TLS

Eş anlamlılar: Transport Layer Security

TLS (Transport Layer Security), SSL'in modern halefi olan şifreleme protokolüdür. Günümüzdeki tüm güvenli web trafiği TLS 1.2 veya TLS 1.3 kullanır. 'SSL sertifikası' terimi hala yaygın olsa da arka planda çalışan protokol TLS'tir.

TLS Nedir?

TLS (Transport Layer Security), SSL protokolünün modernize edilmiş halefidir. IETF tarafından standardize edilmiş, ağ üzerinde iki nokta arasındaki iletişimi şifreleyerek gizlilik, bütünlük ve kimlik doğrulama sağlar. Web tarayıcıları, e-posta sunucuları, VPN'ler ve mesajlaşma uygulamaları TLS kullanır.

SSL ve TLS Farkı

Teknik olarak SSL 3.0'dan TLS 1.0'a geçişte büyük protokol değişiklikleri yapıldı. Ancak pazarda "SSL sertifikası" ifadesi halen kullanılır. Günümüzde tüm modern web siteleri TLS 1.2 veya TLS 1.3 üzerinden çalışır — SSL protokolü (2.0 ve 3.0) artık kullanılmaz, güvensiz kabul edilir.

TLS Sürüm Karşılaştırması

  • TLS 1.0 (1999): Artık kullanılmaz. PCI-DSS 2018'den itibaren yasaklar.
  • TLS 1.1 (2006): Yine eski, yasaklanmış durumda.
  • TLS 1.2 (2008): Yaygın standart. AES-GCM desteği var. Hala güvenli.
  • TLS 1.3 (2018): En modern. Handshake 1-RTT yerine 0-RTT. Zayıf şifre suitleri kaldırıldı. %50'ye varan hız artışı.

TLS Handshake (El Sıkışma)

İki taraf arasında güvenli bağlantı kurulurken şu adımlar gerçekleşir:

  1. İstemci "ClientHello" ile desteklediği TLS sürümlerini ve şifre suitlerini gönderir
  2. Sunucu "ServerHello" ile seçtiği sürüm, şifre suiti ve sertifikayı gönderir
  3. İstemci sertifikayı doğrular (CA güveni + süre + domain adı)
  4. İstemci ve sunucu session key üzerinde anlaşır (Diffie-Hellman)
  5. Şifreli iletişim başlar

TLS 1.3 Yenilikleri

  • Handshake tek roundtrip'e düşürüldü (1-RTT)
  • 0-RTT resumption — daha önce bağlandığın sunucuya anında bağlan
  • RSA key exchange kaldırıldı (sadece ECDHE)
  • SHA-1, MD5, RC4 yasaklandı
  • Compression kaldırıldı (CRIME saldırısı önlenir)

Sunucu TLS Yapılandırması

Modern bir web sunucusu şunları sağlamalıdır:

  • TLS 1.2 + TLS 1.3 etkin
  • Zayıf cipher suite'leri devre dışı (DES, RC4, MD5)
  • HSTS (HTTP Strict Transport Security) başlığı
  • OCSP Stapling açık (sertifika doğrulama hızı)
  • Perfect Forward Secrecy (PFS) aktif
  • Session Tickets / Resumption

Test Araçları

  • SSL Labs (ssllabs.com/ssltest): A+ notu hedefi
  • testssl.sh: Komut satırı detaylı analiz
  • Qualys SSL Scan: Kurumsal raporlama

İlgili Terimler