İnternet tamamen güvenli bir yer olmayabilir, ancak yirmi yıldan fazla bir süre öncesine göre çok daha güvenlidir. Bu noktada dijital etkileşimlerimizin güvenliğini ve gizliliğini artırmaya yardımcı olan şeylerden biri de, Transport Layer Security veya TLS adlı yaygın olarak benimsenen güvenlik protokolüdür.
Peki TLS tam olarak nedir?
Transport Layer Security (TLS) Nedir?
Transport Layer Security (TLS), yaygın olarak kullanılan güvenlik protokollerinden biridir. Çevrimiçi olarak iletilen verilerin önemli bir bölümünü korur. En belirgin şekilde bir web tarayıcısı ile web sitesi arasında HTTPS aracılığıyla dolaşan verilerin güvenliğini sağlamak için kullanılır, ancak aynı zamanda e-posta ve bir dizi başka protokolün güvenliğini sağlamak için de kullanılabilir.
TLS’yi, Secure Socket Layer – Güvenli Yuva Katmanının bir iyileştirmesi olarak düşünülebilirsiniz. TLS, verileri HTTP protokolünün üzerinde güvenceye almak ve şifrelemek için HTTPS kullanır. TLS kullanan tarayıcılar, adres çubuğundaki bir asma kilit simgesiyle tanımlanabilir. Bu tür güvenli sitelerin kullanımı yıllar içinde popülerlik kazanmıştır.
Transport Layer Security Nasıl Çalışır?
TLS, günümüzde web sitelerinde ve web uygulamalarında standart bir yaklaşımdır. DDoS ve veri ihlalleri gibi saldırılara karşı koruma sağlar.
TLS, bir aktarım katmanı güvenlik protokolünün üzerinde bulunur ve aşağıdaki bileşenlerden oluşur:
- Şifreleme – paylaşılan verileri gizlemek için.
- Kimlik doğrulama – kimlik doğrulaması için.
- Bütünlük – veri doğrulaması için.
TLS bir güvenlik protokolüdür. Temel işlevi veri bütünlüğünü ve gizliliğini sağlamaktır. Bu temel güvenlik işlevlerini gerçekleştirmek için TLS’nin belirli prosedürleri izlemesi gerekir. Başlangıçta TLS, verilerin sunucu ve istemci arasında paylaşıldığından emin olmalıdır.
TLS protokolü iki alt protokolden oluşur:
- TLS Handshake – İstemcinin ve sunucunun kimliğini doğrular ve veri iletiminden önce bir şifreleme algoritması kurar.
- TLS Record – Veri kapsülleme ve şifreleme hizmetlerini kullanarak güvenli ve güvenilir bir bağlantı sağlamak için verileri şifreler.
TLS Handshake
TLS, şifre paketi olarak bilinen bir dizi algoritma oluşturur. Şifre takımı, belirli bir oturum için oturum anahtarları ve paylaşılan şifreleme anahtarları gibi ayrıntıları belirtir. TLS, bu oturum anahtarlarını şifrelenmemiş bir kanalda eşleştirmek için ortak anahtar şifrelemesini kullanır.
TLS ayrıca, ortak anahtarların kullanımı yoluyla kimliklerini değiş tokuş eden ve doğrulayan istemci ve sunucu arasında kimlik doğrulamayı da sağlar. Genel anahtarlar tek yönlü şifreleme kullanır, yani herkes özel anahtarla şifrelenmiş verileri özgünlüğünü sağlamak için çözebilir, ancak yalnızca orijinal gönderen verileri özel anahtarla şifreleyebilir.
Veriler şifrelendikten ve kimlikler doğrulandıktan (kimlik doğrulama) sonra, TLS verileri bir Mesaj Kimlik Doğrulama Kodu (Message Authentication Code) ile imzalar. MAC, verilerin kurcalanmamasını ve sadece alıcının MAC’yi doğrulayabilmesini sağlar.
TLS Record
TLS Record Protocol, her TLS işlemini kaydeden devasa bir defterdir. TLS Record, her bağlantı girişimini, onayını, reddini, mesajını vb. not eder. Her biri TLS işlemlerinin belirli bir sürecinden sorumlu olan birkaç küçük birime bölünebilir.
TLS Kullanımı
TLS, çevrimiçi iletişimlerimizin önemli bir bölümünü güvence altına almak için kullanılır. Normalde Transmission Control Protocol (TCP) gibi protokoller üzerinden uygulanır, ancak Datagram Congestion Control Protocol (DCCP) ve User Datagram Protocol (UDP) için de kullanılabilir.
HTTP, SMTP, FTP, XMPP ve NNTP gibi protokolleri ve diğerlerini güvence altına alabilir. En yaygın uygulama, bir web tarayıcısı ile bir web sitesi arasındaki bağlantıyı koruyan Hypertext Transfer Protocol Secure’dur (HTTPS). Çevrimiçi bağlantınızın güvenliğini sağlamak için HTTPS’nin ne zaman kullanıldığını anlayabilirsiniz, çünkü tarayıcınızın üst kısmındaki URL’nin solunda küçük bir yeşil kilit simgesi belirir.
TLS, OpenConnect ve OpenVPN’de olduğu gibi VPN’ler oluşturmak için de kullanılabilir. Ana bilgisayarları ve ağları birbirine bağlayabilen bir tünel oluşturmak için şifreleme ve kimlik doğrulama yeteneklerini kullanır. OpenVPN gibi TLS tabanlı VPN teknolojileri, IPsec gibi alternatiflere göre avantajlıdır, çünkü OpenVPN’in ciddi bir güvenlik sorunu olmadığı bilinmemektedir. Bu VPN’lerin yapılandırılması da daha kolay olabilir.
Kullanımlarından bir diğeri, e-posta’yı STARTTLS aracılığıyla güvence altına almaktır. TLS uygulandığında, bilgisayar korsanları e-posta sunucuları arasında dolaşırken iletilere erişmesini engeller.
TLS’nin Avantajları Nelerdir?
Aşağıdaki listede TLS’nin avantajlarından bazılarını bulabilirsiniz:
1. Şifreleme
Şifreleme algoritmaları kullanır, bu nedenle bağlantı güvenli hale gelir ve şifreli veriler istemci ile sunucu arasında paylaşılır.
2. Birlikte çalışabilirlik
TLS/SSL, Microsoft Internet Explorer dahil olmak üzere çoğu web tarayıcısında, çoğu işletim sisteminde ve web sunucusunda çalışır.
3. Uygulama kolaylığı
TLS/SSL’yi blogunuzda veya web sitenizde kolayca uygulayabilirsiniz. SSL sertifikası sağlayan birçok satıcı var.
4. Kullanım kolaylığı
TLS/SSL’yi uygulama katmanının altına uyguladığımız için işlemlerinin çoğu istemci tarafından tamamen görünmezdir.
TLS vs SSL
İnsanlar şimdi bile TLS’ye atıfta bulunurken SSL kullanmaya devam ediyor, ancak bu protokolün uzun yıllardır güvensiz olarak kabul edilmesi nedeniyle SSL artık çoğu web tarayıcısı tarafından desteklenmez. SSL’nin en son sürümü olan SSL 3.0, 2015’ten beri kullanımdan kaldırılmıştır.
TLS’nin internette bulabileceğiniz en yaygın kullanımı, HTTP (Köprü Metni Aktarım Protokolü) protokolünün üstüne uygulanması ve HTTPS (Güvenli Köprü Metni Aktarım Protokolü) olarak bilinen bir uzantı oluşturmasıdır. Bu nedenle, HTTPS kullanan herhangi bir web sitesi, günlük olarak TLS şifrelemesi de kullanır.
İlgili İçerik: SSL Nedir? Ne Değildir?
HTTP ve HTTPS Arasındaki Fark Nedir?
Hyper Text Transfer Protocol anlamına gelen HTTP, web sayfalarını görüntülemek için kullanılan protokoldür. HTTPS ise Secure Hyper Text Transfer Protocol anlamına gelir. Yani güvenlik özelliği olan Http’dir.
İlgili İçerik: Http vs. Https Nedir? Farkları Nelerdir?
TLS (Transport Layer Security) ve HTTPS Arasındaki Fark Nedir?
Temel olarak HTTPS, web sayfasını görüntülemek için kullanılan HTTP protokolünün üstünde bir TLS/SSL uygulamasıdır. HTTPS, HTTP protokolünün güvenli bir sürümüdür. Google artık HTTP web sitelerini cezalandırır. Bu nedenle, HTTPS kullanan herhangi bir web sitesi SSL/TLS şifrelemesi kullanır.