Kriptografi & Veri

SSL/TLS

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Tarayıcınızdaki adres çubuğunda gördüğünüz o küçük kilit simgesi, bankanıza girdiğiniz şifrenin yol boyunca kimse tarafından okunamamasını sağlayan SSL/TLS'in eseridir — bu olmadan internette gönderdiğiniz her veri açık kartpostal gibi taşınır.

Anlatım

NEDİR? SSL (Secure Sockets Layer) ve onun modern halefi TLS (Transport Layer Security), iki bilgisayar arasındaki ağ trafiğini şifreleyen kriptografik protokollerdir. Tarayıcı ile web sunucusu arasındaki bağlantıyı güvenli hale getirir; bunu HTTP üzerinde çalıştırdığımızda adres "HTTPS" olur. "SSL" terimi günlük dilde hâlâ kullanılsa da, gerçekte bugün her yerde çalışan protokol TLS'tir (güncel sürüm TLS 1.3). Eski SSL sürümleri (SSLv2, SSLv3) ve hatta TLS 1.0/1.1 güvenlik açıkları nedeniyle artık kullanım dışıdır. TLS üç temel güvenlik garantisi sunar: 1) Gizlilik (Confidentiality): Veri şifrelenir, araya giren biri trafiği okuyamaz. 2) Bütünlük (Integrity): Veri yolda değiştirilirse alıcı bunu fark eder. 3) Kimlik doğrulama (Authentication): Sunucunun gerçekten iddia ettiği site olduğu, dijital sertifika ile kanıtlanır. NASIL ÇALIŞIR? Bağlantı kurulurken "TLS handshake" (el sıkışma) adı verilen bir pazarlık gerçekleşir: 1) İstemci (tarayıcı) sunucuya "ClientHello" mesajı gönderir; desteklediği TLS sürümünü ve şifreleme yöntemlerini (cipher suite) bildirir. 2) Sunucu, kullanılacak yöntemi seçer ve dijital sertifikasını gönderir. Bu sertifika, güvenilir bir Sertifika Otoritesi (CA) tarafından imzalanmıştır ve sunucunun açık (public) anahtarını içerir. 3) İstemci, sertifikayı doğrular: İmza geçerli mi? Süresi dolmuş mu? Adres (domain) eşleşiyor mu? Bu adım kimlik doğrulamadır. 4) Taraflar asimetrik kriptografi (açık/özel anahtar) kullanarak güvenli biçimde ortak bir simetrik oturum anahtarı (session key) üzerinde anlaşır. TLS 1.3'te bu, geçici Diffie-Hellman (ephemeral) ile yapılır ve "forward secrecy" sağlar — yani sunucunun özel anahtarı ileride çalınsa bile geçmiş trafik çözülemez. 5) Handshake bittikten sonra asıl veri, hızlı olan simetrik şifreleme (örn. AES-GCM) ile bu oturum anahtarı üzerinden şifrelenerek aktarılır. Özetle: Yavaş ama güvenli asimetrik kriptografi sadece anahtar üzerinde anlaşmak için kullanılır; hacimli veri ise hızlı simetrik şifreleme ile taşınır. Bu "hibrit" yaklaşım hem güvenlik hem performans sağlar. NEDEN ÖNEMLİ / İŞ YERİNDE SSL/TLS, e-ticaret ödemelerinden kurumsal e-postaya, API entegrasyonlarından VPN'lere kadar modern internetin güven temelidir. Açık bir Wi-Fi ağında dahi HTTPS sayesinde oturum bilgileriniz, parolalarınız ve kişisel verileriniz araya giren saldırgan tarafından okunamaz (bu saldırı "man-in-the-middle" olarak bilinir). KVKK ve GDPR gibi veri koruma mevzuatları, kişisel verinin "aktarım sırasında" (in transit) şifrelenmesini fiilen zorunlu kılar; TLS bunun standart yoludur. PCI-DSS gibi kart ödeme standartları da güçlü TLS kullanımını şart koşar. DİKKAT / İYİ UYGULAMA • Yalnızca TLS 1.2 ve TLS 1.3 etkin tutulmalı; SSLv3, TLS 1.0 ve 1.1 kapatılmalıdır. • Sertifikaların süresi dolmadan yenilenmesi sağlanmalı; otomasyon (örn. ACME/Let's Encrypt) tercih edilmelidir. • "Geçerli kilit simgesi" sitenin güvenli iletişim kurduğunu gösterir, ancak sitenin niyetinin iyi olduğunu KANITLAMAZ — kimlik avı (phishing) siteleri de geçerli sertifika alabilir. Kilit, "iletişim şifreli" demektir; "bu site dürüst" demek değildir. • HSTS (HTTP Strict Transport Security) ile tarayıcının her zaman HTTPS kullanması zorlanmalıdır.

📌 Senaryolar
📌 Örnek 1: Bir kullanıcı tarayıcısına banka adresini yazıyor ve adres çubuğunda "https://" ile kilit simgesini görüyor. Açıklama: Tarayıcı ile banka sunucusu arasında bir TLS handshake gerçekleşti. Sunucu, güvenilir bir CA tarafından imzalı sertifikasını sundu; tarayıcı bunu doğruladı; taraflar bir oturum anahtarı üzerinde anlaştı. Artık girilen kullanıcı adı ve parola, ağ üzerinde AES gibi simetrik şifreleme ile şifrelenerek taşınıyor. Aradaki bir saldırgan trafiği yakalasa bile sadece anlamsız şifreli baytlar görür.
📌 Örnek 2: Bir çalışan, kafedeki açık (parolasız) Wi-Fi ağından şirket web uygulamasına HTTPS üzerinden giriş yapıyor. Açıklama: Açık Wi-Fi'de aynı ağdaki herhangi biri trafiği dinleyebilir (man-in-the-middle riski). Ancak uygulama TLS kullandığı için oturum çerezi ve parola şifrelidir; dinleyen kişi bunları okuyamaz. Buna karşılık site HTTP (şifresiz) olsaydı, saldırgan parolayı düz metin olarak görebilir, hatta oturumu çalabilirdi. Bu örnek, TLS'in neden kamusal ağlarda kritik olduğunu gösterir.
📌 Örnek 3: Bir kurum güvenlik taraması sonucu sunucusunda TLS 1.0 ve SSLv3'ün hâlâ açık olduğunu görüyor ve bunları kapatıp yalnızca TLS 1.2/1.3'ü bırakıyor. Açıklama: SSLv3 (POODLE) ve TLS 1.0 gibi eski sürümler bilinen kriptografik zafiyetler içerir; bir saldırgan bağlantıyı bu zayıf sürüme "düşürmeye" (downgrade) zorlayarak şifreyi kırmayı deneyebilir. Eski protokolleri devre dışı bırakmak, bu downgrade saldırılarını engeller ve uyumluluk (PCI-DSS, KVKK) gereksinimlerini karşılar. Bu, sertifika yenilemekten ayrı, sürekli yapılması gereken bir sıkılaştırma (hardening) adımıdır.
Özet

• SSL/TLS, ağ trafiğini şifreleyen protokoldür; HTTP ile birleşince HTTPS olur. Bugün fiilen kullanılan TLS'tir (SSL eskidir). • Üç garanti sağlar: gizlilik (şifreleme), bütünlük (değişiklik tespiti) ve kimlik doğrulama (dijital sertifika + CA). • TLS handshake'te asimetrik kriptografi ile ortak bir oturum anahtarı belirlenir; asıl veri hızlı simetrik şifreleme (örn. AES) ile taşınır. • İyi uygulama: yalnız TLS 1.2/1.3 açık tutulmalı, sertifikalar zamanında yenilenmeli; kilit simgesi "şifreli iletişim" demektir, sitenin dürüst olduğunu kanıtlamaz.

✅ Mini-Test (3)
1.SSL/TLS protokolünün sağladığı temel güvenlik garantileri arasında AŞAĞIDAKİLERDEN hangisi YOKTUR?
2.TLS handshake sırasında asimetrik (açık/özel anahtar) kriptografi esas olarak ne için kullanılır?
3.Tarayıcıda geçerli bir HTTPS kilit simgesi görmek, ziyaret edilen sitenin dürüst ve güvenilir bir kurum olduğunu kesin olarak kanıtlar.
← Tüm sözlük terimleri · Farkındalık eğitimi