Web sitelerinde veri güvenliğinin sağlanması için kullanılan SSL, Güvenli Soket Katmanı anlamına gelir. SSL; web sitelerinin barındığı sunucu ile ziyaretçilerin Google Chrome gibi tarayıcıları arasındaki veri aktarımını şifreleyen bir güvenlik protokolüdür.
Farklı SSL türlerini Ücretli ve Ücretsiz şeklinde iki genel kategoride incelemek mümkündür. DV SSL (Alan Adı Doğrulaması) genellikle ücretsiz kategoride yer alan ve kişisel bloglar ya da tanıtım amaçlı küçük işletme siteleri için kullanılan SSL türüdür. EV SSL ve OV SSL ise bankalar, finans kurumları, e-ticaret siteleri gibi daha yüksek doğrulama seviyesine ihtiyaç duyan şirketler için tasarlanmış ücretli sertifikalardır.
Tüm SSL sertifikaları (ücretsiz olanlar dahil) tarayıcı ile web siteleri arasındaki bağlantıyı şifreli hale getirerek tarayıcıların “Güvenli Değil” uyarısı görüntülemesini önler. Ücretsiz SSL sertifikaları, ücretli SSL sertifikalarıyla aynı düzeyde şifreleme sunarlar ve tüm büyük tarayıcılarda asma kilit simgesinin görüntülenmesini sağlar.
Bazı durumlarda ücretsiz SSL sertifikaları gerçekten de çoğu web sitesinin güvenlik ihtiyacı için yeterlidir. Ancak ücretsiz SSL; finans, bankacılık, sağlık ve bilişim gibi üst düzey tüketici güvenliğinin sağlanması gereken sektörlerde birçok sitenin sağlamaya çalıştığı itibar açısından yetersiz kalır.
Ücretsiz SSL ile Ücretli SSL Arasındaki Fark
Ücretli SSL sertifikalarının farkı şifreleme sağlamasının yanında web sitesinin hangi işletmeye ait olduğunun doğrulanmış olmasından kaynaklanır. Bu, sitenin meşruluğu için kurum bilgilerinin incelendiği anlamına gelir. Ayrıca ücretli sertifikalar daha uzun geçerlilik süreleri, garanti ve teknik destek gibi avantajlara sahiptir.
Bu nedenlerden ücretli SSL ile ücretsiz SSL arasındaki farkı göz önünde bulundururken şifrelemenin denklemin sadece yarısı olduğunu anlamak gerekir. Diğer yarısı için doğrulama prosedürlerini bilmek önemlidir.
Tüm ücretsiz sertifikalar yalnızca alan adı doğrulaması (DV SSL) ile sağlanır. Yani sertifikanın yükleneceği site için alan adının sahiplik bilgileri kontrol edilir, ancak alan adına sahip olan kuruluşun meşruiyetini doğrulamak için bir işlem yapılmaz. Bu da kötü niyetli kişilerin ücretsiz bir sertifika edinip aslında güvenilir olmayan bir sitenin “güvenli” olarak etiketlenmesine yol açabilir.
Kimlik avı amacıyla siber suçluların başvurduğu bu gibi dolandırıcılıklar nedeniyle, ücretli SSL, bir şirketin itibarını sağlamlaştırmada önemlidir. Çünkü yalnızca ücretli sertifikalar, Kurum Doğrulama (OV SSL) ve Genişletilmiş Doğrulama (EV SSL) prosedürleri ile siteye sahip kuruluşlar hakkında ayrıntılı bilgi sağlamayı gerektiren katı doğrulama yöntemleri içerir. Bu sayede bir web sitesinin arkasındaki şirketin yasal ve güvenilir olduğu kanıtlanmaktadır.
Ücretli ve Ücretsiz SSL’in doğrulama prosedürleri dışındaki farklılıklarını şu şekilde sıralayabiliriz:
- Ücretli sertifikaların çoğu, 5.000 ila 2 milyon Dolar arasında garanti sunar. Bu, sertifikayla ilgili bir arızanın hasara veya mali kayba neden olması gibi durumları kapsar. Ücretsiz sertifikalar, hiçbir garanti sunmaz.
- Ücretsiz SSL sertifikalarının geçerlilik süresi 30-90 gün kadardır ve bu süre dolduğunda yenilenmeleri gerekir. Ücretli sertifikalar tercihe göre iki yıllık periyotlar halinde verilebilir. Ücretsiz sertifika kullanıcıları, daha sık tekrarlayan yenileme sürecini takip etmekten hoşlanmayabilir.
- Bir şirketin ücretli SSL’i tercih sebepleri arasında teknik destek de önemli bir kriterdir. SSL ile ilgili ters giden durumlar söz konusu olduğunda 7/24 yardım alabilecekleri destek ekiplerine ulaşabilmeleri rahatlatıcıdır ancak ücretsiz sertifikalar destekten yoksundur.
- Ücretli sertifikalar, genelde, ziyaretçide güven oluşturma ve dönüşüm oranlarını artırma amacıyla site mühürleri de sağlar.
Ücretli SSL mi Ücretsiz SSL mi Sizin İçin Uygun?
Kritik veri aktarımı yapılmayan, kullanıcı bilgilerini toplamadığınız küçük bir web sitesi için ücretsiz SSL uygundur. Öte yandan, web sitenizde finansal işlemler ve kimlik no, adres, parola gibi özel verilerin aktarımı yapılıyorsa, güvenlik gereksiniminiz yüksektir ve ücretsiz SSL kullanmanız önerilmez.
Şirketler saygın bir sertifika otoritesinden SSL sertifikası satın aldıklarında tüketici güveni ve marka itibarı, 7/24 destek, sertifika garantisinin verdiği gönül rahatlığı gibi artılar sertifika maliyetinden çok daha ağır basar. Ücretsiz SSL’in sağlayamayacağı bu avantajlar nedeniyle orta ve büyük ölçekli şirketler markalarını ve müşterilerini OV ya da EV SSL ile korumayı tercih etmektedir.
Bir Sitenin Hangi Tür SSL Kullandığı Nasıl Anlaşılır?
Bir web sitesinin tarayıcıda adres çubuğunda kilit simgesi ile görüntülenmesi SSL ile şifrelendiği anlamına gelir ancak sitenin ait olduğu şirketin yasal olup olmadığının anlaşılabilmesi için sertifikanın türü önemlidir. Kimlik avı amacıyla oluşturulan sahte sitelerin yarısından fazlasının Alan Adı Onaylı – DV SSL sertifikalarını paravan olarak kullandığı bilinmektedir. Kullanıcılar tarayıcıdaki kilit simgesinde görünen “Sertifika Geçerli” bölümüne tıklayarak SSL türünü kontrol edebilir.
İnternet kullanıcıları tarayıcıdaki kilit simgesinde “sertifika (geçerli)” bölümüne tıkladığında sertifikanın alındığı kurum (Comodo, GlobalSign gibi) ve sertifikanın türü (Extended Validation =EV SSL gibi) görüntülenir. Küresel bankaların, finansal hizmet sağlayıcılarının, Fortune 500 şirketlerinin, Global 2000 şirketlerinin, e-ticaret sitelerinin ve işletmelerin çoğunda bu bölüm Extended Validation olarak görülür. Extended Validation, web sitesinin ait olduğu şirketin en katı doğrulama kurallarına göre, resmi evraklarının incelenerek sertifikayı almaya hak kazandığı anlamına gelir.