Engin Bey, cevabını zaten bildiğiniz bir soruyu sorma da ki amacınız, muhtemelen yanlış ya da fazla iddali söylenen bir cümleye açıklık getirilmesi arzunuzdur. Bu arzunuzu gidermek ve bilgi paylaşımı adına, kendi dağarcığımı sizlerle paylaşmayı uygun gördüm.

SSL : Secure Socket Layer (Güvenli Giriş Katmanı) protokolü, 2 nokta arasındaki veri alışverişinin şifreli olarak yapılmasına olanak tanır. Bir site benim SSL sertifika anahtarım XYZ, buna göre bilgilerini gönder ben XYZ anahtarım ile açarım diyerek sizin browserınızdan bilgiyı XYZ göre şifreleyerek ister. Bu sırada 2 nokta arasında, herhangi bir uğrak notada yada alanda (wifi) olan 3. bir nokta bu haberleşme verisini elde ederse, göreceği veri XYZ göre şifrelnemiş bir veri olur ve sadece XYZ sertifikasına sahip site/sunucu tarafından açılabilecek bir veri olduğundan kullanılamaz.

Buraya kadar ki kısım -yanlış bilmiyorsam- SSL standart çalışma mantığıdır. Söz konusu 3. nokta da durma ve sisteme saldırma işlemi ise, litaratürde "Man-in-the-middle attack" olarak geçer. Söz konusu durumda 3. noktada olabilmek "çok basit" midir?

Alışveriş yapılan sitede, SSL olsa dahi karşı taraf kötü niyetli ise, ödeme işleminde sizin CC bilginizi loglayıp, sonrasında VPOS/SanalPOS sunucusuna gönderiyor olamaz mı?

Arada ki 3. nokta, kendisine ait bir trusted SSL ile sizin veri alışverişini şifreleyerek size geri ulaştıramaz mı? Buda benden 10 puanlık uzmanlık sorusu