Güvenlik uyarısı çıkartan SSL’ lere güvenebilir miyim?

Hayır güvenemezsiniz. İçerideki mesaja doğru durum değişebilir ancak genelde bu mesajı almanızın anlamı birinin size MITM (Man in the Middle) tarzı bir saldırı yaptığını belirtir. Yani biri sizin internet trafiğinizi izlemeye çalışıyor demektir. Hatta bu tip bir mesaj alırsanız bulunduğunuz ağdaki (network) sistemleri ve ARP mesajlarını kontrol edin.

3D Secure nedir ve ne işe yarar?

+ 3D Secure sistemine hızlı bakış
+ Visa ve Mastercard tarafından geliştirilmiştir. En gelişmiş ve %100 güvenli Sanal Pos sistemidir. Sitemiz üzerinde kredi kartınızı kullanırken Garanti Bankası alt yapısıyla, bankanın web sayfasına yönlendirilirsiniz ve kredi kartı şifrenizle doğrulama yaparak alışveriş yapabilirsiniz. Bu tip güvenlik önlemleriyle riskler sıfıra indirilerek en güvenli alışveriş sistemi salanmıştır.

+ 3D Secure nedir
+ 2007 senesinden sonra Visa ve Mastercard tarafından geliştirilen bu sistem, aslında reel hayatta yaptığımız kredi kartı ile işlemlere benzemektedir. Chip And Pin diye adlandırılan ve mağaza, market ve pos kullanan işletmelerden kart ile alışverişlerimizde şifre sorulmakta ve bu işleme bu ad verilmekteydi. Sanal Pos üzerinde ki işlemlerde aynısıdır. Kısaca belirtmek gerekirse, kart şifresiyle sanal işlem olarak da adlandırılabilir.

+ 3D Secure ne işe yarar
+ Şuan ki sistemde kredi kartının ön yüzünde ve arka yüzünde bulunan kart bilgilerine sahip olunması internet üzerinden alışveriş yapılması için yeterli olmasıyla beraber, dolandırıcılığa ve çalıntı kartlar ile alışveriş yapılmasına neden olmaktaydı. Dolayısıyla sanal işlemlerde kişiye özel bir bilginin sorulmaması kart bilgilerinin kolayca 3. şahısların eline geçmesine ve gerçek kart sahibi olup olmadığı anlaşılamamaktaydı. Yani bir kimlik doğrulama problemi olmaktaydı.

+ İşte 3D Secure altyapısı sanalpos sistemine iki önemli güvenlik basamağı getirmiştir. Bunlardan ilki alışverişlerde kart şifresinin veya kullanıcının belirlediği özel bir bilginin sorulmasıdır. Bunu her banka kendine özel sorularla sağlamaktadır. Kimisi anne kızlık soyadı ve kart şifresi sormakta, kimisi banka müşteri numarasını ve emaili sormaktadır. Bu istenen bilgiler bankaya göre değişkenlik gösterebilir, fakat asıl amaç olan kimlik doğrulama ve asıl kart sahibi olup olmadığınızı anlama noktasında iyi bir çözümdür.

+ İkinci özel metot ise, ödeme ve kart şifrelerinin artık site üzerinden değil, bankaya ait özel bir sayfa üzerinden yapılmasıdır. Yani müşteriye ait olan özel kimlik bilgileri, kart şifresi vb. bilgiler bankaların ara sayfaları üzerinden gerçekleşerek, işlem onaylandığında sanal mağazaya onay bilgisinin aktarılarak, işlemin tamamlanmasıdır. Böylece özel yöntemler kullanılarak kart bilgilerinin ele geçirilme ihtimali sıfıra indirilmiştir.

SSL Nedir?

“Secure Sockets Layer” kısaltması olarak adlandırılan SSL ,Sunucu ile istemci arasındaki iletişimin şifrelenmiş şekilde yapılabilmesine imkan veren standartlaşmış bir teknolojidir.
En yaygın kullanım şekli, web ortamında, Sunucu ile tarayıcı(Internet Explorer gibi..) arasındaki iletişimin şifrenlenmesi şeklindedir.
SSL, standart bir algoritmadır.Milyonlarca web sitesinde güvenli veri iletişimi için kullanılmaktadır.
SSL fonksiyonun çalışabilmesi için sunucu tarafında bir anahtar ve istemci tarafında çalışacak bir sertifikaya ihtiyaç duyulmaktadır.Üzellikleri
– Mesajların şifrelenmesi ve deşifre edilmesindeki güvenlik ve gizliliği sağlar
– Mesajı gönderenin ve mesajı alanın doğru yerler olduğunu garanti eder
– İletilen dokümanların tarih ve zamanını doğrular
– Doküman arşivi oluşturulmasını kolaylaştırır

Sertifikasyon Kurumu
Dijital sertifikaların verilmesi ve yönetilmesini gerçekleştiren kurumdur. Dijital sertifikalar bu kurumların gizli anahtarıyla imzalanır.

SSL Nasıl Çalışır ?

SSL Public Key/Private Key adı verilen anahtarların kullanımına dayalı bir şifreleme yöntemi…
SSL çalışma mantığını şöyle açıklayalım:
SSL şifrelemesinde 2 adet anahtar kullanılır. Bu anahtarlar, dijital olarak kodlanmış yazılımdan başka bir şey değil!… Ve bir anahtarın kilitlediği veriyi, sadece diğeri açabiliyor.
Anahtarlarınızı yarattıktan sonra (ki bu işlem tamamen otomatiktir, yapmanız gereken özel bir şey yoktur.), anahtarlardan biri (private key) sizde kalır. Diğer anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere gönderilir.
Size dışarıdan mesaj göndermek isteyen kişi, public key ile göndermek istediği mesajı güvence altına alır ve size gönderir. Artık o bilgi, size ulaşırken yolda alıkonsa bile, şifrenin çözülebilmesi için sizde kalan private key gerekecektir. Kullanılan SSL yönteminin karmaşıklığına göre (40 bit, 128 bit) şifre birinin eline geçse bile, bu bilginin çözülmesi çok ileri tekniklerle dahi çok uzun zaman alacaktır.
Sonuç olarak SSL iki bilgisayar arasındaki bilginin diğer kişiler tarafından görüntülenmeden, doğrudan iletişimde olan iki bilgisayar arasında ve güvenli bir şekilde iletilmesini sağlar.