1994 yılında Netscape tarafından geliÅŸtirilen, ÅŸifrelemesi açık anahtarlı ÅŸifrelemeye dayanan, Web tarayıcısı ile sunucu arasındaki güvenliÄŸi HTTPS:// üzerinden saÄŸlamayı amaçlayan ve Türkçe’ye de “güvenli socket (yuva) katmanı” olarak çevrilebilen SSL (Secure Socket Layer) protokolü internet üzerinden ÅŸifrelenmiÅŸ güvenli veri iletiÅŸimini saÄŸlar. Özellikle alışveriÅŸ sitelerinde, e-posta gönderiminde ve SFTP dosya transferinde güvenlik amacıyla kullanılmaktadır.
OSI referans modelinde etkili bir haberleÅŸme için “transport/iletim” katmanını kullanıyoruz. Aynen fiziksel bir katmanda olduÄŸu gibi virüsler normalde transport katmanına saldırmaktadır. Bundan ötürü verilerin iletilmesinden sorumlu olan transport katmanında bazı ekstra güvenlik önlemlerine ihtyaç duymaktayız. Ä°ÅŸte bu transport katmanınındaki iletiÅŸimi herhangi bir sızmaya karşı güvenli ve korunaklı yapan bir güvenlikten bahsediyoruz. Özellikle alışveriÅŸ siteleri gibi kredi kartı ve kiÅŸisel bilgilerin girildiÄŸi web sitelerinde görülen ve de olması zorunlu olan https:// baÄŸlantısı sizinle bilgileri girdiÄŸiniz web sitesi arasındaki iletiÅŸimin bir takım ÅŸifreleme yöntemleriyle güvenli bir ÅŸekilde yapıldığını gösterir.
SSL, https:// bağlantısında kullanılan kriptografik protokolle gönderilen bilginin kesinlikle doğru adreste deşifre edilebilmesini sağlar. Bilgi gönderilmeden önce şifrelenir ve doğru alıcı tarafından deşifre edilir. Her iki tarafta da doğrulama yapılarak bilginin gizliliği, güvenliği ve bütünlüğü sağlanır. SSL bilgiyi şifrelemek içim 2 anahtar kullanır. Bunlardan biri her iki tarafın da bildiği açık/genel anahtar, diğeri ise sadece mesajı alan tarafın bildiği özel/şifreli anahtar.
Ãœstteki resimde A kiÅŸisi güvenli olmayan bir kanal üzerinden gizli ve önemli bilgilerini B tarafına göndermektedir. Ä°letim kanalı güvenli olmadığı için C kiÅŸisi istediÄŸi an bu kanala bir sızma/giriÅŸ gerçekleÅŸtirerek A’nın sadece B’ye özel olarak göndermiÅŸ olduÄŸu bilgileri çok kolay bir ÅŸekilde elde edebilmektedir. Çünkü gönderilen veriler ÅŸifrelenmemiÅŸ ve düz bir metin dosyası ÅŸeklinde iletilmiÅŸtir. Böylelikle araya sızan kiÅŸi bu verileri çok kolay bir ÅŸekilde elde etmiÅŸ ve dilediÄŸi gibi kullanma hakkına kavuÅŸmuÅŸtur.
Åžimdi de A ve B arasında güvenli bir iletim kanalının olduÄŸu (https://) üsteki ÅŸemayı görüyorsunuz. Bu baÄŸlantıda veri gönderici tarafından kriptografik yöntemlerle ÅŸifrelenerek HTTPS kanalı üzerinden yollanıyor. Bu esnada araya sızan kiÅŸi, verinin tek taraflı ÅŸifrelenmiÅŸ olması ve ÅŸifre çözücü anahtarın da sadece alıcı tarafında olmasından ötürü elindeki ÅŸifrelenmiÅŸ veriler hiçbir ÅŸekilde iÅŸine yaramamaktadır. Görüldüğü gibi HTTPS güvenli bir kanaldır ve HTTP’de SSL protokolünün kullanılması güvenli veri iletiÅŸimini saÄŸlamaktadır.
Veri akışında kullanılan şifrelemenin gücü kullanılan anahtar uzunluğuna bağlıdır. Örneğin, 8 bit üzerinden bir iletimin çözülmesi son derece kolaydır. 8 bit sadece 28=256 olası farklı anahtar içerir. Bir bilgisayar bu 256 farklı olasılığı sıra ile inceleyerek bir sonuca ulaşabilir. SSL protokolünde ise 128 bit ve 256 bit şifreleme kullanılır. 128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü niyetli bir kişinin 128 bitlik şifreyi çözebilmesi için ciddi bir yatırım yaptıktan sonra uzun bir zaman harcaması gerekir. Tabii ki tüm bu güvenlik özellikleri ve yeteneklerine rağmen son zamanlarda bazı araştırmacıların bulmuş oldukları yöntemlerle SSL iletişiminin kırılabildiği görülmüştür. En tehlikeli yöntem ise bu sertifikaların doğrudan ilgili SSL sertifikası satıcılarından çalınıp kopyalanması yoluyla gerçekleştirilmektedir.