SSL protokolü ve yeni sürümü TLS, bir ağdaki alışverişleri güvence altına almak için kullanılır. Veriler bir noktadan diğerine geçerken açık değil şifreli olarak gönderilir.
SSL, İnternet veya dahili ağ üzerinden iletişim kuran, tipik olarak bir web sunucusu veya posta sunucusu ve bir istemci makinesi olmak üzere iki makine arasındaki bağlantıyı güvence altına almak için genel anahtar ve simetrik anahtar şifrelemesini birleştirir.
Başlıklar
OSI referans modelini kullanan SSL, verilerin bir ağ üzerinde taşınmasından ve yönlendirilmesinden sorumlu olan TCP/IP protokolünün üzerinde ve İnternet Protokolünün uygulama katmanında ağ bağlantısı verilerini şifreleyen HTTP ve IMAP gibi daha genel protokollerin altında çalışır.
Protokol adındaki “soketler”, bir ağdaki bir istemci ve bir sunucu programı arasında veya aynı bilgisayardaki program katmanları arasında soketler aracılığıyla veri iletmenin çift yönlü yöntemini ifade eder.
SSL/TLS şifrelemesi İnternette daha yaygındır ve İnternet kullanıcısının tarayıcısı ile bir Web uygulamasının barındırıldığı sunucu arasındaki bağlantının korunmasına yardımcı olur.
Böylece, SSL/TLS koruması ile gerçekleştirilen alışverişler şunları mümkün kılar:
- Aktarılan tüm verilerin, okunamaz hale getirmek için bir dizi algoritmik ve kriptografik anahtar aracılığıyla şifrelendiğinden emin olmak.
- Kaybolmadan veya değiştirilmeden değiş tokuş edilen verilerin bütünlüğünü sağlamak.
- Bu verilerin iletildiği sunucunun kimliğini sağlamak
İnternetteki SSL/TLS protokolleri
SSL/TLS, İnternet’teki çeşitli tehditler karşısında büyük ölçüde demokratikleştirildi. Bu şifreleme, özellikle ortadaki adam saldırılarından, yani verilerin üçüncü bir şahıs tarafından ele geçirilmesi ve değiştirilmesinden kaçınmayı mümkün kılar.
Bir çevrimiçi banka, bir forum veya bir e-ticaret mağazası, hassas verilerin gönderilmesini gerektirir. Bu nedenle SSL/TSL üzerinden şifreli bir bağlantı kullanırlar. Daha doğrusu protokol, HTTPS’yi oluşturmak için HTTP’ye eklenir.
Güvenli alışverişlere izin vermek için, bir İnternet servis sağlayıcısının sunucularına mutlaka bir SSL/TLS sertifikası yüklemesi gerekir. İkincisi, bu sunucuların sahibinin meşruiyetini sağlayan güvenilir bir otorite tarafından verilir. Bu doğrulama cihazı, seçilen SSL/TLS sertifikasının türüne bağlı olarak az çok kapsamlıdır.
SSL/TLS’nin Yaygınlaşması
Mozilla, Cisco ve Electronic Frontier Foundation tarafından oluşturulan Let’s Encrypt girişimi, bir web sitesinin tüm sahiplerine, en azından iletilen verileri korumaya izin veren temel bir sertifika sunmayı amaçlamaktadır.
Aslında, web sunucularının çoğu artık bir web sitesine SSL sertifikasının ücretsiz ve kolay etkinleştirilmesini sunmaktadır. Bu nedenle günümüzde çoğu İnternet bağlantısı HTTPS korumalıdır. Ayrıca Google tarafından SEO algoritmaları içerisinde dikkate alınan bir kriter haline gelmiştir.
SSL protokolünün geçmişi
SSL protokolü, 90’lı yıllarda Netscape Communications tarafından geliştirildi.
Şirket, kredi kartı numaraları gibi hassas verilerin korunmasını sağlamak için popüler Netscape Navigator tarayıcısı ve İnternet’teki web sunucuları arasında aktarılan verilerini şifrelemeye çalıştı.
Protokolün 1.0 sürümü hiçbir zaman yayınlanmadı ve Şubat 1995’te yayınlanan sürüm 2.0’da bir dizi güvenlik açığı vardı.
Tam bir revizyondan sonra, sürüm 3.0 1996’da yayınlandı. Hiçbir zaman resmi olarak standardize edilmemesine rağmen (IETF, SSL 3.0’ın taslak 1996 sürümünü RFC 6101’de bir geçmiş sayfası olarak yayınladı), İnternet iletişim güvenliği için fiili standart haline geldi.
IETF, açık bir süreçte standardizasyon için SSL protokolünü resmi olarak devraldığında, SSL sürüm 3.1, Taşıma Katmanı Güvenliği (Transport Layer Security) 1.0 olarak yayınlandı.
Önceki sürümlerde bulunan eksiklikleri gidermek için güvenlik geliştirmeleri yaptı. Netscape ile ilgili yasal sorunlardan kaçınmak için ad değiştirildi.
POODLE güvenlik açığı, Şifre Blok Zincirleme (CBC) modunda çalışırken doldurma baytlarını yok saydığı gerçeğine dayanan SSL 3.0 protokolünde iyi bilinen bir kusurdur.
Bu kusur, bir bilgisayar korsanının tanımlama çerezleri gibi hassas bilgilerin şifresini çözmesine izin verebilir. TLS 1.0, tüm doldurma baytlarının aynı değere sahip olması ve doğrulanması gerektiğini belirttiğinden, bu saldırıya karşı savunmasız değildir.
SSL ve TLS arasındaki diğer önemli farklılıklar, ikincisini daha güvenli ve verimli bir protokol haline getirir: mesaj doğrulama, anahtar oluşturma ve TLS’nin daha yeni ve daha güvenli algoritmaları desteklemesiyle desteklenen şifre paketleri. TLS ve SSL birlikte çalışabilir değildir, ancak TLS, eski sistemlerle çalışabilmesi için geriye dönük uyumluluk sunar.