Hyper Text Transfer Protocol (Hiper Metin Transferi Protokolü) olarak adlandırılan http protokolü web sunucuları içindeki sayfaların sizin web tarayıcınıza (browser) ulaşmasında kullanılan bir protokol.

Http protokolünde web tarayıcınız ile web sunucusu arasındaki veri aktarımı herhangi bir şifreleme olmadan aktarıldığından verinin yolculuğu sırasında içine şöylece bir bakmak, kaydetmek hatta değiştirmek mümkün olabilmekte.

Bu tehlikeli güvenlik probleminin aşılması ve iletişiminizin meraklı gözlerden saklanabilmesi için https protokolü bulunmakta. Https’de yine aynı veri aktarımı yapılmakta ama bu sefer iletişim şifrelenerek yapılmakta. Şifrelenen trafik için ise sizde ve sunucu tarafında bulunan bir anahtar bulunmakta ve bu anahtar SSL Sertifikası olarak isimlendirilmekte.

Genelde e-ticaret sitelerinde kullanılan https protokolü son dönemde facebook ve google arama sayfalarında da kullanılmaya başlandı. Bunun tabiiki en büyük sebebi güvenlik. Özellikle google, kullanıcıların yaptığı aramaların takip edilebilir durumda olmasından rahatsız olduğundan artık sayfalarını https protokolü üzerinden sunmakta.

Arama motoru sistemi dışında, diğer servislerinde de https protokolünü kullanmaya başlayan google, özellikle kullanıcısını takip etme, kaydetme merakındakileri(!) fazlası ile üzmekte. Bu güvenliği kırmanın en kolay yolu ise sahte bir sertifika oluşturarak tarayıcı ve web server arasına girmek.

Şifrelemenin kalbi olan SSL sertifikaları ise Dünya üzerinde akreditasyonu gerçekleştirilmiş uzman kuruluşlarca, web sitesi sahiplerine ücret karşılığında sağlanmakta.

Sistem ve işleyiş ile ilgili kısa bir bilgilendirme sonrası kısa süre önce google güvenlik uzmanları tarafından yapılan bir tespitten bahsetmek gerekiyor. Google tarafından yapılan kontrollerde Türk Sertifika Sağlayıcısı TürkTrust’ın oluşturduğu sertifikalar ile güvenlik protokolünü ihlal ettiği ortaya çıkartıldı.

Hatalı üretilen ana sertifikalar yardımı ile *.google.com için bir sertifika üretildiğinin ortaya çıkması sonrasında TürkTrust’ın yaptığı açıklamada; 2011 yılının Ağustos ayında kendi sistemlerinin yazılım güncelleme çalışmaları sırasında, “https” uzantılı internet sitelerinin güvenilirliğini denetleyen SSL sertifikalarının üretiminde sadece 2 adet sertifikanın hatalı üretildiğini söyledi. Söz konusu bu sertifikalardan birisinin Ankara Büyükşehir Belediyesine bağlı EGO Genel Müdürülüğü, diğerinin ise KKTC Merkez Bankası için üretildiği ifade edildi.

Yapılan bu hata sonrasında ise google TürkTrust’ın ürettiği sertfikaların acilen sistemden kaldırılmasını bildirirken, microsoft’da güvenlik güncellemeleri yayınladı.

Yaşanan bu nahoş durum karşısında internette sörf yaparken, tarayıcı köşesindeki kilit sembolüne dahi güvenemeyeceğimizi, internette arkamızı daha çok kollamamız gerektiğini görmüş oluyoruz. SSL sertifika sisteminin bu denli sorgulanmasına sebep olan bu durum karşısında sertifika dağıtım yetkisinin tekrar gözden geçirilmesinin gerektiği de bir gerçek.

“Kontrolsüz güç, güç değildir!”