu rehberde verilen adımlar, günlük doğrulamalar için pratik ve uygulanabilir bir yol haritası sağlar.

Sıkça Sorulan Sorular

S1: Tarayıcı sertifika uyarısı aldığımda hemen ne yapmalıyım?

Cevap: Uyarının içeriğini okuyun. Sertifika süresi geçmiş mi, isim uyuşmazlığı mı var yoksa CA güvenilmiyor mu kontrol edin. Eğer emin değilseniz siteye hassas bilgi girmeyin ve site sahibiyle iletişim kurun.

S2: Sunucunun gönderdiği sertifika zincirini nasıl kontrol ederim?

Cevap: openssl s_client -connect example.com:443 -servername example.com -showcerts komutuyla zinciri görebilir, ara sertifikaların gönderilip gönderilmediğini kontrol edebilirsiniz.

S3: OCSP stapling nedir ve nasıl denetlenir?

Cevap: OCSP stapling, sunucunun revokasyon bilgisini el sıkışma sırasında istemciye eklemesi yöntemidir. openssl s_client -connect example.com:443 -status komutuyla stapling yanıtı görünüyorsa sunucu stapling yapıyor demektir.

S4: Sertifika parmak izini nasıl alırım?

Cevap: Sertifikayı dosyaya aldıktan sonra openssl x509 -noout -fingerprint -sha256 -in cert.pem komutuyla SHA-256 parmak izini elde edebilirsiniz. Bu değer, sertifikanın benzersiz kısa temsili olarak kullanılır.

Truvabet Duyuru Sitesi ile Güncel Giriş

Duyuru Sitesine Git

Bağlantı doğrulama: SSL/TLS ve site sertifikası nasıl kontrol edilir

Truvabet Duyuru Sitesi Giriş