Sahte SSL Sertifikası Tespiti: Otel Web Sitesi Güvenlik Rehberi

Araştırmamız sırasında karşılaştığımız bir vakada, Antalya'da faaliyet gösteren beş yıldızlı bir otelin müşterisi, kilit simgesi ve "güvenli bağlantı" yazısı gören sahte bir rezervasyon sitesine kredi kartı bilgilerini girmişti. Siteye bakıldığında her şey normal görünüyordu: HTTPS bağlantısı, geçerli sertifika, tanıdık tasarım. Ne var ki site tamamen sahteydi.

Bu vaka, otelcilik sektörünün giderek daha fazla karşılaştığı bir gerçeği gözler önüne seriyor: artık SSL sertifikası tek başına güvenlik garantisi değil.

SSL (Secure Sockets Layer) sertifikası, kullanıcının tarayıcısı ile web sunucusu arasındaki veri trafiğini şifreler. Tarayıcı adres çubuğundaki kilit simgesi ve "https://" ön eki bu şifrelemenin aktif olduğunu gösterir.

Sertifikayı herhangi biri alabilir. Let's Encrypt gibi ücretsiz sertifika sağlayıcıları sayesinde dolandırıcılar, dakikalar içinde sahte bir site için geçerli bir SSL sertifikası temin edebiliyor. Kilit simgesi yalnızca bağlantının şifreli olduğunu söyler; siteyi kimin işlettiğini değil.

Müşterilerimiz bu konuyu öğrendiklerinde çoğu zaman şaşırıyor. "Ama kilit vardı" diyorlar. Maalesef kilit artık yeterli bir güvence değil.

Sertifika türlerini anlamak, güvenilir ile sahte siteleri ayırt etmenin en pratik yoludur.

DV sertifikaları, yalnızca o domain'in sahibinin başvuruyu yaptığını doğrular. Kimlik kontrolü yapılmaz. Sertifika otoritesi yalnızca "bu kişi domain'i kontrol ediyor" der; "bu kişi kim?" sorusunu sormaz. Let's Encrypt ve benzeri ücretsiz servisler DV sertifikası verir. Çıkarılması birkaç dakika sürer, ücretsizdir ve herhangi bir belge sunmak gerekmez.

Dolandırıcılar neredeyse istisnasız DV sertifikası kullanır. Sahte otel sitelerinin analiz ettiğimizde, çok büyük çoğunluğunun Let's Encrypt veya ZeroSSL gibi ücretsiz sağlayıcılardan edinilmiş DV sertifikaları kullandığını saptadık.

OV sertifikaları, sertifika otoritesinin başvuran kurumu belge incelemesi yoluyla doğrulamasını gerektirir. Şirket tescil belgesi, adres doğrulaması ve bazı durumlarda telefon teyidi istenir. Sertifikada kurumun yasal adı görünür.

Dolandırıcıların sahte şirket kurmadan OV sertifikası alması mümkün değildir. Bu nedenle meşru görünmek isteyen sahte siteler bile OV yerine DV tercih etmek zorunda kalır. Kurumsal sertifika politikası oluşturmak isteyen oteller için OV minimum standart olarak önerilir.

EV sertifikaları en katı doğrulama sürecine tabidir. Sertifika otoritesi kurumun hukuki varlığını, fiziksel adresini, operasyonel durumunu ve yetkili temsilcinin kimliğini ayrı ayrı doğrular. Bu süreç birkaç gün ila iki hafta sürebilir ve ücretlidir.

Bazı tarayıcılar EV sertifikalı sitelerde adres çubuğunda kurum adını yeşil yazıyla gösterir. Günümüzde bu görsel gösterge tüm tarayıcılarda aktif olmasa da EV sertifikaları hâlâ en güçlü kimlik güvencesini sunar. Büyük finans kurumları, devlet kurumları ve uluslararası otel zincirleri genellikle EV tercih eder.

Sektör gözlemlerimizde hiçbir sahte otel sitesinin EV sertifikası kullanmadığını görüyoruz. Kimlik doğrulama barajı aşılamaz düzeyde yüksektir.

• DV: Herhangi biri alabilir, ücretsiz, anlık. Kimlik garantisi yok.
• OV: Kurumsal doğrulama gerekir, ücretli, günler sürer. Temel kimlik güvencesi var.
• EV: En kapsamlı doğrulama, en yüksek güven. Sahte sitelerde imkânsız.

Certificate Transparency (Sertifika Şeffaflığı), SSL sertifikalarını denetim altında tutan açık bir sistemdir. 2013 yılında Google tarafından hayata geçirilen ve Google Transparency Report kapsamında desteklenen bu sistem, tüm sertifika otoritelerini verdikleri her sertifikayı kamuya açık bir kayıt defterine (log) eklemeye zorlar.

Bu sistem şu anlama gelir: birisi, "otelnizin adı + farklı domain" kombinasyonu için sertifika aldığında bu bilgi kamuya açık CT loglarına düşer. Ve siz bu logları izleyerek yeni sahte siteleri, kurulduklarının üzerinden saatler geçmeden tespit edebilirsiniz.

Sektör uzmanları bu mekanizmanın, sahte site takibinde en güvenilir erken uyarı sistemi olduğunu belirtiyor. Dolandırıcılar sayfayı hızla kurup yavaşça yayar; CT logları ise neredeyse anlık kayıt tutar. Daha fazla bilgi için certificate-transparency-log-izleme yazımıza bakabilirsiniz.

Çoğu zaman sahte siteler, orijinal domain adının hafif değiştirilmiş versiyonlarını kullanır. "hillsidebeachclub.com" yerine "hillsidebeachclubb.com" ya da "hillside-beachclub.com" gibi. Bu typosquatting tekniği hakkında daha fazla bilgi için otel-domain-guvenligi-typosquatting yazımıza göz atın.

Sertifika, bu sahte domain adına keşfedilmiştir. Kilit simgesi gerçektir ama adres yanlıştır.

Tarayıcıdaki kilit simgesine tıklayarak "Sertifika Görüntüle" seçeneğine gidin. Oradan şu bilgileri kontrol edin:

• Kime verilmiş: Doğru otel ismi mi, rastgele bir isim mi?
• Hangi domain için: Adres çubuğundaki alan adıyla eşleşiyor mu?
• Kim vermiş: Tanınan bir sertifika otoritesi mi? (Bilinen otoriteler: DigiCert, Sectigo, Let's Encrypt)
• Ne zamandan beri geçerli: Çok yeni bir sertifika mı? Sahte siteler genellikle kısa vadeli sertifika kullanır.

crt.sh, kamuya açık bir CT log arama motorudur ve ücretsiz olarak kullanılabilir. Domain adınızı arayarak o isim veya benzer isimler için hangi sertifikaların alındığını görebilirsiniz.

Bir müşterimiz bu aracı ilk kez kullandığında kendi oteli için 11 ayrı SSL sertifikası kaydı buldu; bunların 9'u tamamen sahte sitelere aitti.

Yalnızca ana domain'inizi değil, markanızın yazılabileceği tüm varyasyonları düzenli olarak CT loglarında tarayın. Araştırmalarımızda gördük ki sahte sitelerin büyük çoğunluğu, otel adının farklı kombinasyonlarını kullanıyor: "antalya + otel adı", "otel adı + rezervasyon", "otel adı + booking" gibi.

Extended Validation (Genişletilmiş Doğrulama) sertifikaları, sertifika otoritesinin kurum kimliğini fiziksel olarak doğrulamasını gerektirir. Bazı tarayıcılarda adres çubuğunda kurum adını gösterir. Dolandırıcıların bu tür sertifikayı alması çok daha zordur.

Sahte bir site tespit ettiğinizde yalnızca takdown isteği göndermekle yetinmeyin. Google Safe Browsing, Netcraft ve Microsoft SmartScreen'e de bildirin. Bu sayede site, kullanıcıların tarayıcısında "tehlikeli site" uyarısıyla gösterilmeye başlar.

Manuel tarama her otel için sürdürülebilir değil. Sektör uzmanları, CT log izlemenin 7/24 otomatik yapılması gerektiğini vurguluyor. Aksi takdirde, bir sahte site fark edilmeden haftalarca yayında kalabilir.

1. crt.sh'de bulduğunuz şüpheli domaini WHOIS ile araştırın
2. Siteyi ziyaret etmeyin — tarayıcı geçmişi ve cache'i temizleyin
3. Alan adının kayıtlı olduğu registrar'a (domain kayıt firması) şikayeti gönderin
4. Sertifikayı sağlayan CA'ya (sertifika otoritesi) bildirin
5. Şikayeti Türkiye'de BTK'ya da iletin

SSL sertifikası olan her site güvenli midir? Hayır. SSL sertifikası yalnızca bağlantının şifrelendiğini gösterir. Sertifikayı dolandırıcılar da ücretsiz olarak dakikalar içinde alabilir. Güvenlik için domain adını, sertifika türünü ve site sahibinin kimliğini ayrıca doğrulamak gerekir.

DV sertifikası ile EV sertifikası arasındaki pratik fark nedir? DV sertifikası, yalnızca domain kontrolünü doğrular ve herhangi biri birkaç dakikada alabilir. EV sertifikası ise kurumun hukuki kimliğini kapsamlı biçimde doğrular; sahte siteler bu süreci geçemez. Müşterilerinize en güçlü güvenceyi sunmak için EV tercih edin.

CT loglarını ne sıklıkla kontrol etmem gerekir? Marka adınıza benzer yeni sertifika alındığında anında haberdar olmak için gerçek zamanlı izleme sistemleri kullanılmalıdır. Manuel kontrolde ise haftada en az bir kez crt.sh üzerinden markanızı taramanız önerilir.

Sahte sitede kullanılan SSL sertifikasını iptal ettirebilir miyim? Evet. Sertifikayı sağlayan CA'ya (sertifika otoritesi) phishing veya kötüye kullanım bildirimi göndererek revokasyon (iptal) talebinde bulunabilirsiniz. Let's Encrypt ve büyük CA'lar bu tür bildirimleri genellikle 24-48 saat içinde değerlendirir.

Otelinizin adına kayıtlı tüm SSL sertifikalarını ücretsiz aracımızla anında kontrol edin. Birkaç dakika içinde kaç sahte sertifika bulunduğunu görebilirsiniz.