T.C. SAKARYA ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ E-TİCARET ÖDEME SİSTEMLERİNDE SSL VE 3D-SECURE GÜVENLİK YAPILARI. Ümit ÇİMEN

Transkript

1 T.C. SAKARYA ÜNİVERSİTESİ FEN BİLİMLERİ ENSTİTÜSÜ E-TİCARET ÖDEME SİSTEMLERİNDE SSL VE 3D-SECURE GÜVENLİK YAPILARI E-İŞ VE E-TİCARET TEKNOLOJİLERİ YÖNETİMİ DÖNEM ÖDEVİ Ümit ÇİMEN Enstitü Anabilim Dalı : YÖNETİM BİLİŞİM SİSTEMLERİ Enstitü Bilim Dalı : BİLİŞİM SİSTEMLERİ / U.E. Ödev Danışmanı : Yard.(Doç.) Dr. Levent ÇALLI ii

2 İÇİNDEKİLER GİRİŞ SSL Nedir? Şifreleme algoritma yapıları Simetrik şifreleme algoritması Asimetrik şifreleme algoritması Açık anahtar (Public key) ve kapalı anahtar (private key) kavramları Elektronik (Dijital) imza kavramı Veri şifreleme ve elektronik imzanın bir arada kullanıldığı durum E-ticarette SSL kullanımı İstemci sunucu kavramı: HTTP/HTTPS protocol yapıları ve port numaralarına genel bakış: Sertifika Otoritesi (Certification Authority) nedir? SSL sertifikası nedir? D Secure Nedir? D Secure sistemine neden ihtiyaç duyulur? D Secure Yapı Çeşitleri KAYNAKLAR iii

3 4 GİRİŞ E-ticaret kavramı denildiğinde, bilgisayar ve diğer iletişim araçları (telefon, tv, vb.) kullanılarak yapılan hertürlü ticari faaliyet olarak kabul edilir. Fakat Günümüzde e-ticaret kavramı internet üzerinden yapılan tüm ticari faaliyetler olarak bilinmekte ve kabul görmektedir. Bu yazıda, e-ticaret kapsamındaki alıcı ve satıcı arasında yapılacak ticaretin, güvenilir yollarla yapılması konusuna değinilecektir ve detaylı olarak SSL Güvenliği yapısı ve 3-D SECURE yapısı incelenecektir. Konuyu birkaç örnek ile açıklayalım. Bir restoranta gittiniz ve ödeme yapma safhasında kredi kartı kullanacaksınız.kredi kartını garsona verirsiniz, garson gerekli çekimi yapar ve fişi size teslim eder. Burada ciddi anlamda kredi kartı bilgilerinizin 3. Kişilerce çalınma riski söz konusudur. (Kredi kartı kopyalama veya müşteri yanından ayrılıp kart bilgilerini saklama vb.) Başka bir senaryo düşünelim; Telefon ile bir ürün satın alıyorsunuz (güvendiğiniz iniz bir firmadan). Karşınızdaki yetkili, sizin kredi kartı bilgilerinizi istiyor, gerekli çekimi yapıyor ve görüşme sonlanıyor. Burada da tahmin edeceğiniz gibi 3. kişi riski söz konusudur. İşte buna benzer riskler e-ticaret ortamında da söz konusudur. Hatta alıcı, beğendiği ürünü alacağı web sitesinin, güvenilir bir kanal ait olup olmadığını ını dahi bilemeyebilir ve mağdur olabilir. Bu tip durumlarda, ciddi anlamda alıcı mağduriyetleri ve satıcıların yasal cezai yaptırımlara maruz kalması yada prestij düşüşleri şleri gibi durumlar ortaya çıkar. Bu gibi sorunlar e-ticarette verilerin güvenli iletimi ve kimlik doğrulama gibi gereklilikleri ortaya koymaktadır. Bu konuyu daha detayladıralım.bir web sitesinden ürün satın alacaksınız. Gerekli seçiminizi yaptınız ve kredi kartı ödeme sayfasına geldiniz. Burada kredi kartınıza ait bilgileri girmeniz gerekecek.işte bu noktada önmeli olan konu, bu bilgilerinizin güvenli ve gizli bir şekilde satıcıya ve ya bankaya ulaşmasıdır. Ayriyetten yetten satıcının güvenilir biri olduğuna una dair referans olacak, kabul görmüş otorite yapılarının ortamda bulunması gerekecektir. Olması gereken bu sistemi bir şekil ile açıklayalım. Güvenilir Otorite/Referans (Devlet Kuruluşu ya da Uluslar Arası Kabul Görmüş Kuruluşlar) Müşteri Bilgilerinin Güvenle İletilmesi Alıcı/Müşteri 4 Satıcı

4 5 1.1 SSL Nedir? SSL sistemi 1994 yılında Netscape Communication firması tarafından ortaya koyuldu ve IEFT (Internet Engineering Task Force ) tarafından dünya standartı olarak kabul edildi. IEFT (Internet Engineering Task Force ), dünyaca bağımsız olan ve internet protokolleri geliştitirip bunları dünya standartı olarak kabul ettirme gücüne sahip bir organizasyondur. SSL, güvenli veri iletimini sağlamada kullanılan kriptografik bir protokol yapısıdır. Yani veri gönderimi yapılırken veri şifrelenir ve bu şekilde alıcı tarafa gönderilir.dolayısıyla verinin kötü amaçlı kişilerin eline geçme riski ortadan kalkar. Mantığını aşağıdaki şekilden anlayabiliriz. Alıcı/Müşteri Kullanıcı Kredi Kartı Bilgilerini Girer SSL İle Şifreleme Yapılır Şifreli Bilgi Bilgiyi Satıcı alır ve Deşifre ederek ulaşır Satıcı SSL in çalışma mantığını anlamamız için, bir takım tanımlar ve işleyiş mantığını irdelememiz gerekmektedir Şifreleme algoritma yapıları Simetrik şifreleme algoritması Bu şifreleme yapısında gönderici veriyi göndeririken bir key (anahtar) kullanır ve bu key ile veriyi şifreler. Şifrelenen bu veri alıcı tarafından alınıp okunabilmesi için, göndericinin sahip olduğu keyin aynısına sahip olmalıdır. Bu yapının dezavantajı, ortak anahtarın değişken ğşken olmaması yani tek olması, bu nedenle ortak anahtarın çalınması verinin çalınması demektir. Avantajı ise veri iletişimi imi asimetrik şifreleme yapısından çok daha hızlıdır. Simetrik Şifreleme yapısının mantığını aşağıdaki ğ şekille beraber irdeleyelim. 5

5 6 Gönderici Alıcı Açık Veri Açık Veri Ortak Anahtar ile Şifreleme Yapılır. Şifreli Bilgi, Güvenli Şekilde İletilir. Aynı Ortak Anahtar ile Şifreleme Çözülür Asimetrik şifreleme algoritması Açık anahtar (Public key) ve kapalı anahtar (private key) kavramları Açık anahtar (Public key) : Herkes tarafından bilinen anahtardır. Kapalı-Özel anahtar (Private key) : Sadece tek bir kişiye ait olan eşsiz anahtardır.bu bilgi o kişi haricinde kimsede bulunamaz. 6

6 7 Asimetrik şifreleme algoritmasının mantığını şekille görelim. Gönderici Alıcı Açık Veri Açık Veri Gönderici, alıcının PUBLIC KEY i ile Şifreleme Yapar Şifreli Bilgi, Güvenli Şekilde İletilir. Alıcı veriyi KENDİ PRIVATE KEY i ile açar Gönderici veriyi şifrelemede alıcının Public Keyi ni kullanarak şifreler. Alıcı veriyi alarak kendi Private Key i ile veriyi deşifre ederek veriyi okur. Buradaki amaç hem verinin güvenli bir şekilde iletimini sağlamak, hemde verinin istenilen doğru kişiye gittiğine ine dair kesinlik kazanması. (Public key kullanılarak şifrelenmesinin nedenide budur.) 7

7 Elektronik (Dijital) imza kavramı Şimdiye kadar öğrendiğimiz ğimiz şifreleme metodları, verinin güvenli iletimi ve doğru kişiye gittiğine dair kesinlik kazanması üzerineydi. Bu konumuzda da verinin doğru kişiden çıktığına ına dair bir doğrulama üzerinde duracağız. Gönderici ile alıcı arasında ciddi bir iş akışı olduğunu düşünelim.gönderici, ünelim.gönderici, başkasının (kötü amaçlı kişi), kendisi adına herhangi bir yanlış ş ve ya yanıltıcı bilgi göndermesi riskine karşın bir güvenlik sistemi istiyor.yani gönderdiği veriye öyle bir bilgi eklesinki bu bilgi imza niteliği gibi eşsiz ve sadece ona ait olduğunu ve veriyi onun gönderidiğine ine dair bir kesinlik söz konusu olsun. Not: Aşağıdaki şekilde sadece verinin doğru kişiden çıktığına ına dair bir kimlik doğrulama süreci anlatılmaktadır. (Veri şifreleme ile ilgili birşey anlatılmıyor) Gönderici Alıcı Açık Veri Açık Veri Gönderici, kendi PRIVATE KEY i ile veriyi şifreleyip, tekrardan veriye kendi Public Key ini de ekleyerek gönderir. İmzalı Veri Alıcı veriyi göndericinin PUBLIC KEY i ile açrak verinin doğru kişiden geldiğini teyit eder. 8

8 9 Şekli açıklayacak olursak, gönderici veriyi (meaj içerik vb.) kendi Private Key i ile şifreleme yapar. Sonrasın da bu veriye kendi Public Key ini de ekler. Burada Public Key in herkez tarafından görünmesinin hiç bir sakıncası yoktur, zaten amaç bu verinin gerçek göndericiden geldiğini doğrulamaktır ve bu Public Key ile belli olur.daha sonra alıcı bu veriyi alarak yine göndericinin Public Key ini kullanarak veriyi açar ve gerçek kişiden geldiğini doğrular Veri şifreleme ve elektronik imzanın bir arada kullanıldığı durum Başlıktan da anlaşılacağı gibi verinin hem şifrelenerek iletimi, hem gerçek kişiden geldiğinin doğrulanması, hem doğru kişiye gittiğinden emin olunması ve ek olarak mesajın iletimi sırasında içeriğinin bozulmadığından (değiştirilmediği) emin olma konuları ele alınacak. NOT: Hash, bir verinin ( password,isim numara vb.) tanınamıyacak hale gelmiş şeklidir. Örneğin siz bir password belirlersiniz gibi bunun hash değeri ph56giulbmm5pz8gp W gzgj9g37m = şeklinde anlamsız bir değerdir ve tanınmayacak durumdadır. Konumuza geri dönüp şekillerle açıklayalım. Gönderici veriyi alıcıya gönderme sırasında,sahip olduğu verinin bütünlüğünü ispatlamak için vernin üzerinde hash algoritması çalıştırarak Kontrol Toplamını oluşturur. Veri bütünlüğü için kontrol toplamı yapılması ORJİNAL MESAJ Kontrol Toplamı yapıldı. Örmek HASH DEĞERİ 1f3870be274f6c49b3e31a0c f Mesajın İmzalanması Aşaması Kontrol toplamı sonucu oluşturulan değer,göndericinin Private Key ile şifrelenir. (Şifreli Toplam) ORJİNAL MESAJ Göndericinin Public Key i Kullanılan Hash Algoritmasının İsmi Bu paketin toplamı ile imzalama işlemi tamamlanmış olur. 9

9 10 Şifreleme Aşaması; Tüm veriyi asimetrik key sistemi ile şifrelersek (PublicKey/PrivateKey ikilisi) veri iletimi son derece yavaş olacaktır. Bu nedenle simetrik şifreleme kulanmamız ağ performanısını arttıracaktır.yani gönderici yukarıdaki tüm veriyi simertik bir anahtar üretip bu anahtar ile şifreler. Bu anahtarıda pakede ekler. Pakede eklenen bu simetrik anahtar, ağ boyunca ilerlerken ağın dinlenmesi tehtidlerine karşı açık durumdadır. Bunun önüne geçmek için, alıcının Public Keyi ile bu simetrik anahtarın şifrelenmesi yeterlidir. (Karşıdaki kişi bildiğimiz gibi bu simetrik anahtarı elde etmede, kendi Private Key ini kullanacaktır) Paket artık alıcıda, alıcı bu pakedi açarken kendi Private keye ile simetrik keyi elde eder.simetrik key ile tüm veriyi deşifre eder. Veriyi kullanmadan önce doğruluğunu belirlemek için, göndericinin Public Key ini control eder ve ona ait olup olmadığını tespit eder. Veri bütünlüğünü tespit etmek için, mesajdaki Public Key ile mesajın toplam boyutunu belirler, saf mesajın kendisi üzerindede ikinci bir toplam elde etmek için, pakedi göndeririken kullanılan Hash algoritması bu saf mesaj üzerinde de çalıştırılarak burda da bir toplam elde edilir, ilk toplam ile karşılaştırılır. Aynı ise veride değişklik veya bozulma gibi bir sorun yok demektir. Şu anda alıcı veriyi şüphesiz bir şekilde kullanabilir E-ticarette SSL kullanımı İstemci sunucu kavramı: İstemci (Client) bir hizmeti taleb eden taraftır.sunucu (Server) ise taleb edilen hizmeti istemciye 24 saat kesintisiz sunmakla yükümlüdür. Bu ikili ilişki e-ticarette teknik anlamda en temel yapıyı oluşturur. İstemci Hizmeti talep eder Sunucu istenilen hizmeti kesintisiz sunar 10

10 HTTP/HTTPS protocol yapıları ve port numaralarına genel bakış: Sunucu sistemlerinde bir takım hizmetler veya servisler verilir.bunlara örnek olarak web servisi, mail servisi, dosya paylaşım vb. verilebilir.tabiki her servisin kendine ait kullanması gereken bir protocol yapısı ve port numaraları mevcuttur. Bu mantığı şöyle ifade edelim. Bir elektronik firmasından bir cihaz aldınız. Bu cihaz bir ay sonra arıza verdi.cihazın tamiri için tekrardan firmaya geldiniz ve danışmana sordunuz, Garantili ürün tamiri için geldim beni yönlendirir misiniz? Danışman sizi Müşteri hizmetleri Departmanına gitmenizi ve yan kapıdan giriş yapmanız konusunda yönlendirir. Burada size hizmet(servis) verecek departman Müşteri hizmetleri, gireceğiniz kapı(port) Yan Kapıdır. Buradaki ayrımı yapmamızın sebebini aşağıda gerçek sistemlerle açıklayalım. İstemci sitesine girmek istiyor. Yani bir web servisi talebi istiyor. Sunucuya bu talebini göndermesi için sunucunun bu servisi kullanan kapısından (Port Numarasından) sorgusunu atacak. İstemcinin bu isteğine cevap veren servis (protokol/servis) devreye girerek, istemciye cevap verecek. Not: Her serviste olduğu gibi Web servisleri de belirli bir protokol yapısı ve port numarası kullanmaktadır. Bir Web servisi http (Hyper Text Transfer Protocol) ve https (Hyper Text Transfer Protocol Secure) protokol yapıları ile 80 ve 443 port numaralarını kullanmaktadır. SERVİS ADI KULLACAK PROTOKOL PORT NUMARASI Web Servis(WWW) HTTP 80 (Standart olan) Web Servisi(Güvenli) HTTPS 443 (SSL devreye giriyor) 11

11 12 Örnek web sitesi adresleri; bu internet sitesinde veri iletişimi gizli ve güvenli değildir. Çünkü standart, güvenli olmayan http protokol yapısı kullanılmaktadır. İstemci Hizmeti talep eder İstemci Sunucu istenilen hizmeti kesintisiz sunar Kullanıcı İnternet tarayıcısına yazarak Web servis isteğini gönderir.istemci sayfayı başarılı bir şekilde açtı Google web sunucuları bu istenilen talebi http protokolü ile 80. Port numrası üzerinden yerine getirdi ve sayfa istemciye ulaştı 12

12 13 bu internet sitesinde tüm veri iletişimi güvenli ve şifrelemeli bir şekilde yani SSL kullanılarak yapılmaktadır. Bu yapı için https protocol yapısı kullanılmaktadır. Hatırlatma : http protololü standartta 80 nolu portu kullanır https protokolü standartta 443 nolu portu kullanır. İstemci Hizmeti talep eder İstemci Sunucu istenilen hizmeti kesintisiz sunar Kullanıcı İnternet tarayıcısına yazarak Güvenli Web servis isteğini gönderir. İstemci Bankanın sayfasını güvenli protokol aracılığıyla başarılı bir şekilde açtı Banka Web Sunucuları Banka web sunucuları bu istenilen talebi https protokolü ile 443. Port numrası üzerinden yerine getirdi ve sayfa istemciye ulaştı 13

13 Sertifika Otoritesi (Certification Authority) nedir? SSL sertifikası nedir? Sertifika otoritesi, e-ticaret vb. alanlarda faaliyet gösteren, şirketlere ve ya satıcılara refarans olan uluslararası kabul görmüş firmalardır. Yani bu sertifika otoritesinin herhangi bir satış şirketinin web sitesine referans olması demek, bu satış şirketinin web sitesinin, güvenilir bir ticaret yaptığının kabul görmüş olması demektir. Sertifika otoritesi rolünde olan şirketler, uluslararası oranizasyonlarca onaylanmış, güçlü yapılardır. E-ticaret alanında ciddi anlamda önem teşkil eder. Bazı bilinen Sertifika Otoriteleri VeriSign ( ) Global sign ( ) Türk Trust ( ) Comodo ( ) Peki bu işleyiş nasıldır? Siz bir alım-satım yapan bir firma kurdunuz. Ayrıca web üzerinden de satış yapmak durmundasınız. Tabiki kullanıcıların sizin web sitesi üzerinden kredi kartları ile satın almalar yapması gerekecek. Burda önemli olan kredi kartı bilgilerin sizin sunucunuza güvenli bir şekilde ulaşması, yani şifreleme sistemine ihtiyaç duyulması gerekiyor. İşte bu noktada sizin bir SSL sertifikasına ihtiyacanız olacak. SSL sertifikası web üzerinde ticari faaliyette bulunan kurumların web sitelerinin internet ortamındaki bir nevi kimliğidir. Bu SSL sertifikası ne işe yarayacak; 1.Sizin güvenli bir satıcı olduğunuzu müşteriye sunacak, 2.Verilerin şifrelemesi için müşteri ile sizin web siteniz arasında güvenli bir iletişim sağlanacak. SSL Sertifikası içeriği. 1.Sertifika sahibinin kimliği (Yani satıcının kimliği) 2.Sertifika sahinin Public Key bilgileri 3.Sertifika Otoritesinin kimliği (VeriSign, Global Sign vb.) 4.Sertifikanın kullanım süresi veya geçerlilik süresi 14

14 15 Bir SSL sertifikası gerekliliğinden bahsetmiştik.peki bu SSL sertifikasını nerden, nasıl temin ederiz. İşte bu noktada bizlere Sertifika Otoriteleri yardımcı olacak. Varsayalım, bu konu için biz Global Sign şirketine başvurduk. Onlara web sitesi üzerinden e-ticaret yapacağımızı ve bir adet SSL sertifikasına ihtiyacımız olduğunu belirttik. Global Sign firması öncelikle bizden ticari faaliyet belgelerimizi ve buna benzer güvenlik gereği bir takım belgeler isteyecek ve bizlerden 1 haftalık bir zaman isteyecek (Bu tarih gerekli devlet, vb. mercilerin geri dönüşleri ile paralel bir süreçtir). Bu zaman aralığında firmamız hakkında gerekli mercilerden ticari faaliyetemize ait bir takım araştırmalar yapılacak. Global Sign firmasının bu şekilde sıkı araştırma yapmasının nedeni, yukarıdaki satırlarda da belirttiğimiz gibi, sonuçta şirketimize referans olacak, dolayısıyla referans olunacak firmayıda doğal olarak iyi araştırması ve doğrulaması gerekir. Burada bir konu üzerinde özellikle drulması gerek. Bazı SSL sertifika sağlayıcılar 1 yıllık SSL sertifikasını 50 $ gibi fiyatlara temin ederken, bir VeriSign veya Global Sign gibi firmalar 300 $ dan başlayan fiyatlara temin ediyor. Ayrıca ucuza SSL temin eden firmalar sipariş ettiğiniz gün veya sonraki gün SSL sertifikanızı temin ediyor.( VeriSign veya Global Sign gibi firmalar 1 hafta lık süreçlerden sonra temin ediyor) Burada aslında güvenlik konusunda pekte fark yok. Şifreleme yapısı olsun, işleyiş olsun,teknik anlamda herşey birbirine çok yakın. Ama fark, biryerde SSL sertifikası sağlayan, dünya çapında iyi bir yere sahip bir refrans firma, diğer tarafta sadece SSL sertifikası sağlayan bir firma söz konusu. 15

15 16 Halk banksına yapılan bir bağlantıyı simüle edelim. VeriSign Halkbankasının güvenilirliğine referans olup, SSL sertifikasını önceden Halk bankası web sitesine konumlandırmıştı. VeriSign Certification Authority İstemci Hizmeti talep eder İstemci Sunucu SSL sertifikasını gönderir İstemci Kimlik doğrulamasını yapar ve iletişim başlar Halk Bankası Web Sunucuları İstemci sunucu arasında SSL sertifikalı bir iletişim mevcut, buda bildiğimiz simetrik/asimetrik şifreleme, dijital imza ve veri bütünlüğü bileşenlerinin olduğu anlamına geliyor. Bu kimlik doğrulama, şifreleme gibi durumları önceden ele almıştık. Bu konular içerisinde söz ettiğimiz PublicKey, SSL sertifikasında mevcuttur, aradaki tek fark budur. Yani gönderici sunucuya bir veri gönderirken sunucunun SSL sertifikasını (herkese açık olan) elde eder.bu SSL sertifikasındaki Public Key i veriyi şifrelemede kullanır.bu tip işleyişi i zaten biliyoruz.ssl sertifikası ek olarak, e-ticaret yapan kurmun kimliği, i, sertfika geçerlilik tarihi,sertifika sağlayıcı ve kurumun PublicKey i bilgilerini barındırır. 16

16 17 Örnek Giriş: SSL İle Şifreleme Yapılır İstemci Sayfanın sol üst tarafındaa, Tükiye Halk Bankası yazısı yeşil il renkli olduğuna oldu dikkat edin.bu demektir sayfanın gereken kimlik doğrulaması do yapılmışş ve güvenli iletişimi ileti sağlanmış. Örnek bir SSL sertifikası (Kime tahsis edildiği,geçerlilik i,geçerlilik süresi,ne amaçla verildiği) verildi 17

17 D Secure Nedir? Dünyanın en büyük finanasal şirketlerinden biri olan Visa Inc. tarafından geliştirilen bir güvenlik platformudur. Kredi kartı ile yapılan alım-satım işlemlerinde alıcıya artı güvenlik, satıcıyada daha az sorumluluk düşmesi gibi avantajlar sağlamaktadır. Bu sistem, çeşitli kredi kartı firmaları tarafından kabul edilip,farklı isimler ile piyasada bulunmaktadırlar. Bunların başlıcaları, Visa Kartlarında (Amerikan firması) Master Kartlarda (Amerikan firması) JCB International (Japon firması) American Express (Amerikan firması) :Verified by Visa : Secure Code : J/Secure : Safe Key Adlarını kullanmaktadırlar. Örnek 3-D Secure Sayfaları. 18

18 D Secure sistemine neden ihtiyaç duyulur? Günümüz E-ticaret alanında alıcılar internet üzerinden rahatlıkla güvenli bir şekilde alış verişlerini yapabilmektedir. Bir SSL sistemi ile alıcı bilgileri, satıcıya güvenle ulaşmakta ve hatta çoğu satıcılar, kabul görmüş otoriteler tarafından onaylanmış durumdadır. Ama bir durum varki, oda herhangi bir kredi kartı sahibinin kartının ve ya kart bilgilerinin çalınması vb. durumlarda, kişi adına bir çok alış veriş vb ticari işlemlerin yapılması riski mevcuttur. Hatta malesef kredi kartı kullanıcıları arasında da kötü niyetli kişiler olup, çeşitli alış verişler yapıp, kredi kartının kaybolduğu ve ya bu tip alımları yapmadığına dair itirazlar edebiliyor. Buda satıcının ve ya bankanın para iade sorumluğu gibi risk konularını gündeme getiriyor. Görüldüğü gibi her iki tarafta mağdur ya da yasal sorumlu olabiliyor. Not: 3D-Secure yapısının işlemesi için, kredi kartı sahibinin bu sistem üzerine kaydını bankaya yaptırmış olması gerekir. Aynı şekilde satıcı tarafındada 3-D Secure platformunu için gerekli banka anlaşması ve web sitesine uygun sistemlerin entegrasyonu gerekecektir D Secure Yapı Çeşitleri Not: Bu yapıları açıklarken satıcının ve kart sahibinin tüm 3-D Secure şartlarını sağladığını varsayıyoruz. 3D Modeli Bu modelde müşteri, satıcı firmanın sitesinden satınalma işlemini gerçekleştirdiği sırada, keredi katı bilgilerini girer ve onaylar (Buraya kadar bilgiler satıcıya ulaştırıldı).satıcı web sitesi, müşteriyi (alıcıyı) bankanın 3-D Secure sayfasına yönlendirir. Müşteri gereken bilgileri bu 1. Ekrana girer ve banka tarafından, belirttiği cep telefonuna geçici bir kod gönderilir. 19

19 20 Müşeri bu kodu tekrardan açılan bu 2. Ekrana yazar. Sonrasında gerekli 3-D Secure onaylama süreçleri bitmiş olur.banka, müşteriyi tekrardan satıcının sayfasına yönlendirir.satıcı artık çekimi yapabilir durumdadır ve yapar.bu modelde satıcının sitesi için SSL sertifikası gereklidir. Bunu birde Şekil ile ifade edelim 1.Durum:Müşteri Kart Bilgilerini Satıcıya Gönderir 2.Durum:Satıcı müşteriyi,aldığı bilgiler ile bankanın 3D-Secure sayfasına yönlendirir. Müşteri 6.Durum:Satıcı satın alma işlemlerini onaylar ve çekimini yapar.satın alma işlemi tamamlanır. Satıcı 5.Durum:Banka gerekli onaylamaları yaparak müşteriyi satıcının sitesine geri yönlendirir. Banka 3.Durum: Banka müşterinin cep telefonuna bir doğrulama kodu gönderir 4.Durum:Müşteri doğrulama kodunu bankanın 3-D Secure sayfasına girer ve onaylar 20

20 21 3-D Pay Modeli: Bu modelde çekim işlemini satıcı değil, banka yapar.müşteri, satıcı firmanın sitesinden satınalma işlemini gerçekleştirdiği i sırada, keredi katı bilgilerini girer onaylar (Buraya kadar bilgiler satıcıya ulaştırıldı).satıcı bu bigiler ile müşteriyi bankanın sitesine yönlendirir.banka gereken 3-D Secure doğrulamalarını müşteri ile yaptıktan sonra, gerekli çekimi banka yapar (satıcının yapmasına gerek kalmaz.) Bu modelde de satıcının sitesi için SSL sertifikası gereklidir. 1.Durum:Müşteri Kart Bilgilerini Satıcıya Gönderir 2.Durum:Satıcı, müşteriyi,aldığı bilgiler ile bankanın 3D-Secure sayfasına yönlendirir. Müşteri 6.Durum:Satıcı bankadan aldığı sonuçları müşteriye sunar. Satıcı 5.Durum:Banka gerekli onaylamaları yaparak tahsilatı kendisi yapar ve bu bilgiler satıcının sitesine iletilir 3.Durum: Banka müşterinin cep telefonuna bir doğrulama kodu gönderir Banka 4.Durum:Müşteri doğrulama kodunu bankanın 3-D Secure sayfasına girer ve onaylar 3-D Secure Oos Pay: Bu modelde tahsilat konusunda satıcı hiç bir şekilde sorumluluk almaz.satıcı müşteriye ait hiç bir kart bilgisi almaz.müşteri satın alma aşamasına geldiğinde,direkt direkt bankaya ait sayfaya yönlendirilir,satın alınacak ürün bilgisi, fiyat vb bilgiler, banklaya ait bu sayfada görüntülenir.müşteri ilk defa burada kart bilgilerini girer.gerekli 3-D Secure doğrulamaları yapıldıktan sonra, banka tahsilat işlemini gerçekleştirir.tüm sonuçları satıcının sitesine gönderilir. 21

21 22 1.Durum:Müşteri sadece,satıcının sitesinden ürününü seçer 2.Durum:Satıcı, müşteriyi seçtiği ürün bilgileri ile (fiyat vb.) banka sitesine yönlendirir.müşteri ilk defa burada kart bilgilerini verir. Müşteri 6.Durum:Satıcı bankadan aldığı sonuçları müşteriye sunar. Satıcı 5.Durum:Banka gerekli onaylamaları yaparak tahsilatı kendisi yapar ve tüm sonuçları satıcının sitesine iletir. Banka 3.Durum: Banka müşterinin cep telefonuna bir doğrulama kodu gönderir 4.Durum:Müşteri doğrulama kodunu bankanın 3-D Secure sayfasına girer ve onaylar Bu modelde satıcının sitesi için SSL sertifikasına gerek yoktur. 22

22 23 KAYNAKLAR [1] TAŞKAZAN, Feyza, (2003), PKI Nedir? Orta Doğu Teknik Üniversitesi Bilgi Servisi Bülteni, Erişim Tarihi: [2] Windows Servers Articles (2003), Overview of SSL\TLS Encryption Microsoft Technet, Erişim Tarihi: [3] GÜNYERİ,Esma, (2012) Sertifika-Sertifika Oluşturma-Sertifika Türleri Ulusal Bilgi Güvenliği Kapısı, Erişim Tarihi: [4] ÖNAL,Hüzeyfe, SSL Kullanımı, Sayısal Sertifika,İmza İşleri Ulusal Akademik Ağ ve Bilim Merkezi, Erişim Tarihi: [5] KUŞÇU,Hilmi,. E-ticaret Dersi Bartın Üniversitesi, Erişim Tarihi: [6] KAŞKALOĞLU,Kerem, Geçmişten Günümüze Kriptoloji:Şifrelerin Bilimi Atılım Üniversitesi, Erişim Tarihi: [7] Erişim Tarihi: [8] Erişim Tarihi: [9] KAYA,Ferudun (2009) Türkiye de Kredi Kartı Uygulaması Türkiye Bankalar Birliği Erişim Tarihi: