Web sitesi güvenliği nasıl yapılır? Web sitesi bilgilerinin şifrelenmesi ilk adımdır
İnsanların ağ güvenliği konusundaki farkındalığı artmaya devam ederken, veri güvenliği çok önemli bir konu haline geldi. İster Facebook kullanıcı verilerinin sızması, isterse AB'nin "GDPR" nin uygulanması, veri güvenliği şirketler için "en yüksek öncelik" haline geldi.
Veri ihlallerinin büyük bir kısmı web sitelerinden geliyor. Saldırganlar, web sitesinin kayıtlı kullanıcılarının kişisel verilerini istila etmek ve çalmak için web sitesi güvenlik açıklarını kullanır. Örneğin, Nisan 2018'de Amerika Birleşik Devletleri'nin en büyük fırın zinciri Panerabread, panerabread.com web sitesinin 37 milyon kullanıcı bilgisini sızdırdığını belirtti. 13 Haziran'da AcFun Barrage Video Network, kullanıcı verilerinin yaklaşık 8-10 milyonunun bilgisayar korsanları tarafından çalındığını belirten bir duyuru yayınladı.
Web sitesi güvenliğinde iyi bir iş çıkarmanın, kullanıcı veri sızıntısını önlemenin önemli bir yolu olduğu söylenebilir.
Web sitesi güvenliği için minimum standart, kullanıcıların sızdırılmamasını sağlamak için web sitesi bilgilerini şifrelemek ve kullanıcı verilerini şifrelemektir. Şu anda HTTPS, web sitesi bilgi şifrelemesinin en iyi uygulaması haline gelmiştir.
Geçmişte, bir web sitesi açtığımızda, her şey HTTP protokolüyle başladı. Ancak daha sonra, HTTP protokolü büyük bir güvenliğe sahiptir ve web sitesi verilerini sızdırmak kolaydır, bu nedenle birçok web sitesi HTTPS protokolünü kullanır.
Firefox'u bir test aracı olarak kullanarak, http: // ile başlayan bir URL'ye erişebilirsiniz ve sonuç olarak Firefox size şunu soracaktır: Uyarı: olası güvenlik riskleri.
Sayfa istemleri aşağıdaki gibidir:
Firefox güvenli bir web sitesine bağlandığında (URL başlangıçta "https: //"), web sitesi tarafından verilen sertifikanın geçerli olduğunu ve gizliliğinizi tam olarak korumak için yeterince yüksek bir şifreleme gücü kullandığını doğrulamalıdır. Doğrulayamazsa, Firefox bu web sitesine olan bağlantıyı kesecek ve size bir hata mesajı sayfası gösterecektir: Uyarı: Riskli.
HTTPS, HTTP protokolüne "S" nin eklenmesidir ve "S", şifreleme anlamına gelir. Yaygın HTTP protokolünün düz metin veri aktarımını kullandığı bildirilmiştir, bu nedenle kullanıcılar kişisel özel bilgileri iletirken, bilgilerin yakalanma riski vardır.
Veri aktarımından önce, HTTPS protokolü veri paketlerini şifrelemek için SSL sertifikası kullanır ve şifrelenmiş şifre metni daha sonra ağ üzerinden iletilir, böylece veri aktarım sırasında üçüncü bir şahıs tarafından ele geçirilse bile, müdahale eden şifre metnini ve kullanıcı verilerini deşifre edemez. Hâlâ güvende.
Web siteniz hala HTTP ile başlıyorsa, hızlı bir şekilde HTTPS'ye yükseltin. Web sunucunuza bir SSL sertifikası kurmanız ve dağıtmanız gerekir. Bu sertifika CA tarafından verilir. SSL sertifikası asimetrik şifreleme için genel anahtarı içerir Veri aktarımından önce, tarayıcı verileri asimetrik olarak şifrelemek için SSL sertifikasındaki ortak anahtarı kullanacaktır.
Yeni web sitesi güvenlik mekanizmasında SSL sertifikaları çok önemli hale geldi. Şu anda, SSL sertifikaları üç kategoriye ayrılmıştır: EV SSL sertifikaları, OV SSL sertifikaları ve DV SSL sertifikaları.
EV SSL sertifikası: En yüksek düzeyde güven ve kimlik doğrulaması sağlayan genişletilmiş doğrulama SSL sertifikası olarak da bilinir. EV sertifikası web sitesi, tarayıcıda yeşil bir adres çubuğu gösterecek ve görsel olarak sezgisel bir güven garantisi sağlayarak şirketin adını vurgulayacaktır. EV SSL sertifikası, web sitenizin güvenliğini en üst düzeye çıkarmak için 256 bit şifreleme gücünü destekler, ECC ve RSA çift algoritmalarını destekler. EV SSL sertifikası şu anda en üst düzey sunucu sertifikası ürünüdür.
OV SSL sertifikası: Bu sertifika, web sitesinin alan adını doğrulamanın yanı sıra, web sitesindeki tüm şirketler üzerinde sıkı bir kimlik doğrulama denetimi de gerçekleştirecektir. Web sitesinin gerçekliğini ve meşruluğunu sağlamak için yalnızca denetimi geçen kurumsal birimler sertifika verebilir. OV sertifikalarıyla dağıtılan web siteleri için, tarayıcının adres çubuğunda bir "güvenli kilit" simgesi görünecek ve web sitesinin şirket adı, kullanıcılar için kimlik avı web sitelerini etkili bir şekilde ayırt edebilen ve web sitesinin gerçek kimliğini belirleyebilen SSL sertifikasında görüntülenebilir. .
DV SSL sertifikası: yalnızca web sitesinin alan adını doğrulayan bir SSL sertifikasıdır. DV sertifikası ayrıca istemci tarayıcı verilerini iletimden önce şifreleyebilir, bu da iletim bağlantısındaki verilerin güvenliğini sağlar.Ancak DV sertifikası web sitesi sahibinin kimliğini denetlemediği için web sitesinin gerçek kimliği belirlenemez ve güvenlik seviyesi EV sertifikası ve OV sertifikasından çok daha düşüktür.
Artık sertifikalar önemli hale geldiğine göre, bazı kötü sertifikalar olacaktır. Firefox'tan bahsetti: Firefox dahil çoğu tarayıcı, geçmişte sertifika yetkilisinin güvenlik disiplinlerini takip etmedikleri için GeoTrust, RapidSSL, Symantec, Thawte ve VeriSign sertifikalarına güvenmiyor.
Ve Firefox tarayıcısı da Symantec TLS sertifikasına güvenmeyin sorar.
