TLS (Aktarım Katmanı Güvenliği), tarayıcınız ile ziyaret ettiğiniz web siteleri arasındaki bağlantıyı şifreleyen kriptografik protokoldür. Tarayıcınızın adres çubuğunda "HTTPS" gördüğünüzde TLS devrededir. Bağlantınızın hangi TLS sürümünü kullandığını whatsmy.fyi üzerinde kontrol edebilirsiniz.
TLS ile SSL Arasındaki Fark Nedir?
Günlük konuşmalarda "SSL" ve "TLS" çoğunlukla birbirinin yerine kullanılır; ancak teknik olarak farklıdır:
- SSL (Güvenli Soket Katmanı), 1990'larda Netscape tarafından geliştirilen orijinal protokoldür. SSL 2.0 ve SSL 3.0'ın her ikisi de kullanımdan kaldırılmış olup bilinen kritik güvenlik açıkları içerir.
- TLS (Aktarım Katmanı Güvenliği), SSL'nin halefidir; 1999'da TLS 1.0 olarak standardize edilmiştir. Tüm modern HTTPS bağlantıları bunu kullanır.
Hiçbir modern tarayıcı veya sunucu SSL kullanmaz. Birisi "SSL sertifikası" dediğinde TLS sertifikasını kastediyor demektir. "SSL" terimi yalnızca yaygın kullanımda varlığını sürdürmektedir.
TLS Ne İşe Yarar?
TLS üç temel güvenlik güvencesi sağlar:
- Gizlilik: Tarayıcınız ile sunucu arasında alınıp verilen veriler şifrelenir. Aranızdaki hiç kimse (ISP'niz, halka açık Wi-Fi'daki bir saldırgan, devlet ağ dinleme cihazı) içeriği okuyamaz.
- Bütünlük: Veriler aktarım sırasında değiştirilemez. Biri bir pakete müdahale ederse TLS MAC (Mesaj Doğrulama Kodu) bunu tespit eder.
- Kimlik doğrulama: TLS, gerçekten doğru sunucuyla değil bir taklitçiyle konuşmadığınızı doğrulamak için dijital sertifikalar kullanır. Bu, ortadaki adam saldırılarını önler.
TLS 1.2 ile TLS 1.3 Karşılaştırması
Ağustos 2018'de RFC 8446 ile standardize edilen TLS 1.3, TLS 1.2 üzerinde önemli bir yükseltmeyi temsil eder:
| Özellik | TLS 1.2 | TLS 1.3 |
|---|---|---|
| El sıkışma gidiş-dönüşü | 2-RTT | 1-RTT (özgeçmiş oturumlar için 0-RTT) |
| Şifre takımları | Zayıflar dahil pek çok | Yalnızca 5 güçlü takım |
| Mükemmel İletme Gizliliği | İsteğe bağlı | Zorunlu |
| RSA anahtar değişimi | Desteklenir (savunmasız) | Kaldırıldı |
| El sıkışmada MD5/SHA-1 | İzin verilir | Kaldırıldı |
En önemli iyileştirme, TLS 1.3'te zorunlu olan Mükemmel İletme Gizliliği (PFS)'dir. PFS sayesinde, ileride bir sunucunun özel anahtarı ele geçirilse bile daha önce kaydedilmiş şifreli trafik geriye dönük olarak çözülemez.
TLS El Sıkışması Nasıl Çalışır?
Şifreli veri akışı başlamadan önce tarayıcınız ve sunucu bir TLS el sıkışması gerçekleştirir:
- ClientHello: Tarayıcınız desteklediği TLS sürümlerini, kullanabileceği şifre takımları listesini ve rastgele bir sayıyı gönderir.
- ServerHello: Sunucu en yüksek TLS sürümünü ve her iki tarafın desteklediği en güçlü şifreyi seçer, sertifikasını gönderir.
- Sertifika doğrulama: Tarayıcınız sunucunun sertifikasını işletim sistemi veya tarayıcıdaki güvenilir Sertifika Otoritelerine (CA) karşı doğrular.
- Anahtar değişimi: Her iki taraf Diffie-Hellman anahtar değişimi kullanarak aynı oturum anahtarlarını türetir (TLS 1.3'te her zaman geçici).
- Şifreli trafik başlar.
TLS 1.3'te bu sürecin tamamı iki gidiş-dönüş yerine tek gidiş-dönüşalır, bu da HTTPS bağlantılarını belirgin şekilde hızlandırır.
TLS Şifre Takımı Nedir?
Şifre takımı, TLS bağlantısının farklı bölümleri için kullanılan algoritmaların bir kombinasyonudur: anahtar değişimi, kimlik doğrulama, şifreleme ve mesaj bütünlüğü. AEAD-AES256-GCM-SHA384 gibi bir TLS 1.3 şifre takımı şu anlama gelir:
- AES-256-GCM — Galois/Sayaç Modunda 256-bit AES şifrelemesi
- SHA-384 — mesaj doğrulama için HMAC hash fonksiyonu
TLS 1.3, TLS 1.2'de izin verilen tüm zayıf şifre takımlarını (RC4, DES, 3DES, CBC-modlu şifreler) kaldırdı. Bu, saldırı yüzeyini önemli ölçüde azaltır.
Sık Sorulan Sorular
TLS 1.2 kullanmak güvenli mi?
TLS 1.2, doğru yapılandırıldığında (yalnızca güçlü şifre takımları, PFS etkin) hâlâ güvenli kabul edilir. Ancak TLS 1.3 daha basit, daha hızlı ve daha güçlü güvenlik güvencesi sağlar. TLS 1.3'ü destekleyen sunucuları tercih etmelisiniz.
TLS sürümümü nasıl kontrol ederim?
whatsmy.fyi'yi ziyaret edin — TLS Güvenliği kartı, Cloudflare'in kenarından alınan bağlantınızın kullandığı tam TLS sürümünü ve şifre takımını gösterir.
Bir web sitesini TLS 1.3 kullanmaya zorlayabilir miyim?
TLS sürüm müzakeresi otomatiktir — tarayıcınız ve sunucu her ikisinin de desteklediği en yüksek sürümü seçer. Sunucu TLS 1.3'ü destekliyorsa (modern olanların çoğu destekler) otomatik olarak kullanılır. İstemci tarafından bir sunucunun TLS desteğini yükseltmeye zorlayamazsınız.
HTTPS nedir?
HTTPS (Güvenli Köprü Metni Aktarım Protokolü), TLS bağlantısı üzerinden taşınan HTTP'dir. "S" harfi Secure (Güvenli) anlamına gelir. Adres çubuğunuzda HTTPS gördüğünüzde TLS şifrelemesi aktif demektir ve bağlantınız korunuyor demektir.
