Transport Layer Security nedir

TLS nedir sorusuna yanıt vermeye çalışacağım bu içerikten öncelikle hepinize merhaba demek istiyorum sevgili okur. SSL nedir sorusuna geçtiğimiz günlerde bir cevap vermiştik. SSL geliştiricisi olan Netscape tarafından geliştirilen bu güvenlik katmanını TLS nedir sorusuna cevap vererek detaylı bir şekilde inceleyeceğim. Konu biraz uzun olacağı için giriş kısmını daha fazla uzatmadan içeriğe geçiş yapmak istiyorum.


TLS Nedir

TLS nedir sorusunun cevabına ilk olarak TLS açılımı ile başlamak istiyorum. İngilizcesi Transport Layer Security olan bu güvenlik katmanının Türkçesi, Taşıma Katmanı Güvenliği olarak çevrilmiştir. TLS, birbirleriyle iletişim halinde olan iki uygulamanın veri alışverişlerini şifreleyerek veri transferinin güvenliğini sağlayan bir katman olarak karşımıza çıkmaktadır. TLS, ilk olarak 1999 yılında ortaya çıkmış olup iki uygulamanın kimliklerini doğrulamak için asimetrik şifreleme algoritmasını kullanmaktadır.

TLS, SSL geliştiricisi olan Netscape tarafından geliştirilmiş olup, SSL katmanının daha gelişmiş bir sürümü olarak sunulmuştur. Günümüzde TLS katmanının SSL katmanından daha gelişmiş ve güvenli olduğu kabul görmüş durumdadır. TLS nedir sorusuna cevap verdikten sonra TLS ne işe yarar başlığına geçerek daha detaylı bir inceleme yapalım isterseniz.

TLS MİK

TLS Wikipedia

TLS Ne İşe Yarar

TLS katmanının kullanım oranı günümüzde oldukça fazla durumdadır. Hepimiz farkında olmadan bu güvenlik katmanı ile gün içerisinde birçok defa karşılaşıyoruz. TLS, iletişim uygulamaları arasında asimetrik şifreleme algoritmasını kullanarak alınan ve gönderilen verilerin güvenli bir şekilde gidip gelmesini sağlıyor ve bu sayede hem kullanıcıyı hem geliştirici firmayı koruma altına alıyor.

TLS bağlantısını kimler kullanıyor sorusuna örnek olarak güvenlik önceliği olan İnternet sitelerini, anlık mesajlaşma yazılımlarını, VPN bağlantılarını, VOIP bağlantılarını ve benzeri birçok uygulamayı örnek gösterebiliriz. Bu sayılan tüm uygulama ve hizmetlerin TLS özelliğini kullandığını garanti edemesem de oldukça yaygın kullanıldığını söyleyebilirim. TLS nedir sorusundan sonra TLS ne işe yarar sorusuna da bir cevap verdikten sonra akıllarda otomatik olarak bir soruya da cevap vermek istiyorum. TLS ile SSL farkları nelerdir?


TLS ile SSL Arasındaki Farklar

SSL ile TLS arasında ne fark var sorusunu yanıtlamadan önce bu iki şifreleme yönteminin de günümüzde sıklıkla kullanıldığını ve her ikisinin de gayet başarılı olduğunu söylemem gerekmektedir. TLS ve SSL özünde şifreleme ve yetkilendirme protokolü olup, sunucudan istemciye veya sunucudan sunucuya veri aktarılırken bu veriyi şifreleyen ve doğru adrese gitmesini sağlayan birimlerdir. SSL önceki sürüm olduğundan TLS protokolünün temelini oluşturmakta olup TLS protokolüne göre daha az gelişmiştir diyebiliriz.

SSL katmanının daha önce sunulmuş olması ve TLS katmanının temelini oluşturması dolayısı ile bu durum gayet normal olarak karşılanabilir. Tüm bunları hesaba kattığımızda TLS katmanını SSL katmanının bir üst sürümü olarak tanımlayabiliriz ki ikisini de geliştiren firma aynıdır. SSL ilk olarak 1995 yılında 2.0 sürümü ile sunulmuş olup SSL 1.0 sürümü tüm kullanıcılara sunulmamış, beta olarak test edilmiştir. SSL 2.0 sürümü ise çok kısa bir sürecin ardından büyük güvenlik açıklarını ortaya çıkardığı tespit edilip 1996 yılında yerini SSL 3.0 sürümüne bırakmıştır.

SSL 3.0 sıfır istenileni verse de Netscape firması bununla sınırlı kalmamış ve SSL temellerini kullanarak 1999 yılında TLS katmanını kullanıma sunmuştur. TLS katmanını SSL katmanının yetersiz kaldığı yerlere çare olarak sunulmuş yeni bir katman olarak tanımlayabiliriz. TLS nedir başlığında da belirttiğim gibi TLS katmanına SSL 4.0 dense de olurmuş ama firma isim değişikliğine gitmeye karar vermiş. Tüm bunlardan yola çıkarak SSL ile TLS arasında büyük yapısal değişiklerin olmadığını belirtmeme gerek yok sanırım. TLS daha gelişmiş ve güvenli bir protokol olup, mesaj yetkilendirmesi ve anahtar malzeme üretimi konularında SSL katmanından çok daha iyi performans sunmaktadır. Zaten TLS katmanının ortaya çıkma sebebi de bu SSL katmanının bu bölümlerde yetersiz kalmasıydı.

Özet olarak TLS protokolünün SSL protokolünün bir üst seviyesi olduğunu ve güvenlik açısından daha başarılı olduğunu söyleyerek TLS, SSL farkları nelerdir sorusuna bir cevap vermiş olalım. Şimdi bir diğer önem taşıyan soru olarak TLS mi SSL mi kullanmalıyım sorusuna cevap vermeye çalışalım.

TLS mi SSL mi Kullanmalıyım

IEFT tarafından 2011 ve 2015 yıllarında doğrulanan bilgilere temel alırsak SSL 2.0 ve SSL 3.0 sürümlerinde 90’lı yıllardan bu yana bazı açıkların keşfedildiğini söyleyebilirim. Burada dikkat edilmesi gereken husus ise bulunan bu açıkların birçoğunun günümüzde artık kullanılamaz olduğudur. Kullanımı imkânsız olan açıkları, bir sorun olarak kabul etmeli miyiz bilmiyorum ama sonuç itibari ile bu durumun SSL güvenliğine gölge düşürdüğü aşikâr.

Bu bölümde dikkat etmeniz gereken en önemli husus ise sahip olduğunuz SSL sertifikasının geçerli olup olmadığıdır. SSL nedir başlığında detaylı olarak incelediğimiz gibi birden fazla SSL sertifikası bulunmakta olup bunların bazılarının günümüzde artık geçerliliği olmadığını söylemem gerekiyor. Hatta internet tarayıcıları bu sertifikaları kontrol ederek bazı sertifikalara güvensiz damgası vurmaya başladığını da söylemeliyim. Diyeceğim odur ki web sitemde SSL sertifikası bulunuyor ama neden güvenlik onayı alamıyorum diye düşünüyorsanız sebebi SSL sertifikanızın artık geçersiz olmasıdır.

SSL kullanımı hala çok yaygın olup, düşünüldüğü kadar riskli bir şeyde değildir. Kullanılmaya bir süre daha devam edecek diye düşünüyorum ve sertifikanın ne olduğuna bağlı olarak kullanılmasında bir sakınca da bulmuyorum. Tüm bunları hesaba katarsak tabii ki TLS protokolüne geçmenizin gereksiz olduğunu söylemiyorum. TLS çok daha gelişmiş ve güvenli bir protokol olup geçiş yapma imkânınız var ise geçmenizi tavsiye ederim.

Benim dediğim standart bir web sitesinde TLS protokolüne gerek olmadığı, kaliteli bir SSL sertifikası ile de hayatınıza devam edebileceğinizdir. Burada not olarak belirtmem gereken şey ise TLS protokolüne geçiş yapabilmek için sunucunuzdan SSL 2.0 ve SSL 3.0 protokollerini devre dışı bırakmanız gerektiğidir. TLS nedir sorusuna bir cevap verdiğime göre bir özet geçerek içeriği sonlandırabilirim sanırım.


Son Söz

TLS nedir sorusuna detaylı bir cevap vermeye çalıştığım bu içeriğin sizler için faydalı olmasını diliyorum sevgili okur. Bu içerikte TLS nedir sorusu ile birlikte TLS ne işe yarar sorusuna, TLS ile SSL farkları nedir sorusuna ve TLS mi yoksa SSL mi tercih etmeliyim sorusuna da elimden geldiğince cevap vermeye çalıştım. İçeriği burada sonlandırırken hepinize güzel günler diliyorum sevgili dostlarım, takipte ve hoşça kalınız…

Written by Ali Sahinkaya