Bir internet sitesine girdiğinizde http ve https farkını günümüz tarayıcılar ile görmeniz çok kolay. http’nin ssl/tls protokolü uygulanmış hali olan https için sertifikaları kullanırız.
Bu yazımızda https’li bir siteye girdiğimizde sertifika detaylarını nasıl okumamız, ne anlamamız gerektiğinden kriptolojik detaya girmeden değineceğiz.
SSL sertifikanız var ve kullanıcılarınızın gerçekten sizin sertifikanızın public anahtarını kullandığından emin olmak istiyorsunuz. Bunu Public key Pinning yaparak gerçekleştirebilirsiniz. HSTS ‘de olduğu gibi HPKP için de bir başlık bilgisini sunucu tarafında uygulayarak kullanıcı tarafında bu tarz bir güvenlik önlemi alabilirsiniz.
Not: Kurumsal firmalarında ssl inspection yapan proxy sunucular gerçek sertiifka daki public anahtarı değiştirmedikleri sürece bu başlıktan dolayı sıkıntı yaşamazsınız.
Bu yazımızda openssl aracından da yararlanarak Apache üzerinde HPKP’yi nasıl gerçekleştireceğimizi göreceğiz.
HTTP protokolü bildiğiniz üzere clear text protokoldür. Yani http istekleriniz açık, şifrelenmeden sunucuya iletilir. Aynı şekilde sunucudan da bu isteklere yanıtlar şifresiz olarak dönülür. Trafiğinizi dinleyebilen biri tarafından da bu istekler rahatlıkla görülebilir. Bunun önüne geçmek dijital sertifikalar aracılığıyla SSL/TLS protokolü ile trafik şifreli bir hale getirilir. Trafiğinizi dinleyen kişinin şifrelenmiş uygulama katmanı seviyesindeki data içeriğini iki uç arasındaki haberleşmede kullanılan ortak anahtarın bulmasıyla çözebilir. Genellikle bunu yapmak zor ve zahmetlidir. Bu sebeple uygulanması daha basit sslstrip yöntemi kullanılır.
Strip kelime anlamıyla soymak anlamına gelmektedir. Bu kelimeden SSLStrip’in amacını da anlayabilirsiniz. SSLtrip araçlarının temel olarak yaptığı iş bir HTTPS trafiği gördüğünde bunu HTTP’li hale getirmektir Peki bunu nasıl yapıyor? Bu yazımızda sslstrip’i uygulamalı olarak görüyor olacağız.