SSL pinning, bir güvenlik önlemi sistemi olarak bilinmektedir. Certificate Pinning olarak da adı geçen bu yöntem sayesinde olası siber saldırılarının önüne geçilmektedir. Uygulamaların en önemli ihtiyaçlarından biri verilerin sunucuya gönderilip alınırken güvenli bir şekilde gönderilmesidir. SSL pinning yöntemleri ile veriler daha fazla korunabilmektedir. Çoğu internet kullanıcısı SSL pinning hakkında daha fazla bilgiye ulaşmak için birtakım araştırmalar yapmaktadır.
SSL pinning yöntemi, uygulamalarda veya web sitelerde bulunan sertifikaların güvenliğini daha da arttıran bir yöntemdir. Bir uygulamada bir sertifika otoritesine güvenmeyi veya bir DNS adına bağımlı olmayı çözen, aynı zamanda PKI ortamında anahtar değişimi ihtiyacını ortadan kaldıran güvenlik tekniğine verilen isimdir. SSL pinning için iki yöntem bulunmaktadır. Bu yöntemler aşağıdaki gibidir:
Sertifika Sabitleme: Bu yöntemde geliştirici SSL sertifikasının bazı bayt kodları uygulama koduna kodlanır. Uygulama sunucu ile bağlantı kurduktan sonra sertifika kontrolüne geçilir. Burada önemli olan aynı bayt kodunun bulunup bulunmadığının tespit edilmesidir. Eğer bayt kodu eşleşmez ise SSL sertifikası hatası ortaya çıkar. Bu yöntem sayesinde saldırganlar kendi imzasını taşıyan sertifikasını kullanma şansı bulamaz.
Public Key(Genel Anahtar) Sabitleme: Bu yöntemde bir müşteri bir web sitesine tıkladığında, sunucu public key değerini müşterinin tarayıcısına sabitlemektedir. Müşteri daha sonra aynı web sitesine tekrar giriş yaparak, sunucu bağlantının bütünlüğünü kontrol etme şansı bulur. Bunun için de public keyi tanımlamaktadır.
Herhangi bir uygulama bir sunucu ile iletişim kurmaya çalıştığında hangi sertifikanın güvenli olup olmadığını bilememektedir. Güvenli olmayan sunucular ile iletişim kurmak uygulamaların veya web sitelerin verilerinin başkalarının eline geçmesine sebep olabilmektedir. SSL pinning yöntemleri sayesinde sunucu ve müşteri arasında güvenli bir bağlantı kurulmaktadır. Bazı durumlarda siber saldırganları kendinden imzalı bir sertifika oluşturabilir veya sertifikaları hackleyebilir. Bu şekilde müşteri ve sunucunun arasına yerleşerek bunlardan birinin kimliğini kullanabilir.
Hem müşteri hem de sunucu karşılarında konuştukları kişilerin güvenli olduklarını düşünse de karşılarındaki kişiler saldırganlar olabilmektedir. Bu saldırı yöntemine ortadaki adam saldırısı denmektedir. SSL pinning yöntemleri sayesinde önceden belirlenen anahtar ve sertifikalar sabitlenmektedir. Böylelikle anahtar ve sertifikalara gerekli güven sağlanmaktadır.