ssl hataları ve çözümleri

SSL sertifikaları, çevrimiçi işlemler için güvenlik ve gizlilik sağlamak için milyonlarca web sitesinde kullanılır. Bununla birlikte, hata iletilerinin web sitesi ziyaretçilerine gösterilmesine neden olan dağıtımlarında ortaya çıkabilecek birkaç sorun vardır. Bu sayfa, en yaygın SSL hatalarını ve bunları nasıl düzeltebileceğiz konusunda öneriler sunar.

SSL bağlantısı hatası nedir?

Bir SSL etkin web sitesine bağlanmaya çalışırken ve tarayıcınız (istemci) web sitesinin sunucusuyla güvenli bir bağlantı kuramadığında, SSL bağlantı hataları oluşur. Bağlantı hatasının nedenine bağlı olarak internet tarayıcıları genellikle “Bu Bağlantı Untrusted”, “Sitenin güvenlik sertifikası güvenilir değil” veya “Your Connection is private” gibi bir uyarı mesajı görüntüler.

Bu web sitesi için SSL sertifikası güvenilir değil

Bir internet tarayıcısı, bir sertifika güvenilir bir Sertifika Otoritesi tarafından imzalanmamışsa bir web sitesi sertifikasının güvenilmez olduğunu bildirir. Bir tarayıcının bir sertifikayı kabul edebilmesi için onu bir ‘güvenilir kök sertifikaya’ bağlayabilmesi gerekir.

Güvenilen kök sertifikalar, Internet Explorer, Firefox, Chrome gibi popüler tarayıcılara yerleştirilmiştir. Bu kök sertifikalar, tarayıcının karşılaştığı tüm web sitesi sertifikalarının meşruiyetini doğrulamak için güven ‘çapa’ olarak kullanılır. Bir tarayıcı, bu köklerden biri tarafından imzalanmamış bir sertifika bulursa, güvenilmeyen olduğunu ve ziyaretçilere yukarıdaki gibi bir hata iletisi görür. Bir tarayıcıdaki en güvenilir kök sertifikalar, akredite edilmiş bir Sertifika Otoritesi’ne (CA) aittir. Bir CA bir web sitesinin sertifikasına imza attığında, bu web sitesinin sertifikasını tarayıcı sertifika deposundaki güvenilir köklerinden birine ‘bağlar’. Güvenlik nedenleriyle, çoğu CA, uç taraf / web sitesi sertifikalarını kökten doğrudan imzalamasa da, bunun yerine bir ‘ Köküne bir “güven zinciri” yaratmak için “ara sertifika” koydu. Bu sistemde, kök sertifika aracıyı imzalayacak ve aracı, tek tek web sitelerinin sertifikalarını imzalamak için kullanılacaktır.

Bu nedenle, ‘güvenilmeyen’ hatalar genellikle iki nedenden biriyle meydana gelir:

Site, kendinden imzalı bir sertifikayı kullanıyor

Çoğu durumda, web sitesi ‘Kendinden İmzalı Sertifika’ olarak bilinen şeyi kullandığı için budur. Adından da anlaşılacağı üzere kendinden imzalı bir sertifika, web sitesi sahibi tarafından üretilen ve kendi web sunucusu yazılımını kullanarak imzalayan bir sertifikadır. Bu nedenle, sertifika tarayıcının sertifika deposundaki ‘güvenilir kök’ ile ilişkilendirilmez ve tarayıcı bir ‘güvenilmeyen’ hata görüntüler.

Kendinden imzalı sertifikaların avantajları vardır. Sunucuya güvenmesi beklenen kişilerin yalnızca şirket çalışanları gibi dâhili personel olduğu intranet ve geliştirme sunucularında kullanmakta serbestsiniz ve bunlar için de gayet iyiyiz. Bununla birlikte, kamuoyunun güven duyması beklenen ticari web sitelerinde asla konuşlandırılmamalıdır.

Ara sertifikalar yüklenmedi

‘Güvenilmeyen’ hata için başka bir potansiyel neden, web sitesi yöneticisinin tüm ara sertifikaları kendi web sunucusuna doğru şekilde yüklememiş olmasıdır. Aşağıdaki örnek, bu sorunun daha iyi bir şekilde görüntülenmesini sağlar:

Yukarıdaki şema, sertifikasını gösterir. ‘Sertifika Yolu’ sekmesi, internet tarayıcısının sertifikayı doğrulamak için kullanacağı güven zincirini gösterir. Güvenilen kök sertifika intermediate sertifikasını imzalamış ve web sertifikasını için imzalanmış olan) imzalamıştır.

Bir ziyaretçi bağlantı kurduğunda, web sunucusu ziyaretçinin tarayıcısına hem web sitesi sertifikasını VE hem de ara sertifikayı sunmalıdır. Tarayıcı, zincirdeki tüm sertifikaları kök sertifikaya geri kontrol edebilecektir. Çoğu sertifika yetkilisi, web sitesi sahibine, paketin sonunda aracı / web sitesi sertifikasıyla birlikte gereken tüm ara maddeleri içeren bir paket dosyası gönderecektir. Bununla birlikte, web sunucusu yöneticisi tüm ara maddeleri yüklemiyorsa, kullanıcılar ‘sertifika güvenilir değil’ mesajını görür. Bazen bu ihmal, belirli bir web sunucusundaki sertifika yüklemesinin karmaşıklığına bağlı olabilir. Bu nedenle, tüm popüler web sunucusu türleri için eksiksiz bir kurulum talimatları seti sunar.

Sertifika Adı ‘Uyuşmazlık’ hatası

Sunucu tarafından sunulan SSL sertifikasında listelenen alan tarayıcının bağlı bulunduğu alanla eşleşmediğinde ‘sertifika adı uyumsuzluğu’ hatası oluşur. Bir HTTPS oturumunun başlaması için, sertifika üzerindeki alan adı tarayıcı adres çubuğundaki alan adıyla tam olarak eşleşmelidir.

Bunun olmasının birkaç nedeni vardır:

• Web sitesi / ana makineye bir iç bilgisayar adı veya bir IP adresi kullanılarak erişildi, ancak sertifika yalnızca topluluğun Tam Etkili Alan Adı’na (ör. Www.domain.com) verildi. Ana bilgisayara bir dâhili ad veya IP kullanarak erişmek, sizi aynı web sitesine götürür; ancak sertifika yalnızca FQDN’yi içeriyorsa uyuşmazlık hatasına neden olabilir.
• Sertifika, domain.com’a verildi, ancak www.domain.com tarayıcıya yazıldı (‘www’ aslında domain.com’un bir alt alan adı). Bu hata hala ortaya çıkabilir, çoğu büyük CA, hem domain.com hem de www.domain.com’u kapsayan tek alan adı sertifikaları yayınladığından daha az yayınlanmaktadır. Bununla birlikte, bu hatayla karşılaşırsanız, bunu hala potansiyel bir neden olarak düşünmeye değer. Bu arada, bir joker sertifika kullanımı, bu sorunun da önüne geçecektir, çünkü domain.com’un tüm alt alanları otomatik olarak kapsanacaktır.
• Aynı IP adresinde birden çok web sitesi barındığında adı uyuşmazlığı hatası da oluşabilir. Bu, birçok paylaşılan barındırma ortamında sıklıkla görülür. Normal bir HTTP bağlantısı altında, tarayıcı sunucuya hangi alan adında bağlanmak istediğini, ana bilgisayar üstbilgisi olarak bilinen bölümde söyleyecektir. Bununla birlikte, bir HTTPS bağlantısı yapıldığında, SSL el sıkışma, tarayıcı, ana bilgisayar üstbilgisini sunmadan önce sunucudan sertifika ister demektir. Sonuç olarak, sunucu hangi sertifikanın gönderileceğine karar vermek için gereken bilgiye sahip değildir ve genellikle yanlış sertifikayı sunacaktır. Bir IP’de yalnızca bir web sitesi ve bir sertifika varsa, bu bir problem oluşturmamalıdır. Ancak, aynı IP üzerinde birden fazla web sitesi varsa, sunucu yanlış alan için bir sertifika sağlayabilir.

Karışık içerik hatası

Güvenli bir HTTPS bağlantısı kurulması için sayfadaki her öğenin güvenli bir kaynaktan sunulması gerekir. Bu, tüm gömülü resimlerin, videoların, flash filmlerin, iframe’lerin ve Java komut dosyalarının güvenli bir konumdan sunulması gerektiği anlamına gelir. Herhangi bir öğe yoksa web sitesi ziyaretçileri buna benzer bir hata iletisi görürler:

Ziyaretçinin ‘Evet’i seçmesi durumunda tüm öğeler gösterilir, ancak bağlantı güvenli olmayan HTTP’ye dönecektir. Ziyaretçinin ‘Hayır’ı seçmesi durumunda yalnızca güvenli öğeler görüntülenir. Bu, bazı resimlerin ve videoların gösterilmediği veya sayfanın önemli komut dosyalarını çalıştıramayacağı anlamına gelebilir. Her iki durumda da, bu web sitenizin ziyaretçilerine göndermek için kötü bir işarettir. Bu, tartışmasız olarak tüm SSL hatalarının en yaygın olanıdır, ancak bir yöneticinin düzeltmesi en kolay yöntemlerden biridir.

• HTTP veya port 80 üzerinden herhangi bir güvensiz içerik çağırmayın. Tüm referansları ve bağlantıları HTTP’den HTTPS olarak değiştirin. Örneğin, <img src = “https://images.mydomain.com/image.png” alt = “”>. Bunun en etkili şekilde çalışması için SSL’nin kaynak konumunda olduğundan emin olmanız gerekir. Web sitenizin öğelerini barındırmak için bir alt etki alanı kullanırsanız, joker sertifika bu çabaya yardımcı olabilir.
• Web sitenize mutlak bağlantılar yerine göreceli bağlantılar kullanın. Örneğin, src = http: //mydomain.com/my-script.js yerine scr = / my-script.js kullanın. Ardından, ana sayfanıza HTTPS üzerinden erişilirse, tarayıcı da HTTPS üzerinden /my-script.js yükleyecektir. Bu teknik, sayfanız HTTP üzerinden sunucu (örneğin YouTube veya Google Analytics) üzerinde açıkça bulunan harici içeriği referanslarsa çok yararlıdır.
• SSL’yi sitenizin tamamında dağıtın. Bu ziyaretçileriniz için daha iyi güvenlik sağlayacak ve Google, sayfaları güvenli hale getirmek için daha yüksek arama sıralaması verdiği için SEO çabalarını da geliştirebilir. Bunun, içeriğinizin iki kopyasını etkin bir şekilde elde ettiğiniz anlamına gelebileceğini, bu nedenle arama motoruna hangi sürümü yetkili olduğunu söylemeniz gerektiğini unutmayın. Bunu yapmak için:
  • Arama motoruna HTTPS sürümünün yetkili olduğunu söyle (i) link <rel = “canonical”> HTTPS sürümünü gösterecek şekilde güncellenir. (Ii) XML site haritasını içeriğinizin HTTPS sürümüne göre güncelleştirirsiniz. Bu değişiklikleri yapmak arama motorunun sitenizin SSL sürümünü dizine ekleyip bu sürümü arama motoru sonuçlarında sunacağı anlamına gelir.
  • txt dosyasının HTTPS üzerinden erişilebilir olduğundan emin olun.
  • Tüm HTTP isteklerini kalıcı 301 yönlendirme ile HTTPS sürümüne yönlendirin. Bu, arama motoru sayfa sıralamanızın HTTPS sürümüne aktarıldığı anlamına gelir.
  • Sitenizin HTTPS sürümüne HTTP yerine başvurmak için web yöneticisi araçlarını güncelleyin.