TLS (Transport Layer Security), bir bilgisayar ağı üzerinden iletişimi güvenli hale getirmek için kullanılan bir protokoldür. Temel olarak bir istemci (web tarayıcısı gibi) ve sunucu (web sitesi gibi) olmak üzere iki taraf arasında şifreli bir bağlantı kurarak güvenli iletişim sağlar.

TLS, 3. şahısların iletilen verilere müdahale etmesini ve erişmesini engellediğinden oturum açma kimlik bilgileri ve finansal işlemler gibi hassas bilgileri korumak için kullanılır. İnternette web sitelerinin, e-posta’ların ve diğer çevrimiçi iletişim türlerinin güvenliğini sağlamak için de yaygın olarak tercih edilir.

TLS, açık anahtarlı şifreleme ve simetrik anahtarlı şifrelemenin bir kombinasyonunu kullanarak çalışır. İstemci bir sunucuyla bağlantı kurduğunda, sunucu istemciye, istemcinin sunucunun kimliğini doğrulamak için kullandığı ortak anahtarını gönderir. İstemci daha sonra sunucunun genel anahtarı kullanılarak şifrelenen ve sunucuya geri gönderilen benzersiz bir oturum anahtarı oluşturur. Sunucu, oturum anahtarının şifresini çözmek ve şifreli bir bağlantı kurmak için kendi özel anahtarını kullanır.

TLS, artık kullanımdan kaldırılan Secure Sockets Layer (SSL) protokolünün gelişmiş halidir. Bununla birlikte, “SSL” terimi hala yaygın olarak TLS’ye atıfta bulunmak için kullanılır. 

İşte TLS dünyasında neyin iyi, neyin kötü ve neyin rahatsız edici olduğuna dair bazı ayrıntılı istatistikler:

• Şu anda iki yaşın biraz üzerinde olan TLS 1.3, İnternet’teki en iyi bir milyon web sunucusunun yüzde 63’ü için tercih edilen protokol haline geldi. Bununla birlikte, destek büyük ölçüde değişebilir. Amerika Birleşik Devletleri ve Kanada gibi bazı ülkelerde web sunucularının yüzde 80’i bunu seçerken, Çin ve İsrail gibi diğer ülkelerde sunucuların yalnızca yüzde 15’i destekliyor.
• Artık sertifikaların yüzde 25’i Eliptik Eğri Dijital İmza Algoritması (ECDSA) ile imzalanmış ve sunucuların yüzde 99’undan fazlası mümkün olduğunda RSA olmayan anlaşmaları seçiyor.
• TLS 1.3’ün yaygın olarak benimsenmesine rağmen, eski ve savunmasız protokoller etkin durumda bırakılıyor. RSA el sıkışmalarına web sunucularının yüzde 52’si izin veriyor, sitelerin yüzde 2’sinde SSL v3 etkin ve sertifikaların yüzde 2,5’inin süresi dolmuş.
• TLS 1.0 ve 1.1, bilinen güvenlik kusurları nedeniyle artık resmi olarak kullanımdan kaldırılmıştır. İlk bir milyon sitede kullanımdan büyük ölçüde kayboldular, ancak az sayıda web sunucusu, yüzde 0,4, hala bir HTTPS bağlantısı sırasında bunlardan birini seçiyor.
• Şifreleme kötüye kullanılmaya devam ediyor. HTTPS ve geçerli sertifikalar kullanan kimlik avı sitelerinin oranı yüzde 83’e yükseldi ve kötü amaçlı sitelerin kabaca yüzde 80’i, barındırma sağlayıcılarının yalnızca yüzde 3,8’inden geliyor.
• Son araştırmalar, etkin SSLStrip saldırılarının kullanıcı oturum açma kimlik bilgilerini başarılı bir şekilde çaldığını bulmuştur, bu da HTTP Strict Transport Security (HSTS) başlıklarını kullanma veya HTTP hizmetlerini tamamen devre dışı bırakma ihtiyacının arttığını göstermektedir.
• Sertifika iptal yöntemlerinin neredeyse tamamen geçersiz olması, sertifika yetkilisi (CA) ve tarayıcı sektörlerinde son derece kısa vadeli sertifikalara doğru ilerleme isteğini artırıyor.
• TLS parmak izi, ilk bir milyondaki 531 sunucunun potansiyel olarak Trickbot kötü amaçlı yazılım sunucularının kimliğiyle ve 1.164 sunucunun Dridex sunucusuyla eşleştiğini gösteriyor.

 

TLS Nasıl Çalışır?

TLS’nin nasıl çalıştığı ile ilgili adımları aşağıda bulabilirsiniz:

• İstemci (web tarayıcısı gibi) sunucuyla (web sitesi gibi) bir bağlantı kurar.
• Sunucu, istemciye ortak anahtarını, alan adı ve sertifikayı veren sertifika yetkilisi (CA) gibi sunucunun kimliği hakkında bilgiler içeren TLS sertifikasının bir kopyasını gönderir.
• İstemci, TLS sertifikasındaki bilgileri ve sunucunun ortak anahtarını kullanarak sunucunun kimliğini doğrular.
• İstemci, istemci ile sunucu arasındaki iletişimi şifrelemek için kullanılacak rastgele oluşturulmuş bir veri dizisi olan benzersiz bir oturum anahtarı oluşturur.
• İstemci, oturum anahtarını sunucunun ortak anahtarını kullanarak şifreler ve sunucuya geri gönderir.
• Sunucu, özel anahtarını kullanarak oturum anahtarının şifresini çözer ve istemci ile şifreli bir bağlantı kurar.
• İstemci ve sunucu artık şifreli bağlantı üzerinden güvenli bir şekilde iletişim kurabilir, tüm veriler oturum anahtarı kullanılarak şifrelenir ve şifresi çözülür.

TLS, güvenli iletişim sağlamak için açık anahtarlı kriptografi ve simetrik anahtarlı kriptografinin bir kombinasyonunu kullanır. Açık anahtar şifrelemesi, sunucunun kimliğini doğrulamak ve şifreli bağlantı kurmak için kullanılırken, simetrik anahtar şifrelemesi, iletilen verileri şifrelemek ve şifreyi çözmek için kullanılır.

TLS’yi Neden Önemsemelisiniz?

TLS birkaç nedenden dolayı önemlidir. Bu nedenlerden bazıları aşağıdaki şekildedir:

1. Hassas bilgileri korur

TLS, bir istemci (web tarayıcısı gibi) ile sunucu (web sitesi gibi) arasında şifreli bir bağlantı kurarak oturum açma kimlik bilgileri ve finansal işlemler gibi hassas bilgilerin korunmasına yardımcı olur. Bu, üçüncü tarafların iletilen verilere müdahale etmesini ve bunlara erişmesini engeller.

2. Güvenliği ve gizliliği artırır

TLS, şifreli bir bağlantı kurarak çevrimiçi iletişimin güvenliğini ve gizliliğini geliştirmeye yardımcı olur. Bu, özellikle çevrimiçi bankacılık ve e-ticaret siteleri gibi hassas bilgileri işleyen web siteleri için önemlidir.

3. Güveni ve güvenilirliği artırır

TLS kullanan web siteleri, güvenlik ve gizlilik taahhüdünü verdikleri için daha güvenilirdir. Bu, müşterileriyle güven oluşturmak isteyen işletmeler için oldukça önemli olabilir.

4. Mevzuat gerekliliklerini karşılar

Bazı endüstrilerde, TLS’nin kullanılması yasalar veya düzenleyici standartlar tarafından zorunlu kılınır. Örneğin, Payment Card Industry Data Security Standard (PCI DSS), kredi kartı işlemlerini gerçekleştiren web sitelerinin TLS kullanmasını gerektirir.

Özetle TLS, hassas bilgileri korumak, güvenliği ve gizliliği artırmak ve yasal gereklilikleri karşılamak için önemlidir. Çevrimiçi güvenliğin çok önemli bir bileşenidir ve interneti kullanan herkes için gereklidir.

HTTPS vs. TLS vs. SSL

HTTPS, TLS ve SSL internet üzerinden iletişimi güvenli hale getirmek için kullanılan ilgili teknolojilerdir. 

HTTPS (Hypertext Transfer Protocol Secure), internet üzerinden güvenli iletişim için bir protokoldür. Standart HTTP protokolünü temel alır, ancak bir web sunucusu ile bir istemci (web tarayıcısı gibi) arasında iletilen verileri şifreleyerek ekstra bir güvenlik katmanı ekler. Bu, iletilen verilere müdahale etmeye çalışabilecek bilgisayar korsanlarına karşı korunmaya yardımcı olur.

TLS (Transport Layer Security), internet üzerinden güvenli iletişim sağlayan bir protokoldür. SSL’nin (Secure Sockets Layer) halefidir ve SSL’den daha güvenli ve verimli olacak şekilde tasarlanmıştır. SSL gibi TLS de bir sunucu ile bir istemci arasında iletilen verilerin güvenliğini sağlamak için şifreleme kullanır.

SSL (Secure Sockets Layer), internet üzerinden güvenli iletişim sağlamak için geçmişte yaygın olarak kullanılan bir protokoldür. Fakat şimdi daha güvenli olduğu düşünülen TLS ile değiştirilmiştir. Bununla birlikte, “SSL” terimi hala yaygın olarak, internet üzerinden güvenli iletişim sağlayan TLS ve diğer teknolojileri belirtmek için kullanılmaktadır.

Genel olarak, HTTPS, TLS ve SSL internet üzerinden iletişimin güvenliğini ve gizliliğini sağlamak için önemli araçlardır. Web siteleri, e-posta sunucuları ve diğer internet tabanlı hizmetler tarafından iletilen verilerin üçüncü şahıslar tarafından ele geçirilmesini önlemek için kullanılırlar.

TLS İle İlgili En Çok Sorulan Sorular

1. TLS ve SSL arasındaki fark nedir?

TLS, SSL’nin halefidir. TLS, SSL’nin daha yeni ve daha güvenli bir sürümüdür ve çeşitli güvenlik tehditlerine karşı korumada daha verimli ve etkili olacak şekilde tasarlanmıştır. SSL artık güvenli bir protokol olarak kabul edilmemektedir ve kullanılması önerilmez.

2. TLS, HTTPS ile aynı mıdır?

HTTPS (Güvenli Köprü Metni Aktarım Protokolü), internet üzerinden güvenli iletişim için bir protokoldür. Standart HTTP protokolünü temel alır, ancak bir web sunucusu ile bir istemci (web tarayıcısı gibi) arasında iletilen verileri şifreleyerek ekstra bir güvenlik katmanı ekler. HTTPS, bağlantı için temel güvenliği sağlamak üzere TLS (veya SSL) kullanır.

3. TLS kullanmak zorunlu mu?

TLS zorunlu değildir, ancak hassas verileri internet üzerinden ileten herhangi bir uygulama veya hizmet için tavsiye edilir. TLS, iletilen verilere müdahale etmeye veya kurcalamaya çalışabilecek bilgisayar korsanlarına karşı korunmaya yardımcı olan önemli bir güvenlik katmanı sağlar.

4. TLS sertifikası nedir?

TLS sertifikası, TLS kullanarak güvenli bir bağlantı kurmak için kullanılan dijital bir sertifikadır. TLS sertifikaları, sertifika sahibinin kimliği hakkında bilgi içerir ve bir sertifika yetkilisi (CA) tarafından verilir. Bir istemci, TLS kullanarak bir sunucuya bağlandığında, sunucu, güvenli bağlantı kurmak için istemciye TLS sertifikasını sunar.

5. TLS handshake nedir?

TLS handshake, bir istemci ile sunucunun TLS kullanarak güvenli bir bağlantı kurma işlemidir. TLS handshake sırasında, güvenli bir bağlantı kurmak için istemci ve sunucu anahtarları ve sertifikaları değiş tokuş eder. 

6. Sunucumda TLS’yi nasıl etkinleştiririm?

Bir sunucuda TLS’yi etkinleştirmek için bir TLS sertifikası yüklemeniz ve sunucu yazılımınızı TLS kullanacak şekilde yapılandırmanız gerekir. Bu işlem, kullandığınız belirli sunucu yazılımına bağlı olarak değişecektir. 

7. TLS’nin en son sürümü nedir?

Yıllar içinde TLS’nin çeşitli sürümleri yayınlanmıştır ve her sürüm yeni özellikler ve iyileştirmeler getirmiştir. TLS’nin en son sürümü ise, 2018’de piyasaya sürülen TLS 1.3’tür.

8. TLS 1.3, önceki TLS sürümlerinden daha mı hızlı?

Evet, TLS 1.3 genellikle önceki TLS sürümlerinden daha hızlıdır. TLS 1.3, onu önceki sürümlerden daha hızlı ve daha verimli hale getiren çeşitli performans iyileştirmelerini içerir. Bu iyileştirmeler arasında azaltılmış ek yük, daha hızlı anlaşmalar ve bağlantı kurma sürecini hızlandırmak için 0-RTT (sıfır gidiş-dönüş süresi) verilerini kullanma yeteneği yer alır.