Dijital Sertifika nedir? — Bilgi Güvenliği Sözlüğü

Kriptografi & Veri

Dijital Sertifika

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Tarayıcınızın adres çubuğundaki o küçük kilit simgesi aslında bir dijital sertifikanın "bu site gerçekten iddia ettiği kişidir" güvencesini verdiği anlamına gelir; sahte bir sertifika ise sizi sahte bir bankaya yönlendirebilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta kriptografinin güven temellerinden biri olan dijital sertifikayı öğreniyoruz: bir kimliğin açık (public) anahtarını güvenilir bir otoritenin onayıyla doğrulayan elektronik belge.

Anlatım

NEDİR? Dijital sertifika, bir kimliğin (web sitesi, sunucu, kişi veya kurum) açık anahtarının (public key) gerçekten o kimliğe ait olduğunu kanıtlayan, güvenilir bir üçüncü tarafça (Sertifika Otoritesi - CA) imzalanmış elektronik bir belgedir. En yaygın standart X.509'dur. Bir sertifika tipik olarak şunları içerir: sahibinin kimlik bilgileri (Subject, ör. alan adı), sahibinin açık anahtarı, sertifikayı veren CA (Issuer), geçerlilik tarihleri (başlangıç/bitiş) ve CA'nın dijital imzası. NASIL ÇALIŞIR? 1) Başvuran taraf bir anahtar çifti (açık + özel anahtar) üretir ve açık anahtarı içeren bir sertifika imzalama isteği (CSR) hazırlar. 2) Sertifika Otoritesi (CA) başvuranın kimliğini doğrular (alan adı sahipliği, kurum kontrolü vb.). 3) CA, sertifikanın içeriğinin özetini (hash) alır ve kendi özel anahtarıyla imzalayarak sertifikayı yayımlar. 4) Bir istemci (ör. tarayıcı) sertifikayı aldığında, CA'nın açık anahtarıyla imzayı doğrular; geçerlilik tarihini, alan adını ve iptal durumunu (CRL/OCSP) kontrol eder. 5) İmza geçerli ve zincir güvenilir bir kök CA'ya (root) ulaşıyorsa sertifika kabul edilir; bu, güven zinciri (chain of trust) olarak adlandırılır. NEDEN ÖNEMLİ / İŞ YERİNDE Dijital sertifikalar, kimlik doğrulama ve şifreli iletişimin (HTTPS/TLS) temelidir. Sertifika olmadan, bir kullanıcı bağlandığı sunucunun gerçek mi yoksa ortadaki adam (MITM) saldırısı yapan bir sahtekâr mı olduğunu bilemez. Kurumlarda sertifikalar web sunucularını korur, e-posta imzalamada (S/MIME), kod imzalamada, VPN kimlik doğrulamada ve kurumsal cihaz kimliklerinde kullanılır. DİKKAT / İYİ UYGULAMA Süresi dolmuş sertifikalar hizmet kesintisine ve tarayıcı uyarılarına yol açar; bu yüzden sertifika envanteri ve otomatik yenileme (ör. ACME/Let's Encrypt) önemlidir. Özel anahtar gizli tutulmalı, sızarsa sertifika derhal iptal edilmelidir (revocation). Kullanıcılar tarayıcıdaki sertifika uyarılarını asla körü körüne geçmemeli; bu uyarılar genelde sahte site veya MITM işareti olabilir.

📌 Senaryolar

📌 Örnek 1 (HTTPS bağlantısı): Bir kullanıcı tarayıcıdan https://banka.example adresine bağlanıyor.
  Açıklama: Sunucu X.509 sertifikasını gönderir. Tarayıcı sertifikadaki alan adının (banka.example) ziyaret edilen adresle eşleştiğini, geçerlilik tarihinin uygun olduğunu ve imzanın güvenilir bir CA tarafından verildiğini doğrular. Tümü geçerliyse adres çubuğunda kilit görünür ve şifreli oturum kurulur.

📌 Örnek 2 (Güven zinciri / chain of trust): Bir sunucu sertifikası doğrudan kök CA tarafından değil, bir ara CA (intermediate) tarafından imzalanmıştır.
  Açıklama: İstemci, sunucu sertifikasını → ara CA sertifikası → kök CA sertifikası şeklinde zinciri takip eder. Kök CA, işletim sistemi/tarayıcının güvenilir kökler deposunda bulunduğu için zincir doğrulanır. Zincirde eksik veya güvenilmeyen halka varsa bağlantı reddedilir.

📌 Örnek 3 (Sertifika iptali ve uyarı): Bir şirketin web sunucusunun özel anahtarı sızdırılmıştır.
  Açıklama: Güvenlik ekibi sertifikayı CA'ya iptal ettirir (revocation); CA bunu CRL listesine ekler veya OCSP yanıtında "revoked" döner. Artık istemciler bu sertifikayı doğrularken iptal edilmiş olduğunu görüp güven vermez. Eski sertifikayla MITM yapmaya çalışan saldırgan başarısız olur. Sunucuya yeni anahtar çiftiyle yeni sertifika kurulur.

Özet

• Dijital sertifika, bir açık anahtarın belirli bir kimliğe ait olduğunu kanıtlayan, CA tarafından imzalanmış elektronik belgedir (X.509). • İçinde sahip bilgisi, açık anahtar, veren CA, geçerlilik tarihi ve CA imzası bulunur. • HTTPS/TLS, e-posta ve kod imzalama gibi kimlik doğrulama ve şifreli iletişimin temelidir. • Güven, sunucu → ara CA → kök CA güven zinciriyle (chain of trust) sağlanır; süre dolması ve iptal yönetimi kritiktir.

✅ Mini-Test (3)

1.Dijital sertifikanın temel amacı aşağıdakilerden hangisidir?

2.Bir X.509 sertifikasındaki imzayı kim oluşturur ve istemci bu imzayı neyle doğrular?

3.Süresi dolmuş veya iptal edilmiş bir sertifika, tarayıcı tarafından güvenli kabul edilmemeli ve kullanıcıya uyarı gösterilmelidir.

← Tüm sözlük terimleri · Farkındalık eğitimi