Sertifika otoritesi

Sertifika otoritesi, dijital imzalama işlemi yapan ve belgeleyen kurumdur. Sertifika otoritelerinin görevi, açık anahtarları kendi gizli anahtarlarıyla imzalayarak 3. taraflara sunmaktır.Dijital sertifika imzalama işlemi açık anahtar altyapısı kullanılarak yapılır. Açık anahtarlı şifreleme, kullanıcıların güvenli olmayan ağlarda dijital sertifikaların kullanılması suretiyle güvenli bir şekilde iletişim kurabilmesini ve karşı tarafın kimliğini doğrulamasını sağlayan bir şifreleme yöntemidir.

Bağlanılan sitenin sertifikası, alan adını içeren Subject Alternative Name kısmı ile doğrulanır. Sertifika otoritesi ilk önce bu sertifikadaki alan adlarının, gerçekten sertifikayı sunan kişiye ait olduğunu doğrular, daha sonra imzalar. Sonra ise tarayıcılar, imzalı sertifikayı sunucudan alıp otorite güvenilirliğini kontrol ettikten sonra, imzalı sertifikadaki alan adı ve bağlanılan sitenin alan adını karşılaştırır.

Açık anahtar ile şifreleme işlemleri sertifika otoriteleri dışında kişiler tarafından da yapılabilir. Ancak bu şekilde yapılan sertifika imzalamaları, imzalayan kişiye web tarayıcıları tarafından güvenilmediği için güvenli bulunmaz. Web tarayıcıları sertifika doğrulaması için SO sertifikalarını kullanır. Bu sertifikalar tüm yaygın web tarayıcıları tarafından tanınır.

Sertifika otoriteleri genellikle imzalama işlemlerini sertifika sağlayıcıları aracılığıyla yaparlar. Dünyada birçok sertifika otoritesi vardır ve ilk akla gelenler Comodo, Symantec, GeoTrust, Digicert ve IdenTrust'tır.[1]

Buna rağmen her sertifika otoritesi güvenilir değildir. Kötü amaçlı bir sertifika otoritesi, Man-in-the-middle saldırısı gerçekleştirmek için kötü amaçlı bir sertifika oluşturup onu imzalayabilir. Sertifika otoritesine güvenen bir istemci, bu otorite tarafından imzalı tüm sertifikalara güveneceği için güvenliği ve gizliliği tehlikeye atılır. 2012'nin sonlarına doğru, neredeyse tüm modern tarayıcı ve işletim sistemleri tarafından güvenilen, Türkiye bazlı sertifika otoritesi Turktrust tarafından Google için bir sertifika imzalanmıştır.[2] Bu sertifikanın kitle izleme gibi kötü amaçlar ile kullanılıp kullanılmaması ile ilgili kesin bir bilgi bulunmamaktadır.

En otros idiomas