Dijital işlemlerin ve iletişimin günlük yaşamın bir parçası olduğu bir dünyada, güvenlik en önemli endişedir. Bu güvenlik paradigmasının hayati yönlerinden biri, internet üzerinden güvenli bir iletişim ortamı sağlamaktan sorumlu bir protokol olan Aktarım Katmanı Transport Layer Security’dir (TLS). 

Peki TLS tam olarak nedir ve nasıl çalışır?

TLS Nedir?

Transport Layer Security (TLS) yani Aktarım Katmanı Güvenliği, internet üzerinden iletişim için kimlik doğrulama, gizlilik ve veri bütünlüğü sağlayan bir Internet Engineering Task Force (IETF) standart protokolüdür. Bu protokol 1999’da yayınlanmıştır ve en son sürümü 2018’deki TLS 1.3’tür. TLS’nin günlük kullanım durumu, iki sistem arasındaki iletişimi şifrelemektir. TLS kritiktir çünkü bir bağlantıdaki diğer tarafın söyledikleri kişi olmasını sağlar, verilerin bütünlüğünü koruyup korumadığını gösterir ve şifreleme yoluyla bir düzeyde gizlilik sağlar. TLS, bu amaçları gerçekleştirmek için bir dizi farklı algoritma ve yöntem kullanır. Bugün kullanımda olan en çok benimsenen ve dağıtılan güvenlik protokolüdür. Hypertext transfer protocol secure (HTTPS) aracılığıyla ağ üzerinden güvenli bir şekilde veri alışverişi yapılmasını gerektiren web tarayıcıları ve diğer uygulamalar için en uygun olanıdır. TLS, e-posta ve diğer protokolleri de güvence altına alabilir.

TLS Neden Önemlidir?

TLS önemli olmasının nedeni, dijital alanda dolaşırken bilgilerin güvenliğini sağlama yeteneğinden kaynaklanır. İster bir e-posta gönderiyor, ister çevrimiçi bir satın alma işlemi yapıyor veya bir sosyal medya hesabına giriş yapıyor olun, ilettiğiniz hassas veriler siber tehditlere karşı savunmasızdır. TLS, bilgilerin yalnızca hedeflenen alıcı tarafından erişilebilir olmasını sağlayarak bu risklerin azaltılmasına yardımcı olur.

TLS Nasıl Çalışır?

Kaynak: cheapsslshop

TLS’nin çalışması iki temel mekanizmaya ayrılabilir: TLS Handshake Protokolü ve TLS Kayıt Protokolü.

1. TLS Handshake Protokolü

Gerçek veri iletiminden önce, istemci ve sunucunun öncelikle kullanılacak şifreleme yöntemleri ve bütünlük kontrolleri üzerinde anlaşması gerekir. Bu, TLS Handshake Protokolü tarafından kolaylaştırılır.

  • İstemci, TLS sürümünü, desteklenen şifre paketlerinin listesini (şifreleme yöntemleri) ve “rastgele istemci” olarak bilinen rastgele bir bayt dizisini içeren bir “ClientHello” mesajı gönderir.
  • Sunucu, hem istemcinin hem de sunucunun desteklediği en yüksek TLS sürümünü ve en iyi şifre paketini seçerek bir “ServerHello” mesajıyla yanıt verir. Aynı zamanda kendi “rastgele sunucusunu” oluşturur.
  • Sunucu, genel anahtarını ve sertifikanın sahibi ve vereni hakkında bilgileri içeren dijital sertifikasını gönderir. Sunucu, karşılıklı kimlik doğrulama için müşterinin sertifikasını da isteyebilir.
  • İstemci, sunucunun sertifikasını doğrular ve sunucunun ortak anahtarını kullanarak “premaster secret” olarak bilinen yeni bir rastgele diziyi şifreler ve sunucuya gönderir.
  • Hem istemci hem de sunucu, paylaşılan bir “master secret” oluşturmak için “client random”, “server random” ve “premaster secret” kullanır.
  • “Master secret” daha sonra yaklaşan güvenli oturum için şifreleme anahtarları oluşturmak üzere kullanılır.

2. TLS Kayıt Protokolü

Handshake işlemi tamamlandıktan sonra, istemci ve sunucu “master secret”dan elde edilen simetrik anahtarla şifrelenmiş mesajları değiş tokuş eder. Bu süreç, aktarım sırasında verilerin kurcalanmamasını da sağlayan TLS Kayıt Protokolü tarafından denetlenir.

TLS Sürümleri

Kaynak: aboutssl

Başlangıcından bu yana, her biri güvenlik açıklarını ele alan ve gelişmiş güvenlik özellikleri sunan çeşitli TLS sürümleri yayınlandı. Bugün itibariyle en son sürüm, daha hızlı bağlantılar ve gelişmiş güvenlik dahil olmak üzere önceki sürümlere göre önemli iyileştirmeler sağlayan TLS 1.3’tür.

1. TLS 1.0

1999 yılında SSL 3.0’a yükseltme olarak piyasaya sürülen TLS 1.0, Internet Engineering Task Force (IETF) tarafından geliştirilmiştir. Yükseltmeye rağmen, SSL 3.0 ile birçok benzerliği paylaştı, bu da ne yazık ki bazı güvenlik açıkları taşıdığı anlamına geliyordu. Zamanla, TLS 1.0’da birkaç güvenlik açığı tespit edildi ve bu da 2021’de IETF tarafından resmi olarak kullanımdan kaldırılmasına yol açtı.

2. TLS 1.1

2006’da yayınlanan TLS 1.1, selefine göre çeşitli güvenlik iyileştirmeleri getirdi. Şifre bloğu zincirleme (CBC) saldırılarına karşı koruma ekledi ve belirli saldırı sınıflarına direnmek için başlatma vektörlerinin daha iyi işlenmesini dahil etti. Bu geliştirmelere rağmen, TLS 1.1 yaygın olarak benimsenmedi ve birkaç kuruluş bu sürümü atlayarak doğrudan TLS 1.0’dan TLS 1.2’ye geçti.

3. TLS 1.2

2008’de piyasaya sürülen TLS 1.2, protokolün en yaygın şekilde benimsenen sürümüdür. TLS 1.2, giderek daha savunmasız hale gelen MD5 ve SHA-1’e dayanan önceki sürümlerin aksine, SHA-256 gibi daha güçlü hash işlevlerini kullanma esnekliği de sağlamaktadır.

4. TLS 1.3

Ağustos 2018’de yayınlanan TLS 1.3, 2021’deki en güncel sürümdür. Protokolde önemli bir revizyona işaret eder ve birkaç önemli iyileştirme içerir:

  • Azaltılmış Gecikme: Önceki sürümlerden farklı olarak, bir TLS 1.3 anlaşması yalnızca bir gidiş-dönüş gerektirir, dolayısıyla bağlantı kurma süresini kısaltır. Tekrarlanan bağlantılar için süreci daha da hızlandıran bir “sıfır gidiş-dönüş” modu da vardır.
  • Gelişmiş Güvenlik: TLS 1.3, daha eski, güvenli olmayan kriptografik özellikler için desteği kaldırarak potansiyel saldırı yüzeyini azaltır. İletim gizliliğini zorunlu kılar, yani bir oturumun anahtarı ele geçirilse bile geçmiş oturumların şifresini çözmek için kullanılamaz.
  • Basitleştirilmiş Protokol: TLS 1.3’teki seçeneklerin ve özelliklerin sayısı azaltılmıştır, bu da uygulamayı basitleştirir ve hataların kapsamını sınırlar.

TLS 1.3’ün benimsenmesi, web tarayıcıları, web sunucuları ve diğer ağ yazılımlarının desteğini kademeli olarak güncellemesiyle piyasaya sunulduğundan beri artmaktadır.

TLS 1.2 ile TLS 1.3 Arasındaki Temel Farklar

TLS 1.3’ün temel avantajlarından bazıları, gelişmiş performans ve verimlilik, daha sağlam güvenlik ve daha güçlü şifre paketleri içerir.

1. Daha iyi performans

TLS 1.2 ve TLS 1.3, ikincisinin çok daha hızlı bir el sıkışma sürecine sahip olması bakımından farklılık gösterir. Handshake yani el sıkışma, bir istemci ile sunucu arasında güvenli bir bağlantı kurulmasına yardımcı olan bir dizi doğrulama ve kimlik doğrulama adımını içerir. TLS 1.3, istemci ve sunucu arasında yalnızca bir gidiş-dönüş gerektirir, bu da daha hızlı ve daha duyarlı HTTPS bağlantılarını azaltır.

2. Kusursuz İletme Gizliliği

TLS 1.3’ün selefinden daha güvenli olmasının en önemli nedenlerinden biri mükemmel iletme gizliliğidir. TLS protokolünün önceki sürümleri iletme gizliliği içeriyordu, ancak bu zorunlu değildi. En son sürümle birlikte, iletme gizliliği artık varsayılan olarak gereklidir.

Mükemmel iletme gizliliği, anahtar değişimi için her yeni oturum için benzersiz bir oturum anahtarı oluşturan Diffie-Hellman Ephemeral algoritmasını kullanır. Mükemmel gizlilik, her oturum için şifreleme anahtarlarını değiştirerek, bir oturum anahtarının güvenliği ihlal edildiğinde saldırı yüzeyini sınırlar ve kaba kuvvet ve ortadaki adam saldırılarına karşı daha iyi direnç sağlar.

3. Daha Güçlü Şifre Paketleri

İnternet üzerinden güvenli iletişim için SSL/TLS protokolleri, kimlik doğrulama, şifreleme ve mesaj kimlik doğrulama kodu algoritmalarının bir kombinasyonu olan bir veya daha fazla şifre paketi kullanır. TLS sürüm 1.2, bilinen kriptografik zayıflıkları olan şifreler için destek içeriyordu. Alternatif olarak TLS 1.3, yalnızca şu anda bilinen güvenlik açıkları olmayan algoritmaları ve şifreleri destekleyen basit bir şifre paketi kullanır.

HTTP ve HTTPS Nedir?

Kaynak: snobmonkey

HTTP (Hypertext Transfer Protocol), web üzerinde veri aktarmak için kullanılan protokoldür. HTTPS (Hypertext Transfer Protocol Secure), verileri şifrelemek için SSL veya TLS kullanan güvenli bir HTTP sürümüdür. HTTP ve HTTPS, verileri aktarmak için aynı yöntemleri kullanır, ancak şifreleme kullandığı için HTTPS daha güvenlidir.

HTTP güvenli olmadığı için, ortadaki adam saldırıları ve gizli dinleme gibi saldırılara karşı daha savunmasızdır. SSL ve TLS, daha güvenli bir bağlantı oluşturmak için HTTP ile birlikte kullanılabilir. HTTPS, verileri şifrelemek için SSL veya TLS kullanan güvenli bir HTTP sürümüdür. Veriler şifrelendiğinde, müdahale edebilecek herhangi biri tarafından okunmasına karşı korunur. Bu, bilgisayar korsanlarının hassas bilgilere erişmesini zorlaştırır.

TLS Protokolünü Kullanmalı mıyım?

TLS protokolünü kullanmazsanız, 3. kişiler aktarım sırasında hassas bilgileri okuyabilir. Yani tüm kullanıcı adlarınız, şifreleriniz, kredi kartı bilgileriniz ve daha fazlası cihazınızdan sunucuya gidip geri dönerken risk altında olur.

Web sitenizin ziyaretçilerini korumakla ilgileniyorsanız, TLS protokollerini kullanmak hem makul hem de basittir. Ancak TLS birkaç kusurla birlikte gelir.

TLS, uzun süredir bir bilgisayar korsanının bir sunucu ile bir cihaz arasında olduğu “ortadaki adam” saldırılarıyla ilişkilendirilmiştir. Temel olarak, bu, bir bilgisayar korsanının el sıkışmasını devraldığı ve iki tarafı TLS’nin daha az güvenli bir sürümü üzerinde anlaşmaya zorladığı anlamına gelir. Bu tamamlandığında, bilgisayar korsanı eski sürümdeki güvenlik açıklarından yararlanabilir ve konuşmayı devralabilir. Daha yeni TLS protokolleri bu tür bir manevraya izin vermez. 

TLS ile SSL Arasındaki Farklar ve Benzerlikler

Aynı hedefi gerçekleştirmek için oluşturulmuş olsalar da, SSL ve TLS arasında bazı önemli farklar vardır. Bunlar aşağıdaki şekildedir:

1. Şifre Paketleri

Ana farklılıklardan biri, her protokolün kullandığı şifre paketleridir. Şifre paketleri, verileri şifrelemek için kullanılan bir dizi algoritmadır. SSL, TLS’den farklı bir şifre paketleri seti kullanır. TLS, özellikle TLS sürüm 1.3, kullanılan şifreleme algoritmalarında mükemmel iletme gizliliği gibi bazı geliştirmeler de sunar.

2. Uyarı Mesajları

Diğer bir fark, uyarı mesajlarının işlenme şeklidir. Uyarı mesajları, hata durumlarını ve uyarı mesajlarını iletmek için kullanılır. SSL’de uyarı mesajları şifrelenmez, yani onları engelleyen herkes tarafından okunabilir. TLS’de uyarı mesajları şifrelenir, böylece sadece iletişime dahil olan taraflarca okunabilir.

3. Kayıt Protokolü

Kayıt protokolü, değiş tokuş edilecek verilerin kapsüllenmesinden sorumludur. SSL ve TLS farklı kayıt protokolleri kullanır. SSL, Netscape tarafından geliştirilen tescilli bir protokol olan SSL kayıt protokolünü kullanır. TLS, IETF tarafından geliştirilen standartlaştırılmış bir protokol olan TLS kayıt protokolünü kullanır.

4. Handshake Süreci

Handshake işlemi, iki taraf arasında güvenli bir iletişim kanalı oluşturur. Anlaşma süreci SSL ve TLS için farklıdır. SSL’de handshake işlemi “tam handshake” ve “kısaltılmış handshake” olmak üzere iki adımda tamamlanır. TLS’de handshake işlemi, “tam handshake” olarak bilinen tek adımda tamamlanır.

5. Mesaj Kimlik Doğrulaması

İleti kimlik doğrulaması, alınan verilerin gönderilen verilerle aynı olduğunu doğrulama işlemidir. SSL ve TLS, farklı mesaj doğrulama algoritmaları kullanır. SSL, MD5 algoritmasını kullanırken TLS, SHA-256 algoritmasını kullanır. Algoritmalar arasındaki fark, MD5’in çarpışma saldırılarına karşı savunmasız olması, SHA-256’nın ise savunmasız olmasıdır.

Neden Bir SSL/TLS Sertifikasına İhtiyacınız Var?

SSL veya TLS sertifikası, hem istemci hem de sunucu tarafından görülen bilgilerin güvende kalmasını sağlamanın bir yoludur. Bu, işletmeler için önemlidir, çünkü müşteriler bu sayede şirkete bilgilerini gizli tutma konusunda güvenebilir. Bu güven, müşteri memnuniyetini ve bağlılığını artırabilir ve çalışanların şirkete bağlı kalmasını sağlayabilir.

Ayrıca web sitesi sahipleri için çok önemlidir, çünkü yüksek maliyetli yasal ücretlerden ve zararlardan kaçınmalarına yardımcı olabilir. SSL ve TLS sertifikaları, bir web sitesi ile kullanıcının web tarayıcısı arasında güvenli bir bağlantı oluşturur. Bu bağlantı önemlidir, çünkü bu, ikisi arasında değiş tokuş edilen verilerin şifrelendiği ve onu ele geçirebilecek herhangi biri tarafından okunmasına karşı korunduğu anlamına gelir. Güvenlik olmadan, bir web sitesi siber saldırılara karşı savunmasız kalır. Bu siber saldırılar, veri ihlallerine veya veri hırsızlığına yol açarak şirkete karşı yasal işlem yapılmasına neden olabilir.

Bu sertifikalar bireyler için de önemlidir çünkü bu, çevrimiçi olduklarında kişisel bilgilerinin korunacağı anlamına gelir. İnterneti kullanan kişiler genellikle adları, adresleri ve kredi kartı numaraları gibi hassas bilgileri paylaşırlar. Bu bilgiler, sahip olmaması gereken biri tarafından ele geçirilirse, kimlik hırsızlığı veya dolandırıcılık için kullanılabilir. İnsanlar, güvenli bir bağlantı kullanarak kendilerini bu tür siber saldırılardan korumaya yardımcı olabilir.