İçindekiler
Eğer sadece standart HTTP protokolü kullanılıyorsa, düz metinde ifşa edilen bilgiler saldırılara karşı savunmasızdır. Bu nedenle, genellikle bilgilerin iletim sırasında korunduğundan ve şifrelendiğinden emin olmak için HTTPS protokolü kullanılır.
HTTP ve HTTPS arasındaki fark nedir?
HTTPS: HTTPS, SSL/TLS üzerinden HTTP anlamına gelir. HTTPS’nin HTTP’ye göre belirgin avantajları vardır:
HTTPS’nin avantajları:
Veri bütünlüğü: İçerik transferinin bütünlüğünü kontrol edin.
Veri gizliliği: İçerik simetrik olarak şifrelenir ve her bağlantı için benzersiz bir şifreleme anahtarı oluşturulur.
Kimlik doğrulama: Üçüncü bir taraf sunucunun (istemcinin) kimliğini taklit edemez.
SSL ve TLS Nedir?
SSL (Güvenli Soket Katmanı), 1994 yılında Netscape tarafından tasarlanan ve 1995 yılında 3.0 sürümü yayınlanan bir dizi protokoldür.
TLS (Transport Layer Security) Transport Layer Security, IETF tarafından SSL3.0’a dayalı olarak tasarlanmış bir protokoldür, SSL’nin sonraki sürümüne eşdeğerdir.
Her iki TLS ve SSL, verileri şifreleyen ve verileri İnternet üzerinde taşırken bağlantıları doğrulayan şifreleme protokolleridir.
TLS ve SSL arasındaki fark nedir?
SSL 1.0 hiçbir zaman kamuoyuna açıklanmadı. SSL 2.0 ilk kez Şubat 1995’te piyasaya sürüldü. SSL 2.0 kamuoyuna açıklansa da güvenlik açıkları içeriyordu ve hızla 1996’da SSL 3.0 tarafından yerini aldı.
TLS 1.0’ın ilk sürümü 1999 yılında SSL 3.0’ın bir yükseltmesi olarak piyasaya sürüldü. O zamandan beri üç daha fazla TLS sürümü piyasaya sürüldü, en sonuncusu Ağustos 2018’de TLS 1.3 oldu.
TLS, SSL’nin bazı güvenlik açıklarını gideren bir devamı olarak kabul edilebilir.
Bu tarihsel ilerleme grafiğinde SSL ve TLS’nin tam sürümünü anlayın:
Önceki makalede öğrendiğimiz gibi, iletilen veri genel ve özel anahtarlarla şifrelenir. Genel anahtar ve özel anahtar nereden geldi? Bu, kimlik doğrulama sorununu içerir.
Kimlik Doğrulama Nedir?
CA sertifikası geleneksel bir kimlik doğrulama modudur. CA merkezi, her kullanıcıya dijital bir sertifika verir ve bu sertifika, listedeki kullanıcının yasal olarak listelenmiş genel anahtara sahip olduğunu kanıtlamak için genel anahtarı kullanır.
Eğer sertifikanızı almak istiyorsanız önce CA’ya başvurmanız gerekir. CA sizi tanımladıktan sonra size kimlik bilgilerinize bağlı bir genel anahtar atar ve CA bunu imzalar ve size bir sertifika verir.
Dijital sertifikalar yalnızca çevrimiçi güvenlik sağlayabilir, diğer tarafın kimliğini doğrulamak için dijital sertifikaları kullanabilir ve e-posta, çevrimiçi işlemler ve kredi kartı alımlarının güvenliği garanti altına alınabilir.
Her kullanıcının bir çift genel ve özel anahtarı vardır.
Özel anahtar, şifre çözme ve imzalama için kullanılır ve sizin kullanımınız içindir.
Kullanıcı genel anahtarı açıklar ve kullanıcı diğerleri tarafından kullanılan imzayı şifreler ve doğrular.
SSL ve TLS, veri güvenliğini nasıl korur?
Bir sertifika bir sunucuya yüklendiğinde, sunucuda bir genel anahtar ve özel bir anahtar bulunur. Bu anahtarlar sunucuyu doğrular ve sunucunuzun verileri şifrelemesine ve şifreli verileri çözmesine izin verir.
Birisi sitenizi ziyaret ettiğinde, web tarayıcıları sitenizin SSL/TLS sertifikasını kontrol eder. Tarayıcı daha sonra sertifikanın geçerliliğini kontrol etmek ve sunucunuzu doğrulamak için bir “el sıkışma” gerçekleştirir.
Eğer SSL sertifikası geçersizse, “Bağlantınız özel değil” hatalarıyla karşılaşabilirsiniz.
Bir ziyaretçinin tarayıcısı sertifikanızın geçerli olduğunu belirlediğinde ve sunucunuzu doğruladığında, verileri güvenli bir şekilde iletmek için aralarında şifreli bir bağlantı oluşturur.
Örneğin, web sitenizde kredi kartı ödemelerini işlerseniz, TLS ve SSL verilerin güvenli bir şekilde işlenmesine yardımcı olabilir, böylece kötü niyetli aktörler ona sahip olamaz.
TLS’nin Avantajları: TLS, iki iletişen uygulama arasında gizlilik ve veri bütünlüğü sağlamak için kullanılır. Uygulama protokolünden bağımsızdır ve yüksek seviye protokolleri TLS protokolü üzerinde şeffaf bir şekilde dağıtılabilir. TLS standardı, uygulamaların TLS üzerinde güvenliği nasıl artırabileceğini belirtmez.