SSL ve TLS : Doğru Seçim Hangisi?

TLS ve SSL çevrimiçi verilerin güvenli kimlik doğrulaması ve taşınması için tasarlanmıştır. Her ikisi de web uygulamaları ve sunucular arasındaki bilgi akışını şifrelemek için kullanılır. SSL ve TLS protokolleri arasında karşılaştırma yapıldığında çıkan sonuçlara bakalım .

Bu derinlemesine kılavuzda, her iki protokol arasındaki en önemli farkları, HTTPS’ye nasıl etkili bir şekilde bağlanabileceklerini ve son kullanıcıların neden bu fark üzerinde çok fazla durmak zorunda kalmayabileceklerini inceleyeceğiz.

Özet:

  • TLS ve SSL: Hem TLS (Transport Layer Security) hem de SSL (Secure Sockets Layer) internet üzerinden verilerin şifrelenmesi ve güvenli bir şekilde iletilmesi için çok önemli kriptografik protokollerdir.
  • TLS protokolü SSL’nin yerini almaktadır. Ve evet, SSL’in daha güncel ve güvenli bir sürümü olduğu için SSL yerine TLS’yi seçmelisiniz .
  • HTTPS bağlantısı: TLS ve SSL, HTTPS (Hypertext Transfer Protocol Secure) bağlantılarının kurulmasında önemli bir rol oynayarak web sunucuları ve tarayıcılar arasında veri alışverişinin şifrelenmesini ve kimlik doğrulamasının yapılmasını sağlar.

TLS vs SSL: Temel Farklılıkları ve Benzerlikleri Anlamak

Taşıma Katmanı Güvenliği (TLS) ve Güvenli Yuva Katmanları (SSL), İnternet verilerini şifreleyerek ve bağlantıların kimliğini doğrulayarak güvenli bir şekilde taşımak için oluşturulmuş kriptografik protokollerdir.

Bunlar neden önemlidir? Diyelim ki web sitenizin kredi kartı işlemlerini gerçekleştirmesini istiyorsunuz ancak güvenlik riskleri konusunda endişelisiniz. TLS ve SSL ile verilerin yetkisiz kullanıcılar tarafından erişilmeden güvenli bir şekilde işleneceğinden emin olabilirsiniz.

Peki TLS ve SSL’in farkı nedir? Yeni başlayanlar için TLS, SSL’in daha güncel bir sürümüdür ve önceki SSL protokollerinde bulunan bir dizi güvenlik zayıflığını düzeltmiştir.

Şimdi protokollerin arka planına bakalım.

SSL’in 2.0 sürümü Şubat 1995’te piyasaya sürüldü. Adil olmak gerekirse, ilk sürüm güvenlik açıkları nedeniyle hiçbir zaman halka açık olarak yayınlanamadı. SSL 2.0 piyasaya sürülmüş olsa da, hala güvenlik sorunları vardı – bu nedenle SSL 3.0 1996’da yerini aldı.

TLS 1.0 1999 yılında SSL 3.0 yükseltmesi olarak piyasaya sürüldü. Aradan geçen yıllar içinde, 2018’deki TLS 1.3 (en son sürüm) de dahil olmak üzere üç TLS sürümü daha yayınlandı.

Bu yazının yazıldığı sırada, SSL’in her iki sürümünde de çeşitli güvenlik açıkları vardı ve kullanımdan kaldırılmıştı – bu konuya bu makalenin ilerleyen bölümlerinde değineceğiz.

Devam etmeden önce, işte protokollerin sürümlerinin hızlı bir zaman çizelgesi:

  • SSL 1.0: Güvenlik açıkları halka açılmasını engelledi.
  • SSL 2.0: 1995 yılında piyasaya sürüldü ancak güvenlikle ilgili bilinen sorunları vardı. 2011’de kullanımdan kaldırılmıştır.
  • SSL 3.0: 1996’da piyasaya sürüldü ancak 2015’te kullanımdan kaldırıldı. Güvenlik kusurları olduğu bilinmektedir.
  • TLS 1.0: 1999’da SSL 3.0 yükseltmesi olarak piyasaya sürüldü ve 2021’de kullanımdan kaldırıldı.
  • TLS 1.1: 2006’da piyasaya sürüldü ve 2021’de kullanımdan kaldırıldı.
  • TLS 1.2: 2008’de piyasaya sürüldü.
  • TLS 1.3: 2018’de piyasaya sürüldü.

TLS ve SSL Çevrimiçi Verileri Nasıl Güvende Tutar?

Bu bölümde, TLS ve SSL’nin verileri etkili bir şekilde güvence altına almak için nasıl çalıştığını açıklayacağız.

Web sunucunuzu yüklediğiniz her SSL/TLS sertifikası (genellikle “SSL sertifikası” olarak adlandırılır) bir özel anahtar ve bir genel anahtarla birlikte gelir. Bunlar yalnızca sunucunun kimliğini doğrulamakla kalmaz, aynı zamanda sunucunuzun verileri verimli bir şekilde şifrelemesini ve şifresini çözmesini sağlar.

Bir ziyaretçi web sitenize her girdiğinde, tarayıcısı SSL/TLS sertifikanızı arayacak, ardından sertifikanın geçerliliğini kontrol edecek ve sunucunun kimliğini doğrulayacaktır (“el sıkışma” olarak bilinen bir süreç). Tarayıcı sertifikanın geçersiz olduğunu belirlerse, kullanıcılara muhtemelen bağlantılarının “özel olmadığı” uyarısını veren bir hata mesajı gösterilecektir. Bu da onları sitenizden uzaklaştırıp başka bir siteye yönlendirebilir.

Ancak bir tarayıcı sertifikanızın geçerli olduğunu ve sunucunun kimliğinin doğrulandığını onayladığında, bu temelde şifreli bir bağlantı oluşturur ve sunucunun verileri güvenli bir şekilde iletmesini sağlar. HTTPS’nin adres çubuklarında görünmesinin nedeni budur, çünkü SSL/TLS üzerinden HTTP anlamına gelir.

Hem HTTP hem de güncellenmiş HTTP/2 uygulama protokolleri, İnternet üzerinde güvenli veri aktarımında kritik bir rol oynamaktadır. Ne yazık ki, düz HTTP kullanıldığında bu veriler saldırıya uğrama ve ele geçirilme riski altındadır. Ancak HTTPS ile veriler aktarım sırasında şifrelenir ve doğrulanır – böylece tamamen güvende tutulur.

Dolayısıyla, bir web sitesinin adres çubuğunda HTTPS varsa, kredi kartınızla güvenli bir şekilde çevrimiçi ödeme yapabilirsiniz, ancak yalnızca HTTP kullanıyorsa bunu yapamazsınız . Şaşırtıcı olmayan bir şekilde, Google Chrome herkesin korunmasını sağlamak için HTTPS’nin yaygın olarak benimsenmesini teşvik etmektedir.

SSL Sertifikaları ve SSL Kullanımdan Kaldırma

TLS’nin SSL’in en güncel enkarnasyonu olduğunu ve halka açık sürümlerinin her ikisinin de güvenlik kusurları nedeniyle birkaç yıldır kullanımdan kaldırıldığını ele aldık. Ve bunu akılda tutarak, neden yaygın terimin “TLS sertifikası” yerine &ldquoSSL sertifikası” olduğunu merak edebilirsiniz? Bu haklı bir soru, özellikle de en son güvenlik protokolü TLS olduğunda.

İnsanların çoğunun sürekli olarak SSL sertifikası terimini kullanmasının ana nedeni markalaşmadan kaynaklanmaktadır: en büyük sertifika sağlayıcılarının çoğu sertifikalarını SSL olarak tanımlamaktadır ve bu herkes için bir norm haline gelmiştir. Bu kadar basit.

İnternette reklamı yapılan tüm bu SSL sertifikaları aslında SSL/TLS sertifikalarıdır ve siz de kendi sertifikanızla SSL ve TLS protokollerini kullanabilirsiniz. Dolayısıyla, SSL sertifikanızı TLS sertifikasıyla değiştirme konusunda stres yaşamanıza gerek yoktur.

TLS mi SSL mi Sizin İçin Doğru? SSL TLS Tarafından Devralınacak mı?

Şunu basit tutalım: evet, SSl sertifikasının yerini TLS protokolü alıyor . Ve evet, SSL yerine TLS’yi seçmelisiniz.

SSL’in iki genel sürümü, temel olarak güvenliklerindeki bilinen zayıflıklar nedeniyle kullanımdan kaldırılmıştır. Bu yüzden SSL tamamen güvenli ve güvenilir bir protokol değildir.

Neyse ki TLS, SSL sertifikasının daha güncel sürümü olduğu için güvenlidir ve TLS sertifikasının en son sürümleri çeşitli iyileştirmeler sunar. Dikkate alınması gereken bir diğer nokta da günümüzde popüler tarayıcıların çoğunun SSL protokolleri 2.0 ve 3.0’ı desteklemeyi bırakmış olmasıdır.

Örneğin Google Chrome, 2010’ların ortasında SSL 3.0 desteğini sonlandırdı ve en büyük tarayıcılar TLS 1.0 ve 1.1’i desteklemeyi bıraktı. Hatta Google Chrome, kullanıcıları güvenlik risklerinden korumak için ERR_SSL_OBSOLETE_VERSION uyarıları sunmaya başladı.

Eski ve potansiyel olarak riskli protokoller yerine TLS’nin en son sürümlerini kullanmanın çok önemli olduğu açıktır. Ancak bundan nasıl emin olabilirsiniz?

Başlangıç olarak şu noktayı aklınızda bulundurun: sertifikanız sunucunuz tarafından kullanılan protokolle aynı değildir. TLS kullanmak için sertifikanızı değiştirmeniz gerekmez ve bir SSL sertifikası olarak etiketlenmiş olsa da, sertifikanız her iki protokol için de destek sunacaktır.

Gerçek şu ki, web siteniz tarafından kullanılan protokol üzerinde sunucu düzeyinde kontrole sahipsiniz – web siteniz için hangi protokollerin mevcut olduğunu öğrenmek için SSL Labs aracından yararlanabilirsiniz.

Sunucunuzun hala kullanımdan kaldırılmış SSL protokollerini desteklediğini fark ederseniz ne yapabilirsiniz? Sunucunuzun destek ekibiyle iletişime geçin ve onlardan yardım isteyin.

Birden Fazla TLS Protokolünün Etkin Olmasının Faydaları Nelerdir?

Sunucunuzun hem TLS 1.3 hem de 1.2 protokollerini sunduğunu görebilirsiniz. Bunu neden yapsınlar ki?

İyi bir sebepten dolayı. Unutmayın: SSL/TLS el sıkışması iki bileşenden oluşur: web sunucusu ve istemci (örneğin kullanıcının tarayıcısı). Her iki bileşen de el sıkışmayı düzgün bir şekilde tamamlamak için aynı protokolü desteklemelidir. Dolayısıyla, birden fazla protokolün etkin olmasının iyi bir nedeni vardır – uyumluluk.

2018 yılında TLS 1.3 yayınlandığında, hem Firefox hem de Chrome bu desteği neredeyse hemen uygulamaya koydu. Ancak Microsoft ve Apple biraz daha geç kaldı. Ertesi yıl ise Opera, Internet Explorer ve Samsung Internet gibi bazı tarayıcılar hala TLS 1.3 desteğinden yoksundu.

Neyse ki, önde gelen tarayıcıların tümü o dönemde TLS 1.2 desteği sunuyordu, bu nedenle bir sunucuda her iki protokolün de etkin olması güvenilir uyumluluk sağladı. Bu da daha olumlu ve güvenilir bir kullanıcı deneyimi sağlıyordu.

Sonuç: TLS mi SSL mi?

Özetle, SSL ve TLS protokollerinin çevrimiçi veri aktarımını hem şifrelediğini hem de doğruladığını biliyoruz. Aralarında sıkı bir bağlantı vardır ancak TLS, SSL’in daha güvenli ve güncellenmiş bir versiyonudur.

SSL çevrimiçi kullanılan ana terim olmaya devam etmektedir, ancak insanlar SSL’den bahsettiklerinde genellikle TLS’yi kastederler, çünkü halka açık SSL’nin her iki sürümü de güvensizdir ve bir süredir kullanımdan kaldırılmıştır. SSL sertifikanızı TLS olarak değiştirmenize gerek yoktur – SSL’in yanı sıra TLS’i de destekleyecektir.

SSL artık güvenli olmadığından TLS’nin en yeni sürümlerinden yararlanmanız hayati önem taşımaktadır, ancak sertifikanız sunucunuz tarafından hangi protokolün kullanılacağını belirlemeyecektir. Bunun yerine, sertifikanızı yükledikten sonra sunucu seviyesi olarak kullanılacak protokolü seçebilirsiniz.

Yorum yapın