Kriptolama konusunda IT veya bilgi güvenliği alanı dışındaki kuruluşlarda genellikle iki tür yaklaşım olur. Uyum, SSL Labs ve yeşil adres çubuğu ikonu ile ilgili olanlar ve HTTPS kriptolamasından bihaber olanlar. Son zamanlardaysa tüketiciler de şirketler de HTTPS kriptolamaya dayanan hizmetleri ve ortakları tercih etmekte. Daha da önemlisi, SSL Labs seviyelendirmesi ve daha agresif ve ayrıntılı tarayıcı uyarıları ve kısıtlamaları gibi araçlar bir sitede veya hizmette güçlü bir kriptolama olup olmadığını anlama konusunda karar vermeyi iyice basit bir hale getirdi.
Bu durumda sormamız gereken sorula ise şunlar: Neden tarayıcılar daha kısıtlayıcı bir hal aldı? SSL Labs seviyeleri neden bu kadar önemli?
Bilgi güvenliği alanındaki pek çok kişinin felaket tellallığına rağmen, internetin güvenlik bakımından genel gidişatı sürekli iyi yönde. Ağ katmanı güvenliği iyi anlaşılmış durumda ve oldukça gelişmiş güvenlik duvarları kolayca kurulup yönetilebiliyor. Bunun sonucunda da saldırganlar sosyal mühendislik, uç nokta kötü amaçlı yazılımları ve uygulama seviyesi açıkları üzerinden daha zayıf halkaları istismar etmek zorunda kalıyor. Uygulama seviyesindeki saldırıları zorlaştırmak için kullandığımız araçlardan biri HTTPS kriptolama. Doğal olarak bu kriptolama sistemi de saldırıların hedefi halini almış durumda.
Geçtiğimiz 2-3 yıl içerisinde HTTPS kriptolamanın açıkları çok fazlaydı. Heartbleed, BEAST, POODLE, FREAK, LogJam, WeakDH ve DROWN bu kısa süre içerisinde ortaya çıkan sayısız açıktan ve saldırıdan yalnızca birkaçı. Çoğu zaman bu saldırılar ve açıklar HTTPS kriptolamayı kaldıran sunucu tarafından kullanılan şifre paketi güçlendirilerek ortadan kaldırılabilmişti.
SSL Labs 2009 yılında çıktı ama adından sıkça bahsettirmeye ve kullanılmaya başlanması 2012 yılını buldu. BEAST ve CRIME gibi yüksek profilli SSL açıklarının ortaya çıktığı yılın 2011 olması da tesadüf değildi. SSL Labs Nisan 2012’de SSL Pulse raporlarını yayınlamaya başladığından beri “A” seviyesindeki site sayısı %11’den Temmuz 2016 itibarıyla %40’a çıktı. Bu da internet güvenliği konusunda düzenli ve ciddi bir gelişme olduğunun göstergesi.
Google Chrome, Mozilla Firefox, Apple Safari ve Microsoft Internet Explorer/Edge gibi web tarayıcıları kullanıcılarına giderek daha fazla güvenlik sunmaya gayret ediyor. Bu tarayıcıların güvenlik özellikleri arasında HTTPS bağlantılarının kontrol edilmesi ve son kullanıcıya uyarı mesajları gönderilmesi de bulunmakta. Bu sertifika, kriptolama ve protokol uyarıları giderek daha katı bir hal aldı ve web sitelerinin müşteri güveni oluşturması bakımından daha doğrudan ve güçlü bir etki yaratır oldu. SSL Labs ise web sitelerinin tarayıcıda nasıl görüntüleneceği konusundaki en önemli ölçüt halini aldı.
Uyum konusu her zaman güvenlik anlamına gelmese de, en son PCI Dijital Güvenlik Standartları (Digital Security Standards/DSS) HTTPS tabanlı bağlantılarda kullanılan kriptolamanın gelişimi üzerinde büyük etkiye sahip. 2015 yılında çıkan PCI DSS v3.1 kredi kartı bilgilerini içeren tüm HTTPS bağlantılarında kriptolama protokolü olarak Transport Layer Security (TLS) 1.1 veya daha üst biri sürümün kullanılmasını şart koşmuştu. SSL v3 ve TLS 1.0’dan TLS 1.1+’ya geçişin tamamlanma süresi 2018 yılına kadar uzatılmış olsa da, birçok kuruluş şu an web uygulamalarının bu yeni standartla uyumlu hale gelmesi için harıl harıl çalışmakta. SSL Labs seviyelendirme kriterlerine göre TLS 1.2’nin desteklenmediği durumlarda genel seviye C olarak belirleniyor.
TLS protokol versiyonu önemli çünkü bu protokol mevcut şifre paketleri üzerinde etkiye sahip. HTTPS bağlantılarının gizliliği hususunda en büyük önem ise Perfect Forward Secrecy (PFS) şifrelerine ait. PFS’in gizliliği nasıl etkilediği konusunu basitleştirmek adına, şu meşhur Heartbleed açığını düşünebilirsiniz. Heartbleed açığının istismar edilmesine dair en büyük korku HTTPS işlemlerini kriptolamak için kullanılan özel anahtarın sunucu belleğinden atılabiliyor olmasıydı. Bu özel anahtarı eline geçiren bir saldırgan daha önceden kaydedilmiş kriptolu işlemlerin kriptosunu açabiliyordu. PFS şifreleri kısa süreli veya tek oturumluk özel anahtarların kullanılmasıyla bu etkiyi azalttı.
TLS 1.2 kullanımının mecburi olmasıyla, daha iyi ve güçlü şifreler ortaya çıktı ve BEAST veya Heartbleed gibi eski açıklar artık geçerliliğini yitirdi. Ne var ki, bazı eski tarayıcıların veya istemci çeşitlerinin en son şifreleri ve protokolleri desteklemeyebileceği de unutulmamalı. Bu uyum kısıtlılığı kimi zaman iyi olabiliyor çünkü eski ve güvensiz tarayıcıların kullanılamamasına neden oluyor. Kimi zaman ise çok büyük veya kritik öneme sahip son kullanıcı gruplarını etkileyebiliyor. Birçok web analizi aracında bulunan özelliklerle tarayıcı ve istemci tiplerini analiz ederek daha modern şifre ve protokol kullanımının şart kılınmasının yaratabileceği muhtemel etkiyi önceden tahmin etmek de mümkün.
Geleceğe bakacak olursak, Apple’ın iOS 9’da App Transport Security (ATS) kullanmaya başladığını ve uygulama geliştiricilerinin iOS 10’la birlikte ATS kullanmalarını şart koşacağını biliyoruz. IETF de TLS v1.3 üzerinde sıkı bir şekilde çalışıyor. TLS 1.3’ün son hali üzerinde bazı fikir ayrılıkları olsa da, yeni sürümün piyasaya çıkmasıyla birlikte PFS’in çok sayıda kişi ve kurum tarafından kullanılacağı kesin. Bu değişimlerin yanı sıra, HTTP/2 standardı da giderek yaygınlaşıyor. HTTPS/2 yalnızca HTTPS ve PFS şifrelerini kullanıyor. Bu katı kriptolama şartlarına rağmen, HTTP/2’nin HTTP/1.0 ve HTTP/1.1’e göre daha verimli ve hızlı olması bu standardın giderek daha yaygın bir şekilde kullanılmasına neden olmuş durumda.
Özetle, güvenlik ticari kuruluşlar için önemli bir rekabet unsuru halini aldı. SSL Labs ve tarayıcı uyarıları gibi araçlar HTTPS’in nasıl kullanıldığı konusundaki görünürlüğü ve farkındalığı arttırdı. Şirketlerin HTTPS kriptolama üzerinden rakiplerine karşı avantaj elde edebilmeleri için, bilgi güvenliğinden uygulama geliştirmeye, altyapıdan operasyonlara kadar tüm teknoloji ekipleriyle birlikte çalışarak HTTPS’in e-ticaret sistemlerinin performansını veya kullanılabilirliğini etkilememesini sağlamaları gerekmekte.