Sertifika otoritesi

Sertifika otoritesi, dijital imzalama işlemi yapan ve belgeleyen kurumdur. Sertifika otoritelerinin görevi, açık anahtarları kendi gizli anahtarlarıyla imzalayarak 3. taraflara sunmaktır. Dijital sertifika imzalama işlemi açık anahtar altyapısı kullanılarak yapılır. Açık anahtarlı şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir.

Bağlanılan sitenin sertifikası, alan adını içeren Subject Alternative Name kısmı ile doğrulanır. Sertifika otoritesi ilk önce bu sertifikadaki alan adlarının, gerçekten sertifikayı sunan kişiye ait olduğunu doğrular, daha sonra imzalar. Sonra ise tarayıcılar, imzalı sertifikayı sunucudan alıp otorite güvenilirliğini kontrol ettikten sonra, imzalı sertifikadaki alan adı ve bağlanılan sitenin alan adını karşılaştırır.

Açık anahtar ile şifreleme işlemleri sertifika otoriteleri dışında kişiler tarafından da yapılabilir. Ancak bu şekilde yapılan sertifika imzalamaları, imzalayan kişiye web tarayıcıları tarafından güvenilmediği için güvenli bulunmaz. Web tarayıcıları sertifika doğrulaması için SO sertifikalarını kullanır. Bu sertifikalar tüm yaygın web tarayıcıları tarafından tanınır.

Sertifika otoriteleri genellikle imzalama işlemlerini sertifika sağlayıcıları aracılığıyla yaparlar. Dünyada birçok sertifika otoritesi vardır ve ilk akla gelenler Comodo, Symantec, GeoTrust, Digicert ve IdenTrust'tır.[1]

Buna rağmen her sertifika otoritesi güvenilir değildir. Kötü amaçlı bir sertifika otoritesi, Man-in-the-middle saldırısı gerçekleştirmek için kötü amaçlı bir sertifika oluşturup onu imzalayabilir. Sertifika otoritesine güvenen bir istemci, bu otorite tarafından imzalı tüm sertifikalara güveneceği için güvenliği ve gizliliği tehlikeye atılır. 2012'nin sonlarına doğru, neredeyse tüm modern tarayıcı ve işletim sistemleri tarafından güvenilen, Türkiye bazlı sertifika otoritesi Turktrust tarafından Google için bir sertifika imzalanmıştır.[2] Bu sertifikanın kitle izleme gibi kötü amaçlar ile kullanılıp kullanılmaması ile ilgili kesin bir bilgi bulunmamaktadır.

Sertifika sağlayıcıları

Sertifika otoriteleri, dijital sertifika ürünlerinin satışını dünya çapında ulusal olarak hizmet veren sertifika sağlayıcılarına yönlendirmişlerdir. Böylece dijital imzanın sağlanması için gerekli olan yönetmeliklere uygunluk ve sertifikayı talep eden yetkililerin doğrulanması işlemi hızlanmıştır.

Haziran 2018'den itibaren en fazla pazar payına sahip olan kök sertifika otoriteleri:[1]

SıraSağlayıcıKullanımPazar payı
1IdenTrust20.6%40.0%
2Comodo17.9%34.8%
3DigiCert6.3%12.2%
4GoDaddy3.7%7.2%
5GlobalSign1.8%3.5%
7Certum0.4%0.7%
8Actalis0.2%0.3%
9Entrust0.2%0.3%
9Secom0.1%0.3%
10Let's Encrypt0.1%0.2%
11Trustwave0.1%0.1%
12WISeKey Group< 0.1%0.1%
13StartCom< 0.1%0.1%

Doğrulama standartları

Dijital imzalama işlemi için sertifikayı talep eden kişi veya kurumun doğrulama yapması gerekir. Sertifikalar "domain doğrulama" veya "kurum doğrulama" yöntemiyle tahsis edilir. Doğrulama işlemi sertifika otoritesi tarafından denetlenir.

Domain doğrulaması gerektiren TLS sertifikaları için e-posta veya dosya tabanlı başta olmak üzere birçok doğrulama yöntemi kullanılmaktadır. E-posta ile domain doğrulama yapılacak ise sertifika otoritesi (CA), web sitesinin (alan adı) whois kaydında geçen e-posta adresine ya da webmaster@, hostmaster@, admin@, administrator@ gibi genellikle alan adı yetkililerinin sahip olabileceği e-posta hesaplarına doğrulama iletisi gönderir. Yetkiliden bu doğrulama iletisinde geçen URL adresinden alan adı sahipliğini doğrulaması beklenir, doğrulamanın ardından sertifika tahsis edilir. Dosya tabanlı doğrulama yapılacak ise, sertifika sağlayıcıları tarafından sertifikayı talep eden yetkiliye iletilen bir .txt dosyasının, web sitesinin ana dizinine (/) gönderilmesi gereklidir. Bu işlemin ardından sertifika otoritesi tarafından doğrulama işlemi otomatik olarak yapılır. Dosya tabanlı doğrulama genelde e-posta servislerinde sorun olması durumunda tercih edilir. Ayrıca web sitesine gönderilen dosyanın adı ve içeriğinde sertifika talep edilen alan adının SHA1 ve MD5 ile şifrelenmiş verisi bulunur. Bu şifrelenmiş veri sertifika otoritesi tarafından çözülerek, alan adı doğrulanmış olur.[3]

Ayrıca bakınız

Kaynakça

  1. "Usage of SSL certificate authorities for websites". 12 Haziran 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Haziran 2018.
  2. https://www.wired.com/2013/01/google-fraudulent-certificate/
  3. "What is required for validation?". 10 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Mart 2020.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.