Geliştiricilerin HTTPS'ye geçiş yaparken karşılaştığı iki engel, kavramlar ve terminolojidir. Bu kılavuzda her ikisine de kısa bir genel bakış sunulmaktadır.
Özet
- Tarayıcı ile sunucu arasındaki iletileri imzalamak ve iletileri çözmek için ortak/özel anahtarlar kullanılır.
- Sertifika yetkilisi (CA), ortak anahtarlar ile herkese açık DNS adları (ör. "www.foobar.com") arasında eşleme yapılmasını sağlayan bir kuruluştur.
- Sertifika imzalama isteği (CSR), ortak anahtarı, anahtarın sahibi olan varlıkla ilgili bazı meta verilerle bir araya getiren bir veri biçimidir
Ortak ve özel anahtar çiftleri nedir?
Ortak/özel anahtar çifti, şifreleme ve şifre çözme anahtarı olarak kullanılan ve özel bir matematiksel ilişkisi olan çok büyük sayıdan oluşan bir çifttir. Anahtar çiftleri için yaygın olarak kullanılan bir sistem, RSA şifreleme sistemidir. Ortak anahtar, mesajları şifrelemek için kullanılır ve mesajların şifresi yalnızca karşılık gelen özel anahtar ile çözülebilir. Web sunucunuz genel anahtarını dünyaya tanıtır ve istemciler (web tarayıcıları gibi) bunu kullanarak sunucunuza güvenli bir kanal ekler.
Sertifika yetkilisi nedir?
Sertifika yetkilisi (CA), ortak anahtarlar ve herkese açık DNS adları (ör. "www.foobar.com") arasında eşleme işlemi yapılmasını sağlayan bir kuruluştur. Örneğin, bir istemci belirli bir ortak anahtarın www.foobar.com için doğru ortak anahtar olup olmadığını nasıl bilebilir? Bunu bilmek mümkün değildir. CA, web sitesinin genel anahtarını şifrelemeyle imzalamak için kendi özel anahtarını kullanarak belirli bir anahtarın gerçek anahtar olduğunu iddia eder. Bu imzanın taklit edilmesi sayısal açıdan mümkün değil. Tarayıcılar (ve diğer istemciler), tanınmış CA'lara ait ortak anahtarları içeren güven çapa depolarına sahiptir ve bu ortak anahtarları, CA'nın imzalarını şifrelemeyle doğrulamak için kullanır.
X.509 sertifikası, bir ortak anahtarı anahtarın sahibi olan varlıkla ilgili bazı meta verilerle bir araya getiren bir veri biçimidir. Web'de anahtarın sahibi, site operatörü, önemli meta veriler ise web sunucusunun DNS adıdır. Bir istemci HTTPS web sunucusuna bağlandığında web sunucusu, istemcinin doğrulaması için sertifikasını sunar. İstemci sertifika süresinin sona ermediğini, DNS adının istemcinin bağlanmaya çalıştığı sunucunun adıyla eşleştiğini ve bilinen bir güven bağlantısı CA'sının sertifikayı imzaladığını doğrular. Çoğu durumda CA'lar web sunucusu sertifikalarını doğrudan imzalamaz. Genellikle bir güven çapasını ara imzalayana veya imzalayana ve son olarak web sunucusunun kendi sertifikasına (son varlık) bağlayan bir sertifika zinciri bulunur.
Sertifika imzalama isteği nedir?
Sertifika imzalama isteği (CSR), bir ortak anahtarı anahtarın sahibi olan varlıkla ilgili bazı meta verilerle birlikte paketleyen bir veri biçimidir. Ancak, istemciler CSR'leri yorumlamaz, CA'lar bunu yapar. Web sunucunuzun genel anahtarı için bir CA sertifikası almak istediğinizde CA'ya bir CSR gönderirsiniz. CA, CSR'deki bilgileri doğrular ve bunu bir sertifika oluşturmak için kullanır. CA daha sonra size son sertifikayı gönderir ve siz de bu sertifikayı (veya daha büyük olasılıkla bir sertifika zincirini) ve özel anahtarınızı web sunucunuza yüklersiniz.