E Ticarette Güvenlik Nasıl Sağlanır ?
E Ticaret Siteleri için SSL Neden Önemlidir ?
E-ticaret sektöründe başarılı olabilmenin ilk şartı müşterinin güvenini kazanmaktır. Müşteri kitlenizin size güvenebilmesi için ilk aşama ise, e ticaret güvenlik önlemleri alarak web sitenizin güvenli bir platform üzerinde kurulu olmasını sağlamaktır. Eğer web sitenizi, insanların rahatlıkla ürün veya hizmet alabilecekleri güvenilir bir dijital ortam haline getirmek istiyorsanız öncelikle SSL sertifikasına sahip olmanız gerekir.
SSL nedir ve ne işe yarar ?
SSL’in İngilizce açılımı “Secure Socket Layers”, Türkçe karşılığı ise “Güvenli Giriş Katmanı” olarak tanımlanır. SSL sistemi, ziyaretçi ve web sitesi arasındaki iletişimin güvenli olmasını sağlar. SSL özellikle kişisel verilerin korunması, kredi kartı bilgileri gibi kritik verilerin güvenle aktarımı ve satın alma aşamasında verilen adres bilgilerinin güvence altına alınması için çok büyük önem taşır. Dijital bir sertifika olarak tanımlayabileceğimiz SSL, sertifika sahibi kurumun unvanını, sertifikanın seri numarasını ve son kullanma tarihini, sertifika sahibinin açık anahtarını ve sertifika veren kurumun elektronik imzasını içerir. Konuyu fazla karışık hale getirmeden özetlemek gerekirse, e ticarette güvenlik sağlanması için büyük rol oynayan SSL sertifikaları sayesinde kullanıcıların web sitenize giriş yaptığı bilgiler sunucu tarafına şifrelenerek yollanır ve bu şifreleme sayesinde bilgiler güvenle aktarılır.
SSL sertifikası e ticarette güvenlik için neden önemlidir ?
Günümüzün İnternet ortamında SSL sertifikasına sahip olmayan bir e ticaret sitesi düşünmek neredeyse imkansız. Dijitalleşen alışveriş dünyasında çok sayıda kullanıcı olduğu gibi çok sayıda veri hırsızı da bulunuyor. Bu doğrultuda SSL aracılığıyla şifrelenmeden aktarılan tüm bilgilerin risk altında olduğunu unutmamak gerekiyor. Kişisel verilerin ve hele ki kredi kartı bilgilerin kötü niyetli insanların eline geçmesi durumunda ne kadar büyük bir kriz yaşanabileceğini tahmin etmek hiç de zor değil. Dijital ortamda ürün ya da hizmet satışı yapan e ticaret sitelerinde güvenlik konusu büyük önem taşıyor. Müşterinin güvenini kazanmak isteyen tüm e ticaret işletmeleri SSL sertifikası kullanarak web sitelerindeki veri alışverişini koruma altına almalı. Eğer müşterilerinizin sitenizde alışveriş yaparken kendilerini güvende hissetmelerini istiyorsanız hemen bir SSL sertifikası edinmeniz gerekiyor.
SSL sertifikası e ticaret sitelerinde nasıl kullanılır ?
SSL sertifikasının e ticaret sitelerine uygulanması aşamaları standart web sitelerinden farklı değildir. Satın alacağınız bir SSL sertifikasını e ticaret sitenize kolayca kurabilir ve kullanmaya başlayabilirsiniz. SSL sertifikasını kullanmaya başladığınız andan itibaren sitenizin bağlantısı “güvenli” olarak görünmeye başlar. Google’ın 2014 yılından bu yana çok büyük önem gösterdiği HTTPS uzantısı, SSL sertifikası aracılığıyla elde edilir. E ticarette güvenlik sağlamanız, sitenizin güvenilir olduğunu kanıtlamanız ve adres çubuğunda yeşil kilit simgesine sahip olmanız için bir SSL sertifikası almanız gerekiyor.
SSL şifreleme metodları ne kadar güçlü olabilir ?
SSL sertifikaları güvenlik sağlamak adına şifreleme teknolojileri kullanırlar. Bir noktadan diğer noktaya aktarılan verilerin şifrelenerek yollanması anlamına gelen ve e ticarette güvenlik sağlanması için önemli bir araç olan SSL teknolojisi, iki tip şifreleme metodunu bir arada kullanarak çalışır. Bu metodlardan ilki asimetrik şifrelemedir. Asimetrik şifrelemede şifreleme ve şifre çözme için ayrılmış anahtar kullanılır. Bu sistemde bir iletinin şifrelenmesi için herkes bir genel anahtar kullanır. Ancak şifre çözme işlemi için kullanılan anahtarlar kişilere ya da kurumlara özeldir. SSL sertifikasının özel anahtarı o sertifikanın sahibinden başka kimsede olamaz. Asimetrik anahtarlar genellikle 1024 bit ya da 2048 bittir. Ancak 2048 bitten düşük asimetrik şifreleme anahtarları günümüzün şifre kırma teknolojileri düşünüldüğünde güvenli sayılmazlar. Olaya daha basit bir bakış açısıyla açıklama getirmek gerekirse standart bir bilgisayar, 2048 bit asimetrik şifrelenmiş bir sertifikayı kırmak için 14 milyar yıl boyunca deneme yapmalıdır.
İkinci tip SSL şifreleme sertifikası simetrik şifreleme olarak nitelendirilir. Simerik ya da ön paylaşımlı anahtarlar aracılığıyla yapılan şifrelemede hem şifreleme hem de şifre çözme için tek anahtar kullanılır. Kısacası gönderici ve alıcı arasındaki iletişim için aynı anahtar kullanılır. Simetrik şifreleme anahtarlarının boyutları genellikle 128 bit ya da 256 bit olur. Anahtar boyutu arttıkca hack’lenme ihtimali azalır.
Bu bilgiler ışığında SSL sertifikalarının şifreleme ve şifre çözme işinde nasıl hem asimetrik hem de simetrik şifreleme metodlarını kullandığını şu şekilde anlatabiliriz;
- İlk aşamada sunucu tarayıcıya asimetrik genel anahtarı yollar.
- İkinci aşamada tarayıcı simetrik oturum anahtarı oluşturur ve bu anahtarı sunucunun asimetrik genel anahtarı yardımıyla şifreler. Bu şifrelenmiş anahtar sunucuya geri gönderilir.
- Üçüncü aşamada sunucu şifrelenmiş oturum anahtarının şifresini çözer ve asimetrik özel anahtarı kullanarak simetrik oturum anahtarı oluşturur.
- Dördüncü ve son aşamada sunucu ve tarayıcı, aktarılan tüm verinin şifreleme ve şifre çözme işlemlerini simetrik oturum anahtarıyla yapar.
Bu karmaşık süreç, SSL sertifikalarının ne kadar zor kırılabileceğini ve neden bizlere üst düzey güvenlik sağladığını belirgin şekilde açıklıyor.
SSL sertifikalarının çeşitleri
Bir müşteri e-ticaret sitenize girdiğinde HTTPS uzantısını görmeli ve sitenizin güvenli olduğu konusunda emin olmalı dedik. Şimdi gelelim bu sertifikaların çeşitlerine. Kısaca özetlemek gerekirse üç tür SSL sertifikası vardır. Bunlardan ilki “Domain Validation” yani “Alan Adı Doğrulama” sertifikasıdır. Bu doğrulama en az pahalı olan ve en çok kullanılan sertifikalardan biridir. Bu tip SSL sertifikaları temel şifreleme ve doğrulama işlemini gerçekleştirir. Müşteriler ziyaret ettikleri alan adının gerçek ve güvenilir olduğunu anlarlar.
İkinci SSL sertifikası çeşidi “Organization Validation” yani “Kurumsal Doğrulama” şeklinde tanımlanır. Bu sertifika çeşidi e ticarette güvenlik sağlamak için alan adının dışında kurumun bilgilerini, kurum adresini ve kurum sahibinin ismini de içerir. Bu tip SSL sertifikalarının alınması saatler ya da günler sürebilir.
Üçüncü ve son SSL sertifikası tipi ise “Extended Validation” yani “Genişletilmiş Doğrulama” olarak nitelendirilir. Bu sertifika en üst seviye güvenlik sağlar. Bir e-ticaret kurumunun hem alan adını, hem firma adını, hem firma sahibinin bilgilerini hem de hukuksal ve kurumsal varlığını bünyesinde barındıran bu SSL tipine sahip olmak için günlerce hatta haftalarca beklemeniz gerekebilir.
E ticarette güvenlik için hangi SSL sertifikasını tercih etmelisiniz ?
E ticarette güvenlik için hangi sertifikayı tercih edeceğiniz, sitenizin büyüklüğüne ya da hedeflerine göre değişiklik gösterir. Basit seviyede güvenilirlik sağlayan Alan Adı Doğrulama sertifikaları başlangıç için makul bir seçenek olabilir. Eğer satış hacminizi büyütmek, daha geniş kitlelere ulaşmak ve gerektiği takdirde uluslararası e ticaret işleri yapmak istiyorsanız daha ileri seviyeli SSL çözümlerine yönelmeniz mantıklı olur. Bu tercihi yaparken bütçenizi de hesaplamanızda fayda var. Çünkü ileri seviye güvenlik sağlayan SSL çözümleri yüksek maliyetli olabilir.
SSL sertifikası arama sonuçlarında da olumlu etki yaratır
Arama motorlarında öne çıkan bir e ticaret sitesi demek, müşterilerin çok daha kolay bir şekilde ulaşabildiği bir e ticaret sitesi anlamına gelir. Eğer arama motorlarında öne çıkma hedefiniz varsa ( ki olmalı) sitenizin SSL sertifikasına sahip olması gerekiyor. Yeni nesil arama algoritmalarında arama botları HTTP uzantılı siteleri güvenilir olmayan siteler olarak işaretledikleri için, bu sitelerin arama sonuçlarında alt sıralarda kalma olasılığı oldukça yüksek. Google’da arama yapanların yüzde 34’ünün karşılarına ilk çıkan bağlantıya tıkladıkları göz önüne alınırsa, satışlarınızı artırmak için üst sıralarda yer almanız büyük önem taşıyor.
E ticarette güvenlik için SSL sertifikası kullanmazsanız ne olur ?
Bu soru çok çeşitli ve tedirgin edici cevaplara sahip. Öncelikle bu sertifikayı e ticaret sitenizde kullanmadığınız takdirde yapılan tüm kritik veri alışverişlerinin güvenlik tehditlerine karşı savunmasız olacağını unutmayın. Sunucunuzda barındırdığınız bilgilerin sızdırılması halinde sadece parasal anlamda zarar etmekle kalmaz, aynı zamanda hukuki sorunlarla boğuşmak zorunda kalabilirsiniz. Bunlara ek olarak sunucuyla yapılan veri iletişimi korumasız kalacağı için sitenize yapılan her yeni kayıt yeni bir potansiyel sorumluluk anlamına gelir. Bu sebeplerle, ödeme sistemine sahip olan her web sitesinin e ticarette güvenlik konusunda önlem alması günümüz dünyasında olmazsa olmaz bir hale geldi.
Murat TAŞÇI – LONDON