Günümüzde her zamankinden daha fazla kişi web'e bağlı durumda. Üstelik bu kişi sayısı daha fazla.
Dizüstü bilgisayarlarımıza, telefonlarımıza ve tabletlerimize bağlıyız. Kişisel cihazlarımız ve aksesuarlarımız da yakında oldukça yakında olacak. İnternet'e güvenilmeyen, hatta bazen saldırgan ağlardan erişiyoruz. Hayatımızın büyük bir kısmı internete geçerken, verilerimizi ve kullanıcılarımızın verilerini korumak için bazı önlemler almalıyız.
Her şeyden önce, geliştiriciler olarak SSL'nin gerekliliğini ve pratikliğini anlamamız gerekir.
SSL nedir? Güvenli Yuva Katmanı anlamına gelir ve internet üzerinden iletişim güvenliği sağlamak için tasarlanmış bir kriptografik protokoldür. İnternet bağlantınızın gizlice okunmasını veya oynanmasını önlemek için şifreleme ve bütünlük yoluyla gizliliği garanti eder. SSL'nin dezavantajları vardır. Ancak internette her türlü veri iletişimi güvenliğini sağlamanın en önemli ve tek yoludur.
SSL Pulse'a göre, bir yıl önce SSL benimseme oranımız yaklaşık% 15'in biraz altındaydı; şimdi% 50'nin üzerinde bir orandayız.
İki kısaltma:
TLS: Çoğu amaç ve amaç için SSL ile aynıdır. Daha kesin belirtmek gerekirse, SSL 3.1, TLS olarak, TLS ise IETF Standardı olarak yeniden adlandırılmıştır. Ancak bu özellikler birbirinin yerine kullanılabilir.
HTTPS:Bu, SSL üzerinden HTTP'dir, SSL'nin ve standart HTTP'nin güvenlik özelliklerinin katmanıdır. İlk olarak istemci-sunucu el sıkışması, ortak/özel anahtar kriptografisiyle paylaşılan bir anahtar oluşturur. Bu anahtar, SSL protokolünün ikinci bölümü tarafından iletişimi şifrelemek için kullanılır.
İnternette ağ oluşturmak sizi güvenli, hızlı ve hızlı bir şekilde hissettirebilir. Sanki doğrudan web sitesiyle konuşuyoruz gibi hissediyoruz. Ancak gerçekte bu doğrudan bir bağlantı değil. İletişimlerimiz; kablosuz yönlendirici, İSS ve cihazınız ile web sitesi arasındaki diğer aracı proxy'ler üzerinden gerçekleşir. HTTPS kullanılmadığında tüm iletişimlerimiz düz metin olur.
Sorun şu ki kullanıcılar nadiren HTTPS'yi belirten tam bir URL giriyor veya HTTP kullanarak bir bağlantıyı tıklıyor. Daha da kötüsü, ortadaki adam (kadın) saldırısı eklemek ve HTTPS'yi HTTP ile değiştirmek mümkündür. 2009 yılında kullanıma sunulan SSLstrip adlı araç tam da bunu yapıyor. Firesheep, 2010 yılından beri açık kablosuz ağları ve açık bir şekilde gönderilen çerezleri dinliyor. Yani bu sohbeti sohbet sırasında dinleyebilir veya birinin Facebook hesabına giriş yapabilirsiniz.
Ancak SSL (göreceli olarak) ucuz, hızlı ve dağıtımı kolaydır (ssllabs.com ve Ilya Grigorik'in High Performance Scanner Networking adlı kitabına bakın). Ticari olmayan kullanım için, startssl.com adresinden ücretsiz sertifikalar bile alabilirsiniz! Ortak Anahtar Sabitleme, web sitesi operatörlerine siteleri için hangi sertifika yetkililerinin gerçekten sertifika verebileceğini kısıtlama olanağı sunmak üzere tasarlanmıştır.
"Bu yılın Ocak ayında (2010) Gmail, varsayılan olarak her şey için HTTPS kullanmaya başladı. .. Bunu yapabilmek için ek makine kullanmamız ve özel bir donanım kullanmamamız gerekiyordu. Üretim ön uç makinelerimizde SSL; CPU yükünün% 1'den azını, bağlantı başına 10 KB'tan az bellek ve% 2'den az ağ ek yükünü oluşturur.
Şimdi okumayı bırakırsanız tek bir şeyi hatırlamanız gerekecek: SSL artık hesaplama açısından pahalı değildir."
– Overclocking SSL, Adam Langley (Google)
Son olarak, en sık karşılaştığımız birkaç hata:
- Karma içerik: HTTPS'nin yanı sıra HTTP kullanan siteler. İçerik yüklemek için bir izin düğmesini tıklaması gerektiğinden kullanıcınız rahatsız olur. (Chrome ve Firefox aslında iframe'lerden karma içeriği engeller.) HTTPS sayfasındaki tüm kaynaklarınızın HTTPS tarafından yüklendiğinden emin olmak için
<style src="//foo.com/style.css">gibi göreli veya şemaya göre URL'leri kullanın. - Güvenli olmayan çerezler: HTTP bağlantısı üzerinden açıkça gönderilir. Çerez başlıklarında güvenli özelliği ayarlayarak bunu önleyebilirsiniz. SSL Aktarım Güvenliği'ni (HSTS) zorunlu kılmak için yeni bir "Strict Transport Security" üst bilgisini de kullanabilirsiniz.
Çalmalar
- Kullanıcılarınızın verilerinin gizliliğine ve bütünlüğüne önem veriyorsanız SSL kullanmanız gerekir. Her zamankinden daha hızlı, daha kolay ve daha ucuz.
- Karma içerik hataları veya doğru HTTP başlığı bitlerinin ayarlanmaması gibi yaygın uygulama hatalarından kaçının.
- Göreli veya şema göreli URL'ler kullanın.
- HSTS ve sertifika sabitleme gibi yeni ve kullanışlı özelliklere göz atın
Slaytlar: SSL'niz var mı?