SSL/TLS Protokolü Nedir? Nasıl Çalışır?


Bir organizasyon veya bir şirket internet üzerinden kullanıcılarının verilerini korumak ve onları güvenli bir şekilde işlemekten sorumludur. Özellikle bankalar ve e-ticaret siteleri gibi gizliliğin ve güvenliği önemli olduğu web siteleri SSL/TLS Protokolü büyük önem taşımaktadır. Verilerin güvenliğini ve gizliliğini sağlayabilmek için SSL/TLS Protokolü Nedir ve Nasıl Çalışır sorularının yanıtlarını bilmek gerekir.

SSL/TLS Protokolü Nedir?

Geçmişten günümüze SSL/TLS Protokolü belli aşamalardan geçmiş ve SSL protokolünde çıkan açıklar TLS protokolünde giderilerek daha güvenli bir yapı ortaya çıkarılmıştır. SSL/TLS Protokolü ‘nü ayrı ayrı ele alarak detaylarına bakalım.

SSL Nedir?

SSL yapısı ile birlikte internet ortamında istemci ve sunucu arasındaki veri transferlerinin şifreli ve güvenli bir şekilde yapılabilmesi sağlanmaktadır. SSL sertifikaları dijital ortamda organizasyon ve kurumlar için bir kimlik gibidir çünkü SSL sertifikaları Sertifika Makamları – SM (Certificate Authority – CA) tarafından üretilirken şirket bilgileri de sertifika içersine eklenmektedir. Sertifika Makamları ile ilgili detaylı bilgiye Public Key Infrastructure – Açık Anahtar Altyapısı Nedir? başlıklı yazıdan ulaşılabilir. SSL Sertifikalarının işlevselliği ve sağlamış oldukları özelliklere göre seçeneleri vardır. Bunlar, Domain Validation – DV, Organization Validation OV ve Extended Validation EV olmak üzere üçe ayrılır.

Domain Validation – DV

Domain Validation yapısında oluşturulan sertifika içerisinde yalnızca kullanılacağı web sitesinin URL adresi bulunur ve organizasyon veya kurum, kurulaşa ait herhangi bir bilgi bulunmaz. DV tipinde bir SSL sertifikası ile yalnıza URL adresinin doğruluğu kanıtlanabilir. İçerisinde bir kişi yada kuruma ait bilgi olmadığı için domain üzerinden SSL sertifikası kullanılarak web sitesinden kim hizmet veriyor, kimin web sitesi anlamak mümkün değildir. Bu nedenle çok fazla güvenliğe ihtiyaç duyulmayan ve bir organizasyona bağlı olması gerekmeyen web sitelerinde tercih edilebilir.

Organization Validation – OV

Organization Validation yapısında oluşturulan sertifika içerisinde Domain Validation yapısına ek olarak, organizasyon veya kurum kuruluş bilgileri de yazılmaktadır. Böylelikle bu tipteki bir SSL sertifikası hem domain adresinin yani URL adresinin doğruluğunu kanıtlarken hem de web sayfası üzerinden hangi organizasyon, kurum veya kuruluşun hizmet verdiğini doğrulanabilir bir şekilde gösterir. İnternet üzerinden önemli bilgileri alan, işleyen web sitelerinde en az OV tipinde SSL sertifikası olmalıdır ki kullanıcılarında güven duygusu oluşturabilsin. E-Ticaret sitelerinde minimum OV tipinde bir SSL sertifikası olmalı, böylelikle kullanıcılar kimden alışveriş yaptığını doğru bir şekilde öğrenebilmelidir.

Extended Validation – EV

Extended Validation yapısında oluşturulan sertifika en güçlü doğrulama verilerine sahip SSL sertifikasıdır. Bu sertifika içerisinde domain, organizasyon bilgilerinin yanı sıra sertifikanın alındığı firmaya ait fiziksel adres bilgileri de bulunmaktadır. Güvenlik anlamında bir çok kriteri karşılayarak, bankalar ve e-ticaret siteleri gibi kullanıcıdan kritik bilgileri alan ve işleyen web siteleri için kullanılması önemli olan SSL sertifika tipidir.

SSL Sertifika Tipleri

Ayrıca SSL sertifikaları web sitelerine verilirken kullanım alanlarına göre farklılık göstermektedir;

  • Standart SSL Sertifikaları, yalnızca bir adet domain adresinin doğruluğunu kanıtlayacal şekilde hazırlanan SSL sertifikalarıdır.
  • Multi-Domain SSL Sertifikaları, birden fazla domain’in tek bir sertifika içerisinde tanımlanmasına olanak veren SSL Sertifika tipidir.
  • Wildcard SSL Sertifikaları, Tüm subdomain’i kapsayacak şekilde oluşturulan SSL Sertifika tipidir. *.gelecex.com şeklinde oluşturulur ve gelecex.com web sitesinin limit olmadan tüm subdomain adreslerinin doğruluğunu kanıtlayabilir.

TLS Nedir?

SSL 3.0‘da farkedilen POODLE Attack ile birlikte SSL protokolü blok şifreleme algoritmaları için 2014 yılından itibaren güvensiz kabul edilmiştir. Yalnızca RC4 algoritması desteklenmektedir, fakat bu algoritmanında kırılabileceği öngörülmektedir. Bu güvenlik zaviyetlerinden dolayı TLS 1.0 SSL 3.0‘ın yerini almıştır. TLS 1.0 SSL protokolünün güncellenmiş halidir. Zaman içerisinde TLS 1.0 üzerinde de bir çok güvenlik güncellemesi yapılmıştır. Yapılan güncellemelerin versiyon bazında detaylarına wikipedia sayfasından ulaşabilirsiniz. Ayrıca POODLE Attach ile ilgili daha detaylı bilgiye buradan ulaşabilirsiniz.

SSL Nasıl Çalışır?

Yaygın olarak bilinen adıyla SSL (Secure Socket Layer), yeni adıyla TLS (Transport Layer Security) teknolojisi, istemci ve sunucu arasındaki iletişimin güvenli ve şifreli bir şekilde gerçekleşmesi için simetrik ve asimetrik şifreleme yöntemlerini kullanmaktadır. Güvenli ve şifreli iletişim yalnızca bir web sunucusu ile istemci arasında olmak zorunda değildır. Secure E-Mail, VoIP ve diğer güvensiz ağ üzerinden yapılan bağlantılar da yine SSL/TLS protokolleri kullanılarak güvenli ve gizli hale getirilebilir. Sunucu ile istemci arasında gönderilip alınan verinin hızlı olması açısından simetrik şifreleme yöntemi ile şifrelenmesi daha uygun olacaktır. Fakat burada simetrik şifreleme için üretilen özel anahtarın güvenli yolla paylaşılması gerekmekte, ayrıca istemci ve sunucu haricinde üçüncü bir tarafın bu özel anahtara ulaşamaması gerekmektedir. SSL kullanılan sistemler için Güvenli Bağlantının Başlangıcı aşamasında simetrik şifreleme için üretilen özel anahtarın paylaşımı için asimetrik şifreleme yöntemlerinden faydalanılmakta ve açık ve özel anahtar (public private keys) çiftleri kullanılmaktadır.

SSL Çalışma Adımları

  • İstemci web sitesine giriş yapmak için sunucu tarafına bir istekte bulunur,
  • Sunucu istemcinin bu isteğine asimetrik anahtar çiftlerinden olan açık anahtarı / sertifikayı (public key / certificate) göndererek karşılık verir. Bu adımda gönderilen sertifika içerisinde organizasyon veya kuruluşun Sertifika Makamı – SM (Certificate Authority – CA) tarafından onaylanmış bilgileri bulunmaktadır. Bu şekilde istemci sunucunun hangi kuruluşa ait olduğunu doğrulayabilir. Ayrıca sunucu tarafındna gönderilen sertifikanın geçerlilik tarihi, algoritması vb. parametreleri kontrol edilerek sertifikanın geçerli olup olmadığı kontrol edilir.
  • İstemci tarafında sunucu ile veri alışverişini güvenli yolla sağlamak için simetrik şifreleme yöntemi kullanılır ve bunun için bir özel anahtar üretilir. Bu özel anahtar sunucunun açık anahtarı ile şifrelenerek sunucuya gönderilir. Sunucunun açık anahtarı (public key) ile şifrelenen veri yalnızca sunucuda oluşturulan açık anahtar değerinin eşleniği olan özel anahtar (private key) ile çözülebilir.
  • Sunucu tarafında özel anahtar kullanılarak şifre çözülür ve verilerin şifreli gönderilmesi için gerekli olan simetrik şifrelemede kullanılacak özel anahtar elde edilir.
  • Sunucu ile istemci arasındaki gönderilecek tüm veriler bu adımdan sonra simetrik şifrelemede kullanılacak özel anahtar ile şifrelenerek gönderilir. Bu şekilde istemci tarafındaki kullanıcı web sayfası içeriğini güvenli bir şekilde görüntüleyebilir.
SSL Nasıl Çalışır?

TLS Nasıl Çalışır?

TLS Handshake (TLS güvenli bağlantı başlangıcı) süreci SSL süreçlerinden biraz farklı ilerlemektedir. TLS Handshake işlemleri;

  • İstemci sunucuya, kendi SSL versiyonunu, şifre ayarlarını, oturum verisini ve sunucunun istemciyle iletişime geçmesi için gerekli diğer verileri yollar,
  • Sunucu da kendi SSL versiyonunu, şifre ayarlarını, oturum verisini ve istemcinin sunucuyla iletişime geçmesi için gerekli diğer verileri yollar. Sunucu ayrıca istemciye sertifikasını da gönderir.
  • İstemci sertifika üzerinden sunucu bilgilerini ve sertifika geçerliliğini doğrular. Eğer sunucu doğrulanamazsa, istemci tarafında şifreleme ve doğrulamanın başarılı olmadığı yönünde bir hata mesajı ile kullanıcı bilgilendirilir. Doğrulama başarılı olduğu takdirde işlemler aşağıdaki sırada devam ederler.
  • İstemci oturum için ilk oluşturduğundan farklı yeni bir gizli veri oluşturur ve sunucunun açık anahtar değeri ile gizli veriyi şifreleyerek sunucuya gönderir.
  • Eğer sunucu istemciden kimliğimi kanıtlamasını isterse;
    • İstemci hem kendi tarafından bilinen hem de sunucu tarafından bilinen bir veriyi imzalayarak, imzalamayı yaptığı sertifikası ve ikinci kez paylaşılan gizli veriyi sunucu tarafına gönderir.
    • Sunucu kendisine gelen imzalı veriyi doğrulamaya çalışır, doğrulayamazsa oturum sona erer. Doğrulama başarılı olursa, ikincil gönderilen şifreli veriyi özel anahtarını kullanarak çözer ve ardından esas paylaşılacak gizli veriyi oluşturur.
  • İstemci ve sunucu ikinci gizli veriyi kullanarak oturum anahtarı oluştururlar. Bundan sonraki adımlarda bu oturum için üretilen anahtar kullanılarak veri şifrelenerek istemci ve sunucu arasında güvenli bağlantı kurulmuş olur.
  • İstemci ve sunucu karşılıklı olarak birbirlerine bundan sonra gelecek mesajların oturum anahtarı ile şifreleneceğini ve ardından farklı bir mesajla handshake işleminin kendi kısmına ait işlemlerin bittiğini belirten mesajlar yollarlar.

Oluşturulan oturum anahtarı üzerinden veriler şifrelenerek iletişim devam ederken, iki taraftan birinin isteği doğrultusunda oturum anahtarı yuklarıdaki adımlar tekrar edilecek şekilde yenilebilir.

Tüm bu işlemler istemci tarafındaki kullanıcı tarafından hiç hissedilmez ve yalnızca web sitesi açılana kadar yukarıda bahsedilen tüm işlemler tamamlanmış olur. Kullanıcı yalnızca internet tarayıcısının (internet browser) adres çubuğunda web sitesine güvenildiğine dair bir kilit işareti veya güvenilmediğine dair bir uyarı (Not Secure) görür.

Referanslar

https://www.mediaclick.com.tr/blog/ssl-nedir
https://medium.com/@gokhansengun/ssl-sertifika-tipleri-nelerdir-3427bcd4a576
https://www.argenova.com.tr/ssl-sertifika-cesitleri-nelerdir
https://forum.shiftdelete.net/threads/ucretsiz-ssl-sertifikasi-nasil-alinir-anlatim.598865
https://www.argenova.com.tr/ssl-sertifikasi-nedir
https://www.entrustdatacard.com/pages/ssl
https://tr.wikipedia.org/wiki/Transport_Layer_Security


 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir