Aktarım Katmanı Güvenliği (TLS), Güvenli Yuva Katmanı (SSL) protokolünün en son sürümüdür. Her iki protokol de internet üzerinden veri gizliliğini ve özgünlüğünü sağlar. Yaygın olarak kullanılan bu protokoller, web tabanlı iletişim için şifreleme uygulayarak uçtan uca güvenlik sağlar. Ancak TLS ve SSL'nin benzerliklerine rağmen, aralarında önemli farklılıklar da vardır.

Bu makale, TLS ve SSL şifreleme protokollerinin nasıl çalıştığını, bunların önemini, nasıl farklı olduklarını ve TLS protokolüne geçmenin neden doğru zaman olduğunu açıklamaktadır.

TLS ve SSL'nin Tarihsel Arka Planı

İnternet standartlarını geliştirmekten sorumlu kuruluş olan İnternet Mühendisliği Görev Gücü (IETF) yayınlandı. Yorum Talebi (RFC-1984), büyüyen internette kişisel verilerin korunmasının önemini kabul ederek. Netscape Communication Corporation, birden fazla yükseltme yapılan güvenli web iletişimi için SSL'yi tanıttı.

SSL 1.0 sürümü, güvenlik kusurları nedeniyle hiçbir zaman piyasaya sürülmedi ve SSL 2.0, 1995 yılında Netscape tarafından halka açık ilk sürüm oldu. Ancak, güvenlik açıkları ve sakıncaları nedeniyle, Kasım 1996'da başka bir SSL sürüm 3.0 ile değiştirildi. En son SSL sürümü de güvenlik açığı nedeniyle kullanımda değil.

instagram viewer
Ekim 2014'te kaniş saldırısı ve resmi olarak Haziran 2015'te kullanımdan kaldırıldı.

TLS, 1999'da uygulamadan bağımsız bir protokol olarak piyasaya sürüldü: İnternet Mühendisliği Görev Gücü (IETF) tarafından yapılan SSL sürüm 3.0'a yükseltme. Fikir, FTP, IMAP, SMTP ve HTTP protokollerini kullanarak uygulamaları şifrelemek için TCP üzerinden TLS uygulamaktı. Örneğin, HTTPS, HTTP'nin güvenli bir sürümüdür içerik değişikliklerinden ve gizlice dinlemeden kaçınarak güvenli veri iletimini sağlamak için TLS uyguladığı için.

TLS/SSL Protokollerinin Temel Çalışması

Taraflar arasındaki iletişim (örneğin, bilgisayar tarayıcınız ve bir web sitesi), olup olmadığını belirleyerek başlar. TLS/SSL protokolünü içerecek veya içermeyecektir, öyle ki müşteri TLS şifrelemesinin kullanımını da belirtebilir. ile:

  • SSL iletişim şifrelemesini destekleyen bir bağlantı noktası belirtmek veya
  • TLS protokolüne özel istekler yaparak

Bu arada, bir web sitesi bir TLS/SSL sertifikası gerektirir protokolü kullanmak için barındırma sunucusuna yüklenir. Güvenilir bir üçüncü taraf, ortak anahtarı alan adına bağlayan sertifikayı verir. özel anahtarın sahibi ve iletişimi şifrelemesini/şifresini çözmesini sağlar.

İstemci-sunucu iletişimi için TLS/SSL kullanmayı kabul ettikten sonra, el sıkışmasını gerçekleştirmeye devam eder. El sıkışma, mesaj alışverişi için gereken özellikleri belirler. Aşağıdaki bölüm, TLS/SSL bağlantısını etkinleştirmek için bir dizi bilgi alışverişini özetlemektedir:

  1. Taraflar, kullanacakları protokolün versiyonu üzerinde anlaşırlar, ardından
  2. Kullanılacak şifreleme algoritmalarına veya şifre paketine karar verir, ardından
  3. İletişim kuran tarafların ortak anahtarları ve veren sertifika yetkilisinin dijital imzaları ile kimliklerini doğrular, ardından
  4. İletişim sırasında kullanılacak oturum anahtarlarını değiştirir. Hem TLS hem de SSL protokolleri, paylaşılan (genel) ve özel anahtarlar oluşturmak için asimetrik şifreleme kullanır.

Tarayıcı TLS/SSL sertifikasını doğrulayamazsa, "Bağlantı Özel Değil" hatası verir.

El sıkışma sırasında şifre çözme yöntemi oluşturulduktan sonra kayıt protokolü simetrik şifreleme kullanır tüm oturum için iletişim için. Ayrıca, kayıt protokolü ayrıca, veri bütünlüğünü sağlamak için TLS için HMAC ve SSL için MAC ile mesajı ekler.

Bu nedenle, protokoller güvenliğin üç temel hedefini gerçekleştirir:

  • Gizlilik: İçeriği yalnızca hedeflenen bir alıcının görüntüleyebileceği şekilde üçüncü taraflardan gizlemek için verileri şifreler.
  • Bütünlük: Şifrelenmiş mesaj içeriğini doğrulamak için mesaj doğrulama kodunu uygular.
  • Kimlik doğrulama: Bilgi alışverişinde bulunan tarafların kimliklerinden geri adım atmamasını sağlamak için web sitesinin/istemcinin/sunucunun kimliğini bir sertifika yardımıyla doğrular.

TLS ve SSL Arasındaki Fark Nedir?

Daha önce de belirtildiği gibi, her iki protokol arasında fark ettiğiniz temel fark, nasıl bağlantı kurduklarıdır. TLS anlaşması, bir protokol aracılığıyla bağlantı kurmanın örtük bir yolunu kullanırken, SSL bir bağlantı noktasıyla açık bağlantılar kurar.

Diğer tüm farklılıklardan bağımsız olarak, her iki TLS/SSL bağlantısını farklılaştıran temel özellik, bağlantının genel güvenliğine karar veren bir şifre paketinin kullanılmasıdır.

TLS/SSL bağlantısının önemli kısmı, anahtar değişimi için bir dizi algoritma tanımlayan bir şifre paketi üzerinde anlaşmaya varmaktır. kimlik doğrulama, toplu şifreleme ve karma tabanlı mesaj doğrulama kodu (HMAC) veya mesaj doğrulama kodu algoritmaları, vb. belirli bir oturum için. Her TLS/SSL sürümü, iletişim oturumu için farklı bir dizi şifre paketini destekler. Bu nedenle, her şifre paketi, güvenliği ve genel bağlantı performansını artıran kendi algoritma setini destekler.

SSL TLS
SSL, uygulanması karmaşık bir protokoldür. TLS daha basit bir protokoldür.
SSL'nin üç sürümü vardır ve bunlardan en sonuncusu SSL 3.0'dır. TLS'nin dört sürümü vardır ve bunların en sonuncusu TLS 1.3 sürümüdür
Tüm SSL protokolü sürümleri saldırılara karşı savunmasızdır. TLS protokolü yüksek güvenlik sunar.
SSL, veri bütünlüğü için mesaj şifrelemesinden sonra bir mesaj doğrulama kodu (MAC) kullanır TLS, kayıt protokolünde karma tabanlı bir ileti kimlik doğrulama kodu kullanır.
SSL, bir ana sır oluşturmak için mesaj özetini kullanır. TLS, bir ana sır oluşturmak için sözde rastgele bir işlev kullanır.

TLS, SSL'yi Neden Değiştirdi?

TLS şifrelemesi, web uygulamalarını veya aktarım sırasındaki verileri gizlice dinleme ve kurcalamaya karşı korumak için artık standart bir uygulamadır. Suç gibi ihlallere eğilimli olduğu için TLS'yi en güvenli protokol olarak varsaymak gerçekçi değildir. 2012 ve 2014'te Heartbleed, ancak performans açısından birçok gelişme gösterdi ve güvenlik.

TLS, SSL'nin yerini alıyor ve neredeyse tüm SSL sürümleri, bilinen güvenlik açıkları nedeniyle artık kullanımdan kaldırıldı. Google Chrome, 2014'te SSL 3.0 sürümünü kullanmayı bırakan böyle bir örnektir ve çoğu modern web tarayıcısı SSL'yi hiç desteklemez.

Şifreli İletişim için TLS Kullanın

TLS, kredi kartı ayrıntıları, e-postalar, IP üzerinden ses (VOIP), dosya aktarımı ve parolalar gibi hassas toplu taşıma bilgilerinin güvenliğini sağlamaya yardımcı olur. Her iki sertifika da aktarım sırasında veri şifreleme görevini yerine getirse de, işlevsellik açısından farklılık gösterirler ve birlikte çalışamazlar.

TLS'nin yalnızca SSL olarak anıldığını unutmamak önemlidir, çünkü SSL en yaygın kullanılan terminolojidir ve bir sertifikanın varlığı TLS protokolünün kullanımını garanti etmez. Ayrıca, her iki protokolü de desteklediği ve hangisinin kullanılacağına karar verdiği için tek yapmanız gereken sertifikayı sunucuya yüklemek olduğu için SSL'yi TLS sertifikalarına değiştirme konusunda endişelenmenize gerek yok.

Sitenizin SSL Sertifikasına İhtiyacı Olduğu 7 Neden

Mütevazı bir blog veya eksiksiz bir e-ticaret sitesi geliştiriyor olmanız önemli değil: bir SSL sertifikasına ihtiyacınız var. İşte bunun için bazı pratik nedenler.

Sonrakini Oku

PaylaşCıvıldamakE-posta
İlgili konular
  • Teknoloji Açıklaması
  • Güvenlik
  • SSL
  • OpenSSL
  • Çevrimiçi Güvenlik
  • Tarayıcı Güvenliği
  • Veri güvenliği
Yazar hakkında
Rumaisa Niazi (16 Makale Yayınlandı)

Rumaisa, MUO'da serbest yazar. Bir Matematikçiden Bilgi Güvenliği meraklısına kadar pek çok şapka taktı ve şu anda bir SOC Analisti olarak çalışıyor. İlgi alanları arasında yeni teknolojiler, Linux dağıtımları ve Bilgi Güvenliği ile ilgili her şey hakkında okuma ve yazma yer almaktadır.

Rumaisa Niazi'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın