TLS (Transport Layer Security) Nedir? Nasıl Çalışır?
11.11.2024
Olasılıklarla ve sınırsız fırsatla dolu internet dünyasında, verilerin ele geçirilme, kurcalanma veya ifşa edilme gibi doğal bir güvenlik açığı olduğunu düşünmek oldukça endişe verici olmalı. Bu endişeye yer vermeyecek güçlü bir kalkan bulunuyor; Taşıma Katmanı Güvenliği (TLS). Güvenli ve güvenilir iletişime yönlendiren vazgeçilmez bir harita olarak TLS, sadece teknolojik bir koruma değil aynı zamanda çevrimiçi işlemleri güvenle yapmanı, paylaşmanı, inşa etmeni sağlıyor.
Tarayıcı penceresinde sağ üstteki asma kilit simgesi hiç dikkatini çekti mi? Eğer hemen tarayıcını açıp kontrol ettiysen şu an TLS ile bakışıyorsun. Taşıma Katmanı Güvenliği, verilerin için güvenli bir tünel oluşturmak üzere uyum içinde çalışan şifreleme algoritmaları, kimlik doğrulama protokolleri ve dijital imzalardan oluşan bir senfonidir. Sadece bilgilerini gizlemekle kalmaz aynı zamanda etkileşimde bulunduğun tarafların kimliğini doğrulayarak dijital bir yanıltmayla karşı karşıya olup olmadığını doğrular. Güvenliği temel alan bu kapsamlı yaklaşım TLS’nin gözetimi altında işletmelerin gelişebileceği, bireylerin özgün bir şekilde bağlantı kurabileceği ve inovasyonun gelişebileceği dijital bir ortamı teşvik eder. Sen sörf yaparken kimler tarafından nasıl korunduğunu merak ediyorsan bu kalkana dair ayrıntılı bilgi hemen aşağıda.
TLS (Transport Layer Security) Nedir?
Taşıma Katmanı Güvenliği, diğer adıyla Transport Layer Security TLS, temelde internet üzerinden gönderilen verileri şifreleyerek dinleyicilerin ve bilgisayar korsanlarının senin tarafından iletilenleri görmemesini sağlar. Özellikle parolalar, kredi kartı numaraları ve kişisel yazışmalar gibi özel ve hassas bilgiler şifrelenmiş iletilerin temelini oluşturur. Bu kriptografik protokol, gönderilen verilerin uçtan uca güvenliğini sağlayarak bilgilerin güvenli bir şekilde iletilmesini temin eder. Güvenli web taraması sırasındaki kullanımı ve özellikle güvenli bir oturum kurulduğunda web tarayıcılarında görünen asma kilit simgesiyle bilinir. E-posta, dosya transferleri, video/sesli konferans, anlık mesajlaşma ve IP üzerinden ses gibi diğer uygulamaların yanı sıra DNS ve NTP gibi internet hizmetleri için de kullanılabilir.
“Transport Layer Security nedir?” sorusunu kısaca hizmetin mevcut kullanımından başlayarak yanıtlayabiliriz. TLS ilk olarak 1994 yılında Netscape Communicatios Corporation tarafından web oturumlarını güvence altına almak için geliştirilen Secure Socket Layers (SSL)’den geliştirilmiştir. SSL 1.0 hiçbir zaman halka açık olarak yayınlanmamıştır ve SSL 2.0, hızla TLS’nin temel aldığı SSL 3.0 ile değiştirilmiştir. SSL 3.0 günümüzde güvensiz olarak kabul edildiğinden TLS 1.2 şu anda SSL'nin en yaygın kullanılan sürümü olarak kullanılır. Büyük web tarayıcılarının mevcut sürümlerinde ise TLS 1.3 (en son sürüm) desteklenmiştir.
TLS (Transport Layer Security) Neden Önemlidir?
TLS şifreleme, web uygulamalarını verilerin kurcalanmasına ve gizlice dinlenmesine karşı korumaya yardımcı olur. Bu nedenle çoğu web sitesi için standart uygulama olarak sunulur. SSL/TLS protokolleri, artan güvenlik tehditlerine ve hem istemci hem de sunucu uçlarından şifreleme ihtiyacına yanıt vermek için geliştirilmiştir. TLS temelde, kullanıcı gizliliğini ve güvenliğini korumaya yardımcı olmak için vardır. TLS olmadan oturum açma bilgileri, kişisel bilgiler ve kredi kartı numaraları gibi internet üzerinden aktarılan hassas bilgiler hırsızlığa karşı savunmasızdır. Ayrıca TLS olmadan bilinmeyen üçüncü tarafların e-postaları, tarama alışkanlıklarını ve doğrudan mesaj yazışmalarını izlemesi de mümkün olacaktır. Bireysel kullanıcı bilgilerini korumanın yanı sıra TLS web uygulamalarının veri ihlallerine ve dağıtılmış hizmet reddi (DDoS) saldırılarına karşı korunmasına da yardımcı olur. Veri ihlalleri ve DDoS saldırıları her büyüklükteki kuruluş için oldukça maliyetli olabilir ve ayrıca tüketici güveninde onarılamaz hasara neden olabilir. Web tarayıcılarının TLS kullandığından emin olmak, güvenliği artırmanın ve hem kullanıcı hem de kurumsal gizliliği korumaya yardımcı olmanın kolay bir yoludur.
Günümüzde çoğu tarayıcı TLS’yi varsayılan olarak desteklemektedir. Örneğin Google Chrome, kullanıcıları HTTPS olmayan web sitelerine karşı aktif olarak uyarır. Kullanıcılar da web sitesi güvenliği konusunda bilinçli hale gelerek güvenli veri aktarım protokollerini kontrol etmiş olur. Tüm web tabanlı iletişimlerde TLS’nin zorunlu kullanımında ısrarcı olarak kuruluşlar ve bireysel kullanıcılar, web tabanlı faaliyetler için ortak bir temel koruma düzeyi sağlamaya yardımcı olabilirler.
TLS Nasıl Çalışır?
TLS güvenliği, iki veya daha fazla iletişim kuran uygulama arasında güvenli bir bağlantı sağlamaya yardımcı olmak, cihazlar arasında birlikte çalışabilirliği garanti etmek ve göreceli verimlilikle çalışmak için hem istemci hem de sunucu uçlarından şifreleme yapmak üzere kullanılır. İstemci-sunucu iletişimi, iletişimin TLS protokolleri ile mi yoksa TLS protokolleri olmadan mı devam edeceğini belirterek başlar. İstemci bir TLS bağlantısını çeşitli şekillerde belirtebilir. Örneğin, istemci TLS iletişiminde kullanılan şifreleme türlerini destekleyen bir bağlantı noktası numarası kullanabilir. Bir başka olası yöntem de TLS bağlantısına geçmek için protokole özgür bir istekte bulunmaktır. İstemci ve sunucu TLS kullanarak iletişim kurmayı kabul ettikten sonra, TLS protokol spesifikasyonu iki katman üzerinden ilerler; TLS anlaşma protokolü ve TLS kayıt protokolü. TLS protokolleri simetrik ve asimetrik kriptografinin bir kombinasyonunu kullanır. Simetrik kriptografi hem gönderici hem de alıcı tarafından bilinen anahtarlar oluştururken, asimetrik kriptografi biri genel (hem gönderici hem de alıcı arasında paylaşılan) ve diğeri özel olmak üzere anahtar çiftleri oluşturur.
TLS, oturum anahtarını güvenli bir şekilde oluşturmak ve değiştirmek için asimetrik şifreleme kullanır. Oturum anahtarı daha sonra bir tarafça iletilen veriyi şifrelemek ve diğer uçtan alınan verinin şifresini çözmek için kullanılır. Oturum bittiğinde oturum anahtarı atılır. Bir uygulama “mesajı” kullanımı için gereken özellikler TLS anlaşma protokolünde belirlenir. TLS anlaşması, istemci ve sunucu arasında, kullanılan anahtar değişim algoritmasına ve desteklenen şifre paketlerine bağlı olarak değişen ancak aşağıdaki gibi ortaya çıkabilen bir dizi alışverişi içerir:
- İstemci, bağlantı talebi için "client hello" mesajı gönderir. Bu mesajda, desteklenen şifre takımlarının listesi ve rastgele bir bayt dizisi bulunur.
- Sunucu, "client hello" mesajına seçilen TLS protokol sürümü, şifre takımı ve rastgele bir bayt dizisi içeren yanıt verir. Kimlik doğrulama için SSL sertifikasını istemciye gönderir.
- İstemci, sunucunun SSL sertifikasını doğrular ve istenirse kendi sertifikasını gönderebilir. İstemci, asimetrik kriptografi kullanarak bir "premaster secret" mesajı gönderir. İstemci ve sunucu, rastgele bayt dizileri ve "premaster secret"tan oturum anahtarları oluştururlar.
- İstemci, oturum anahtarıyla şifrelenmiş bir "finished" mesajı gönderir. Sunucu, oturum anahtarıyla şifrelenmiş bir "finished" mesajı ile yanıt verir.
- İstemci ve sunucu, anlaşma prosedürü sırasında oluşturulan simetrik şifreleme yöntemini kullanarak güvenli iletişim başlatır. TLS kayıt protokolü, simetrik kriptografi kullanarak benzersiz oturum anahtarları oluşturur ve iletişimi devam ettirir. Tüm verileri içeren hash tabanlı bir kimlik doğrulama kodu (HMAC) ile gönderir, güvenli bir bağlantı sağlanmış olur.
TLS konusunda ustalığa giden kapsamlı bir yol haritası sunan Techcareer.net, verilerini şifreleme ve kimlik doğrulama protokollerinin birlikteliğiyle korumanda bilmen gereken her şeyi sunmaya hazır. Sürekli öğrenme deneyimleri sayesinde TLS’nin teknik temellerini derinlemesine inceleyebilir, şifreleme algoritmalarını, kimlik doğrulama protokollerini ve dijital imza mekanizmalarını keşfedebilirsin. Yolculuğun burada bitmiyor. Tüm bunları sektör uzmanları tarafından geliştirilen bootcamp etkinlikleri ile deneyimlemen mümkün. Daha da aktif olmak istersen platform üzerinden Discord topluluğuna katılarak işbirliğine dayanan gelişim yolundaki yerini alabilirsin.
