Cuma , 27 Kasım 2020

PKI nedir ve iyi mi çalışır?

PKI özetlemek gerekirse HTTPS’teki Authenticity için kullanılan dijital sertifikaların üretilmesi, dağıtılması ve kimlik doğrulaması aşamasında kullanılabilmesi için lüzumlu altyapıyı sağlar.

PKI’da, CA (Certificate Authority) adında olan üçüncü parti güvenilir kuruluşlar güvensiz ağ (web) üstünde iletişimde bulunmak isteyen tüm partiler (istemci, sunucu) için dijital sertifikalar üretirler. Bu sertifikaların içine sertifikanın verildiği partilerin Public Key‘i konur. Bu noktadan sonrasında bir parti iletişimde bulunmuş olduğu tüm partilere kendi sertifikasını göndererek karşı taraf ile Public Key‘ini paylaşılmış olur.

Güvensiz ağ üstünden almış olduğu sertifikanın hakkaten beyan edilen partiye ilişkin olup olmadığını doğrulamak isteyen istemci aşağıdaki şekildeki şeklinde sertifika üstündeki imzaları sıradüzen içinde en yukarı kök sertifikaya kadar takip eder.

PKI nedir ve iyi mi çalışır? 1 – 1*e98lL9L5yMEsWJlN59DDlw

Yukarıda verilen işlemde en yukarıda bulunan ve Root Certificate (Kök Sertifika) adında olan sertifika kendisi tarafınca imzalanmıştır. Kök sertifikalar işletim sistemi üreticileri tarafınca işletim sistemlerine evvel yüklenirler. Chrome ve Web Explorer bir sitenin sertifikasını denetim ederken buldukları kök sertifikanın işletim sisteminin ilgili bölümünde bulunup bulunmadığını denetim ederler. Firefox‘ta kök sertifikalar kendi kurulumu ile beraber gelir.

Aşağıda macOS işletim sisteminde kök sertifikaların listesinin bulunabileceği adres verilmiştir. Burada ek olarak Tübitak sertifikasının süresinin geçmiş olduğuna dikkat edelim azca sonrasında bunun etkisine değineceğiz.

PKI nedir ve iyi mi çalışır? 2 – 1*QycuUY1LApYn7AQfk5u2yA

Aşağıda Windows 10 işletim sisteminde kök sertifikalara aşağıdaki şeklinde MMC üstünden erişebiliriz. Burada da HTTP proxy olarak kullanılan Fiddler‘ın HTTPS trafiği çözebilmek için buraya eklendiğine dikkat edelim.

PKI nedir ve iyi mi çalışır? 3 – 1*ogkYV3AWsYgnKoEptInYeA

Son olarak Firefox’ta kök sertifikalar aşağıdaki adresten görülebilir. Burada Tübitak tarafınca yeni yaratılan kök sertifikayı görebilirsiniz. Anlaşılacağı şeklinde macOS’in aksine Firefox bu sertifikayı dağıtımına eklemiştir.

PKI nedir ve iyi mi çalışır? 4 –

macOS kurulu bilgisayardan Chrome ile https://tubitak․com․tr’e bağlanırken aşağıdaki görüntü elde edilmiştir. Burada Tübitak’ın yeni kök sertifikası macOS kök sertifikaları arasına hemen hemen eklenmediği için site güvenli kabul edilmemektedir.

PKI nedir ve iyi mi çalışır? 5 – 1*tKFd9guIDgXNzyY5HBSolQ

Buraya kadar PKI’ın sunmuş olduğu sertifika dağıtım ve sertifika hiyerarşisi doğrulama (Certificate Chain Validation) işlemlerini gördük, şimdi de sertifikaların üretim süreçlerini inceleyelim.

Genel kabul görmüş bir CA tarafınca imzalanmış bir sertifika ürettirmek isteyen bir kurum destek araçlar kullanarak (mesela OpenSSL) bir Public/Private Key çifti oluşturur. Private Key‘i kendinde saklar ve kimselerle paylaşmaz. Public Key‘i ise sertifikanın geçerli olacağı domain adı, kurum detayları vb bilgilerle gene OpenSSL şeklinde destek bir aracın sunmuş olduğu sihirbaz ile bir araya getirerek bir CSR (Certificate Signing Request) oluşturur.

Oluşturulan CSR, CA (Certificate Authority)’e gönderilir. CA, CSR içindeki Public Key dahil detayları bir sertifikanın içine koyarak sertifikayı kendi Private Key‘i ile imzalar ve imzayı sertifikaya iliştirir. Bu sayede CA’in Public Key‘i elinde olan her parti üretilen sertifikanın hakkaten de CA tarafınca imzalandığını doğrulayabilir. CA, sertifikayı ürettiği kurumu telefon, ticari sicil vb. yöntemlerle doğruladığı için kimlik denetimi sağlanmış olur.

Yukarıda anlatılan adımlar aşağıdaki şekilde görselleştirilmiştir.

PKI nedir ve iyi mi çalışır? 6 – 1*beP2j7hTVyPqNgD62gMq1g

Kontrol sistemlerinde ve internetten erişilemeyen hususi ağlarda (intranet) malum bir CA tarafınca imzalanmış sertifikalar yerine OpenSSL şeklinde araçlarla kendi oluşturduğunuz CA tarafınca imzalanmış sertifikaları kullanmak isteyebilirsiniz. Bu sitelere girişte sertifika doğrulaması esnasında tarayıcınız aşağıdaki şeklinde bir hata verecektir. Bu hatanın sebebi kök sertifika olarak kullanılan CA’in işletim sistemince güvenilen kök sertifikalardan biri olmamasıdır.

PKI nedir ve iyi mi çalışır? 7 – 1*dIK ffGhEsy0ZQc7KuF9IA

Şekilleri değişik olmakla beraber tüm işletim sistemleri bahsedilen kullanımlar için Self-signed sertifikaların güvenilen kök sertifika dizinine eklenmesine izin vermektedir. OpenSSL ile üretilen CA sertifikası kısaca kök sertifika işletim sisteminin güvenilen kök sertifikalar dizinine eklenirse tarayıcı bu CA tarafınca sertifikası imzalanan siteleri hata göstermeden açacaktır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir