- <p>When visiting an encrypted URL (one that begins with HTTPS), the webserver uses an SSL certificate to both encrypt the information sent to the browser and to identify the server.
- The purpose of the server identification is to prevent a machine located between the browser and the webserver from pretending to be the server and decrypting the information in transit.
- This type of attack is known as a Man In The Middle (MITM) attack. SSL certificates are generated by certificate authorities: companies that verify a server’s identity and produce a certificate for a fee.
- Android has a list of trusted certificate authorities, and will accept any of their certificates for any website.
- It isn’t supposed to be possible for an organization to acquire an SSL certificate for a domain they do not control, but in practice many governments and large corporations have been able to do so.</p>
+ <p>Şifrelenmiş bir URL'yi (HTTPS ile başlayan) ziyaret ederken, web sunucusu hem tarayıcıya gönderilen bilgileri şifrelemek hem de sunucuyu tanımlamak için bir SSL sertifikası kullanır.
+ Sunucu tanımlamasının amacı, tarayıcı ile web sunucusu arasında konumlanan bir makinenin, sunucu gibi davranmasını ve nakledilen bilgilerin şifresini çözmesini önlemektir.
+ Bu saldırı türü Man In The Middle (Ortadaki Adam, MITM) saldırısı olarak bilinir.
+ SSL sertifikaları, sertifika otoriteleri tarafından oluşturulur, bu otoriteler, bir sunucunun kimliğini doğrulayan ve bir ücret karşılığında sertifika üreten şirketler topluluğudur.
+ Android, güvenilir sertifika otoritelerinin bir listesine sahiptir, ve herhangi bir web sitesi için bu sertifikalardan herhangi birini kabul edecektir.
+ Normal koşullarda, bir kuruluşun kontrol edemediği bir domain için SSL sertifikası alması mümkün değildir,
+ fakat gerçekte, birçok hükümet ve büyük şirket bunu rahatlıkla yapabilir.</p>