Akademik Veri Yönetim Sistemi
Tezin Türü: Yüksek Lisans
Tezin Yürütüldüğü Kurum: Gazi Üniversitesi, Fen Bilimleri Enstitüsü, Türkiye
Tezin Onay Tarihi: 2022
Tezin Dili: Türkçe
Öğrenci: Merve Melis ŞİMŞEK
Danışman: Hüseyin Temuçin
Özet:
Günümüzde, kişisel veriler ve kredi kartı bilgileri gibi hassas verilerle işlem yapılan ve yüksek güvenliğin ön planda olduğu e-ticaret ve bankacılık faaliyetleri dahil olmak üzere kullanıcı ihtiyaçlarının çoğu internet ortamında karşılanmaktadır. Teknolojideki gelişmelerle internet kullanımının hayatın her alanında yaygınlaşması, web sitelerine erişimde en temel yazılım parçalarından olan web tarayıcılarını internetin vazgeçilmez unsuru haline getirmiştir. Kötü niyetli bir saldırı öngörülemeyen sonuçlara neden olabileceğinden kullanıcı ile web sitesi arasındaki iletişimin güvenliği önemli bir konudur. Web tarayıcıları, web sitesine bağlanmadan önce güvenli bir iletişim kanalı oluşturmak için HTTPS protokolünü kullanarak web sitesinin kimliğini SSL sertifikaları ile doğrular. Açık Anahtar Altyapısına (Public Key Infrastructure, PKI) dayanan bu sertifikaların güvenilirliği, istemci yazılımı tarafından güvenilir kabul edilen bir Sertifika Otoritesi (Certificate Authority, CA) tarafından belirli kriterlere uygun olarak üretilmesine bağlıdır. CA’ların sertifika üretiminde uyması gereken şartlar, ekosistemin güvenliğinde önemli rol oynayan web tarayıcılar, CA’lar ve diğer PKI bileşenlerinden oluşan Certificate Authority/Browser (CA/B) Forum gönüllü kuruluşu tarafından belirlenmektedir. Sertifikalarda kullanılabilecek kriptografik algoritmalar ve anahtar uzunlukları veya bir sertifikanın maksimum yaşam süresinin ne olabileceği gibi kriterler, CA/B Forum tarafından yayımlanan Temel Gereksinimler (Baseline Requirements, BR) dokümanında açıklanmaktadır. SSL bağlantılarının güvenliği için sertifikaların bu kriterlere uygun olarak üretilmesi son derece önemlidir. Ancak kullanıcılar adına sertifikanın doğrulanmasını gerçekleştiren web tarayıcıların bu görevi ne kadar başarılı bir şekilde gerçekleştirdiği de en az bunun kadar önemlidir. Bu tez çalışmasında, web tarayıcıların sertifika doğrulama davranışlarının etkin bir şekilde analiz edilebilmesi amacıyla kapsamlı bir SSL sertifikası açık anahtar altyapısı (SSL Test Suit) kurulmuştur. BR dokümanına uygun olmayan sertifikalardan oluşan bu suit ile gerçekleştirilen testler, web tarayıcıların doğrulamadaki kusurlarını ortaya koymuştur.
Anahtar Kelimeler : SSL sertifikası, sertifika doğrulama, iptal kontrolü, açık anahtar
altyapısı, test suit, güvenlik