Araşdırmamız zamanı qarşılaşdığımız bir hadisədə, Antalyada fəaliyyət göstərən beşulduzlu bir otelin müştərisi, kilid işarəsi və "təhlükəsiz bağlantı" yazısını görən saxta bir rezervasiya saytına kredit kartı məlumatlarını daxil etmişdi. Sayta baxdıqda hər şey normal görünürdü: HTTPS bağlantısı, etibarlı sertifikat, tanış dizayn. Lakin sayt tamamilə saxta idi.
Bu hadisə, otelçilik sektorunun getdikcə daha çox qarşılaşdığı bir həqiqəti gözlər önünə sərir: artıq SSL sertifikatı tək başına təhlükəsizlik zəmanəti deyil.
## SSL Sertifikatı Nədir, Nə İşə Yarayır?
SSL (Secure Sockets Layer) sertifikatı, istifadəçinin brauzeri ilə veb server arasındakı məlumat axınını şifrələyir. Brauzerin ünvan çubuğundakı kilid işarəsi və "https://" ön şəkilçisi bu şifrələmənin aktiv olduğunu göstərir.
Sertifikatı hər kəs ala bilər. Let's Encrypt kimi pulsuz sertifikat təminatçıları sayəsində dələduzlar, dəqiqələr ərzində saxta bir sayt üçün etibarlı bir SSL sertifikatı əldə edə bilirlər. Kilid işarəsi yalnız bağlantının şifrəli olduğunu deyir; saytı kimin idarə etdiyini deyil.
Müştərilərimiz bu mövzunu öyrəndiklərində çox vaxt təəccüblənirlər. "Amma kilid var idi" deyirlər. Təəssüf ki, kilid artıq kifayət qədər zəmanət deyil.
## DV, OV və EV Sertifikatları: Aradakı Fərq Nədir?
Sertifikat növlərini anlamaq, etibarlı ilə saxta saytları ayırd etməyin ən praktik yoludur.
### DV (Domain Validation — Domen Təsdiqi)
DV sertifikatları, yalnız o domenin sahibinin müraciəti etdiyini təsdiqləyir. Şəxsiyyət yoxlaması aparılmır. Sertifikat orqanı yalnız "bu şəxs domeni idarə edir" deyir; "bu şəxs kimdir?" sualını soruşmur. Let's Encrypt və bənzər pulsuz servislər DV sertifikatı verir. Çıxarılması bir neçə dəqiqə çəkir, pulsuzdur və heç bir sənəd təqdim etmək lazım deyil.
Dələduzlar demək olar ki, istisnasız olaraq DV sertifikatı istifadə edir. Təhlil etdiyimiz saxta otel saytlarının çox böyük əksəriyyətinin Let's Encrypt və ya ZeroSSL kimi pulsuz təminatçılardan alınmış DV sertifikatları istifadə etdiyini müəyyən etdik.
### OV (Organization Validation — Təşkilat Təsdiqi)
OV sertifikatları, sertifikat orqanının müraciət edən təşkilatı sənəd yoxlaması yolu ilə təsdiqləməsini tələb edir. Şirkətin qeydiyyat sənədi, ünvan təsdiqi və bəzi hallarda telefon təsdiqi tələb olunur. Sertifikatda təşkilatın hüquqi adı görünür.
Dələduzların saxta şirkət qurmadan OV sertifikatı alması mümkün deyil. Bu səbəbdən qanuni görünmək istəyən saxta saytlar belə OV yerinə DV-yə üstünlük vermək məcburiyyətində qalırlar. Korporativ sertifikat siyasəti yaratmaq istəyən otellər üçün OV minimum standart olaraq tövsiyə olunur.
### EV (Extended Validation — Genişləndirilmiş Təsdiq)
EV sertifikatları ən sərt təsdiqləmə prosesinə tabedir. Sertifikat orqanı təşkilatın hüquqi varlığını, fiziki ünvanını, əməliyyat vəziyyətini və səlahiyyətli nümayəndənin şəxsiyyətini ayrı-ayrılıqda təsdiqləyir. Bu proses bir neçə gün ilə iki həftə arasında çəkə bilər və ödənişlidir.
Bəzi brauzerlər EV sertifikatlı saytlarda ünvan çubuğunda təşkilat adını yaşıl hərflərlə göstərir. Bu gün bu vizual göstərici bütün brauzerlərdə aktiv olmasa da, EV sertifikatları hələ də ən güclü şəxsiyyət zəmanətini təqdim edir. Böyük maliyyə qurumları, dövlət qurumları və beynəlxalq otel zəncirləri adətən EV-yə üstünlük verir.
Sektor müşahidələrimizdə heç bir saxta otel saytının EV sertifikatı istifadə etmədiyini görürük. Şəxsiyyət təsdiqləmə baryeri aşılmaz dərəcədə yüksəkdir.
### Sertifikat Növü Xülasə Müqayisəsi
- DV: Hər kəs ala bilər, pulsuz, anında. Şəxsiyyət zəmanəti yoxdur. - OV: Təşkilat təsdiqi tələb olunur, ödənişli, günlər çəkir. Əsas şəxsiyyət zəmanəti var. - EV: Ən əhatəli təsdiqləmə, ən yüksək etibar. Saxta saytlarda qeyri-mümkündür.
## Certificate Transparency (CT) Logları Nədir?
Certificate Transparency (Sertifikat Şəffaflığı), SSL sertifikatlarını nəzarətdə saxlayan açıq bir sistemdir. 2013-cü ildə Google tərəfindən həyata keçirilən və Google Transparency Report çərçivəsində dəstəklənən bu sistem, bütün sertifikat orqanlarını verdikləri hər sertifikatı ictimaiyyətə açıq bir qeyd dəftərinə (log) əlavə etməyə məcbur edir.
Bu sistem bu anlama gəlir: birisi, "otelinizin adı + fərqli domen" kombinasiyası üçün sertifikat aldığında bu məlumat ictimaiyyətə açıq CT loglarına düşür. Və siz bu logları izləyərək yeni saxta saytları, qurulduqlarının üzərindən saatlar keçmədən aşkarlaya bilərsiniz.
Sektor mütəxəssisləri bu mexanizmin, saxta sayt izlənməsində ən etibarlı erkən xəbərdarlıq sistemi olduğunu qeyd edirlər. Dələduzlar səhifəni sürətlə qurub yavaş-yavaş yayır; CT logları isə demək olar ki, anında qeyd tutur. Daha çox məlumat üçün certificate-transparency-log-izleme yazımıza baxa bilərsiniz.
## Saxta SSL Sertifikatı Necə Aşkarlanır?
### 1. Domen Adını Diqqətlə Araşdırın
Əksər hallarda saxta saytlar, orijinal domen adının yüngül dəyişdirilmiş versiyalarını istifadə edir. "hillsidebeachclub.com" yerinə "hillsidebeachclubb.com" və ya "hillside-beachclub.com" kimi. Bu typosquatting texnikası haqqında daha çox məlumat üçün otel-domain-guvenligi-typosquatting yazımıza nəzər salın.
Sertifikat, bu saxta domen adına kəşf edilmişdir. Kilid işarəsi həqiqidir, ancaq ünvan səhvdir.
### 2. Sertifikat Sahibini Yoxlayın
Brauzerdəki kilid işarəsinə tıklayaraq "Sertifikatı Göstər" seçiminə keçin. Oradan bu məlumatları yoxlayın:
- Kimə verilib: Doğru otel adı, yoxsa təsadüfi bir addır? - Hansı domen üçün: Ünvan çubuğundakı domen adı ilə uyğun gəlir mi? - Kim verib: Tanınmış bir sertifikat orqanıdır? (Bilinən orqanlar: DigiCert, Sectigo, Let's Encrypt) - Nə vaxtdan etibarən etibarlıdır: Çox yeni bir sertifikatdır? Saxta saytlar adətən qısa müddətli sertifikat istifadə edir.
### 3. crt.sh ilə CT Loglarını Sorğulayın
crt.sh, ictimaiyyətə açıq bir CT log axtarış motorudur və pulsuz olaraq istifadə edilə bilər. Domen adınızı axtararaq o ad və ya bənzər adlar üçün hansı sertifikatların alındığını görə bilərsiniz.
Bir müştərimiz bu vasitədən ilk dəfə istifadə etdikdə öz oteli üçün 11 ayrı SSL sertifikatı qeydi tapdı; bunların 9-u tamamilə saxta saytlara aid idi.
## Qorunma Üsulları
### Marka Adınızı və Variasiyalarını İzləyin
Yalnız ana domeninizi deyil, markanızın yazıla biləcəyi bütün variasiyaları müntəzəm olaraq CT loglarında yoxlayın. Araşdırmalarımızda gördük ki, saxta saytların böyük əksəriyyəti, otel adının fərqli kombinasiyalarını istifadə edir: "antalya + otel adı", "otel adı + rezervasyon", "otel adı + booking" kimi.
### EV Sertifikatı Dəyəri
Extended Validation (Genişləndirilmiş Təsdiq) sertifikatları, sertifikat orqanının təşkilat kimliyini fiziki olaraq təsdiqləməsini tələb edir. Bəzi brauzerlərdə ünvan çubuğunda təşkilat adını göstərir. Dələduzların bu cür sertifikatı alması daha çətindir.
### Google Safe Browsing və Pozuntu Bildirişləri
Saxta bir sayt aşkarladığınızda yalnız takedown tələbi göndərməklə kifayətlənməyin. Google Safe Browsing, Netcraft və Microsoft SmartScreen-ə də bildirin. Bu sayədə sayt, istifadəçilərin brauzerində "təhlükəli sayt" xəbərdarlığı ilə göstərilməyə başlayır.
### Avtomatik İzləmə Sistemi Qururun
Manual yoxlama hər otel üçün davamlı deyil. Sektor mütəxəssisləri, CT log izləməsinin 7/24 avtomatik aparılmalı olduğunu vurğulayırlar. Əks təqdirdə, bir saxta sayt fərq edilmədən həftələrlə yayımda qala bilər.
## Bir Sertifikat Aşkarladığınızda Nə Etməlisiniz?
1. crt.sh-də tapdığınız şübhəli domeni WHOIS ilə araşdırın 2. Saytı ziyarət etməyin — brauzer tarixçəsini və keşi təmizləyin 3. Domenin qeydiyyatda olduğu registrara (domen qeydiyyat firması) şikayəti göndərin 4. Sertifikatı təmin edən CA-ya (sertifikat orqanı) bildirin 5. Şikayəti Türkiyədə BTK-ya da çatdırın
## Tez-tez Verilən Suallar
SSL sertifikatı olan hər sayt təhlükəsizdir mi? Xeyr. SSL sertifikatı yalnız bağlantının şifrələndiyini göstərir. Sertifikatı dələduzlar da pulsuz olaraq dəqiqələr ərzində ala bilər. Təhlükəsizlik üçün domen adını, sertifikat növünü və sayt sahibinin kimliyini ayrıca təsdiqləmək lazımdır.
DV sertifikatı ilə EV sertifikatı arasındakı praktik fərq nədir? DV sertifikatı, yalnız domen nəzarətini təsdiqləyir və hər kəs bir neçə dəqiqəyə ala bilər. EV sertifikatı isə təşkilatın hüquqi kimliyini əhatəli şəkildə təsdiqləyir; saxta saytlar bu prosesdən keçə bilməz. Müştərilərinizə ən güclü zəmanəti təqdim etmək üçün EV-yə üstünlük verin.
CT loglarını nə sıxlıqla yoxlamalıyam? Marka adınıza bənzər yeni sertifikat alındığında dərhal xəbərdar olmaq üçün real zamanlı izləmə sistemləri istifadə edilməlidir. Manual yoxlamada isə həftədə ən az bir dəfə crt.sh üzərindən markanızı yoxlamanız tövsiyə olunur.
Saxta saytda istifadə olunan SSL sertifikatını ləğv etdirə bilərəm mi? Bəli. Sertifikatı təmin edən CA-ya (sertifikat orqanı) phishing və ya sui-istifadə bildirişi göndərərək ləğv (revocation) tələbində buluna bilərsiniz. Let's Encrypt və böyük CA-lar bu cür bildirişləri adətən 24-48 saat ərzində qiymətləndirir.
Otelinizin adına qeydiyyatdan keçmiş bütün SSL sertifikatlarını pulsuz vasitəmizlə dərhal yoxlayın. Bir neçə dəqiqə ərzində nə qədər saxta sertifikat olduğunu görə bilərsiniz.
