SSL (Secure Socket Layer), HTTPS gibi güvenli iletişim protokollerinin kullandığı şifreleme altyapısını sağlar. Örneğin HTTPS uzantılı bir web sitesini ziyaret ettiğinizde iletişim uçtan uca yani sizin ile web sunucusu arasında şifrelenir. İçerik şifrelendiği için de hiç kimse tarafından görülemez. Dışarıdan denetleyebilen birisi yalnızca bağlandığınız web sunucusunun IP adresini öğrenebilir. Bazen kurumların ağları üzerinde oluşturduğu güvenlik politikaları HTTPS gibi SSL kullanan güvenli protokollerin de içeriğinin incelenmesini gerektirir. Evet, bu mahremiyete karşı pek saygılı bir tutum değildir; fakat kurumlar çalışanlarına bu konuda hukuki taahhütler de imzalatabilirler. Genellikle bu taahhüt kurum ağının belirlenen amaçlar dışında kullanılmamasını içerir. Buradaki amaç kurumun güvenlik politikası ile belirlediği içerikleri filtrelemek, kayıt altına almak veya engellemek olabilir. Hal böyle olunca; kurum kendi oluşturduğu kök SSL sertifikasının kullanıcı bilgisayarına yüklenmesini şart koşar. Aksi takdirde HTTPS içeriği incelenemeyeceği için bağlantıya izin verilmez. Kullanıcı internete çıkamaz. Kök SSL sertifikası ile sistemde HTTPS üzerinden iletişim kuran tüm programların iletişimleri otomatik olarak şifrelenir ve bu iletişimin içeriği kurumun güvenlik duvarı tarafından deşifre edilerek içeriği incelenebilir.
Tüm çağdaş işletim sistemlerinde olduğu gibi, Raspberry Pi OS dağıtımı ile de dünyada en çok itibar gören kurumların kök sertifikaları yani açık anahtarları yüklü olarak gelir. Uzantıları cert, crt veya pem olan sertifika dosyalarında saklanan bu anahtarlar güvenli iletişim için kullanılırlar. Sözünü ettiğim sertifikaların bulunduğu dizin /etc/ssl/certs’dir. Dilerseniz bu sertifikaların depolandığı dizine yeni sertifikalar da yükleyebilirsiniz. Ancak yüklediğiniz sertifikanın güvenilir bir kaynaktan geldiğine emin olmalısınız. Ne de olsa yükleyeceğiniz bu sertifika açık ağlar üzerinde seyahat edecek olan verilerinizi şifrelemek için kullanılacak. Aksi takdirde iletişimin arasına giren bir saldırgan (MITM saldırı yöntemi) tüm verilerinizi deşifre edebilir ve ele geçirebilir.
Yüklemek istediğiniz sertifikanın uzak bir web sunucusunda bulunduğunu varsayarsak, öncelikle Raspberry Pi bilgisayarına indirilmesi gerekir:
|
1 2 3 4 |
pi@raspberry:~ $ cd /etc/ssl/certs pi@raspberry:~ $ sudo su root@raspberry:~ # wget http://sertifika.meb.gov.tr/MEB_SERTIFIKASI.cer |
Yukardıdaki gibi MEB_SERTIFIKASI.cer adlı sertifikanın Raspberry Pi bilgisayarında kullanılabilmesi için pem (base64) biçimine dönüştürülmesi gerekir bunun için aşağıdaki komutu kullanabilirsiniz:
|
1 |
root@raspberry:~ # openssl x509 -inform der -in MEB_SERTIFIKASI.cer -out MEB_SERTIFIKASI.pem |
Pem dosyası oluşturulduktan sonra cer dosyasını silebilirsiniz. Yeni yüklenen sertifikaların ağ bağlantısı ile çalışan programlar tarafından kullanılabilmesi için sertifikalara ait sembolik linklerin yeniden oluşturulması gerekir.
|
1 2 3 4 5 |
root@raspberry:~ # rm MEB_SERTIFIKASI.cer root@raspberry:~ # update-ca-certificates –f root@raspberry:/etc/ssl/certs# exit |
Bu sertifika gerektiğinde ilgili istemci program tarafından otomatik olarak kullanılacak ve veri trafiği sadece sertifikayı üreten kuruluşun geçit sunucusunun çözebileceği şekilde şifrelenecektir. Tekrar hatırlatmak gerekirse; sertifikaların güvenli bir kaynaktan geldiğinden emin olmalısınız; çünkü sertifikayı oluşturan kuruluş (yani özel anahtarına sahip olan kuruluş) tüm şifreli trafiğinizi açık olarak görebilir. Bu (kök sertifika yükleme işlemi) genellikle güvenli internet bağlantılarının incelenmek/filtrelenmek istendiği güvenlik duvarı uygulamalarında kullanılır.
SSL Mimarisi
SSL’in de desteği ile güvenli bir protokol (https) kullanarak gerçekleştirilen iletişim, her iki tarafta da (istemci ve sunucu) şifrelenerek aktarılır. Bunun için asimetrik şifreleme adı verilen bir yöntem kullanılır. Bu yönteme göre; özel ve açık anahtar adı verilen iki adet anahtar üretilmiştir. Açık anahtar herkesçe erişilebilirdir ve şifrelenmek istenen veri henüz istemci tarafında iken bu anahtar ile şifrelenerek gönderilir. Bu anahtarın şifrelediği veriyi sadece özel anahtara sahip taraf açabilir. HTTPS üzerinden iletişim kuracağınız bir web sunucusu aktarıma başlamadan önce kendi açık anahtarını ya da sertifikasını istemciye gönderir. İstemci yapacağı tüm talepleri bu sertifikanın içeriğinde yer alan açık anahtarı kullanarak şifreler. Böylece uçtan uca (istemci-sunucu arasında) güvenli bir iletişim kanalı oluşturulmuş olur ve araya girmeyi başarabilen hiç kimse gidip gelen verinin içeriği hakkında bir fikir sahibi olamaz.
