Hem TLS hem de SSL, İnternet’te verileri güvenli bir şekilde doğrulamanıza ve aktarmanıza yardımcı olan protokollerdir. Peki TLS ve SSL arasındaki fark nedir?
Bu makalede TLS ile SSL arasındaki temel farkları ve her iki protokolün de HTTPS‘ye nasıl bağlandığını öğreneceksiniz. Ayrıca, bir son kullanıcı olarak neden TLS ile SSL arasında veya “SSL sertifikası” mı yoksa “TLS sertifikası” mı kullandığınız konusunda çok fazla endişelenmenize gerek olmadığını da öğreneceksiniz.
İçerik Tablosu
TLS ve SSL Arasındaki Fark Nedir?
Aktarım Katmanı Güvenliği’nin kısaltması olan TLS ve Güvenli Yuva Katmanları’nın kısaltması olan SSL, verileri İnternet’te taşırken verileri şifreleyen ve bir bağlantının kimliğini doğrulayan şifreleme protokolleridir.
Örneğin, web sitenizde kredi kartı ödemelerini işliyorsanız , TLS ve SSL, kötü niyetli kişilerin bu verileri ele geçirememesi için bu verileri güvenli bir şekilde işlemenize yardımcı olabilir.
Peki TLS ve SSL arasındaki fark nedir?
TLS aslında SSL’nin daha yeni bir sürümüdür . Önceki SSL protokollerindeki bazı güvenlik açıklarını giderir .
Ayrıntılar hakkında daha fazla bilgi edinmeden önce SSL ve TLS’nin temel geçmişini anlamak önemlidir.
SSL 2.0 ilk olarak Şubat 1995’te piyasaya sürüldü (SSL 1.0, güvenlik kusurları nedeniyle hiçbir zaman kamuya açıklanmadı). SSL 2.0 halka açık olmasına rağmen güvenlik kusurları da içeriyordu ve 1996’da hızla yerini SSL 3.0 aldı.
Daha sonra 1999 yılında SSL 3.0’a yükseltme olarak TLS’nin ilk sürümü (1.0) yayınlandı. O zamandan bu yana, en son sürüm Ağustos 2018’deki TLS 1.3 olmak üzere üç TLS sürümü daha yayınlandı .
Bu noktada, her iki genel SSL sürümü de kullanımdan kaldırılmıştır ve bilinen güvenlik açıklarına sahiptir (bu konuya daha sonra değineceğiz).
İşte SSL ve TLS sürümlerinin tam geçmişi:
- SSL 1.0 – güvenlik sorunları nedeniyle asla kamuya açıklanmaz.
- SSL 2.0 – 1995’te piyasaya sürüldü. 2011’de kullanımdan kaldırıldı. Bilinen güvenlik sorunları var.
- SSL 3.0 – 1996’da piyasaya sürüldü. 2015’te kullanımdan kaldırıldı. Bilinen güvenlik sorunları var.
- TLS 1.0 – 1999’da SSL 3.0’a yükseltme olarak piyasaya sürüldü. 2020’de planlanan kullanımdan kaldırma.
- TLS 1.1 – 2006’da yayınlandı. 2020’de kullanımdan kaldırılması planlanıyor.
- TLS 1.2 – 2008’de yayınlandı.
- TLS 1.3 – 2018’de yayınlandı.
TLS ve SSL Verilerin Güvenliğini Sağlamak İçin Nasıl Çalışır?
Web sunucunuza bir SSL/TLS sertifikası yüklediğinizde, sunucunuzun kimliğini doğrulayan ve sunucunuzun verileri şifrelemesine ve şifresini çözmesine olanak tanıyan bir genel anahtar ve bir özel anahtar içerir.
Bir ziyaretçi sitenize girdiğinde web tarayıcısı sitenizin SSL/TLS sertifikasını arayacaktır. Ardından tarayıcı, sertifikanızın geçerliliğini kontrol etmek ve sunucunuzun kimliğini doğrulamak için bir “el sıkışma (handshake)” gerçekleştirecektir . SSL sertifikasının geçerli olmaması halinde kullanıcılarınız “ bağlantınız gizli değil ” hatasıyla karşılaşabilir ve bu durum sitenizden ayrılmalarına neden olabilir.
Bir ziyaretçinin tarayıcısı sertifikanızın geçerli olduğunu belirleyip sunucunuzun kimliğini doğruladıktan sonra, verileri güvenli bir şekilde taşımak için esasen kendisiyle sunucunuz arasında şifreli bir bağlantı oluşturur.
Burası aynı zamanda HTTPS’nin devreye girdiği yerdir (HTTPS, “SSL/TLS üzerinden HTTP” anlamına gelir).
HTTP ve daha güncel olanı HTTP/2 , İnternet üzerinden bilgi aktarımında önemli bir rol oynayan uygulama protokolleridir.
Düz HTTP ile bu bilgiler saldırılara karşı savunmasızdır. Ancak SSL veya TLS (HTTPS) üzerinden HTTP kullandığınızda , aktarım sırasında bu verileri şifreler ve doğrularsınız, bu da verileri güvenli kılar.
Kredi kartı ayrıntılarını HTTPS üzerinden güvenli bir şekilde işleyebilmenizin ancak HTTP üzerinden yapamamanızın ve ayrıca Google Chrome’un HTTPS’nin benimsenmesi için bu kadar çaba göstermesinin nedeni budur.
SSL Kullanımdan Kaldırılmışsa Neden SSL Sertifikası Olarak Adlandırılıyor?
Yukarıda, TLS’nin SSL’nin daha yeni sürümü olduğunu ve SSL’nin her iki genel sürümünün de birkaç yıldan beri kullanımdan kaldırıldığını ve bilinen güvenlik açıklarını içerdiğini aktarmıştık.
Şunu merak ediyor olabilirsiniz: Buna neden TLS sertifikası değil de SSL sertifikası deniyor? Sonuçta TLS modern güvenlik protokolüdür.
Çoğu insanın bunlara hala SSL sertifikası demesinin nedeni temelde bir markalama sorunudur. Çoğu büyük sertifika sağlayıcısı sertifikaları hâlâ SSL sertifikaları olarak adlandırıyor; bu nedenle adlandırma kuralı devam ediyor.
Gerçekte, reklamını gördüğünüz tüm “SSL Sertifikaları” aslında SSL/TLS Sertifikalarıdır.
Yani sertifikanızla hem SSL hem de TLS protokollerini kullanabilirsiniz.
Yalnızca SSL sertifikası veya yalnızca TLS sertifikası diye bir şey yoktur ve SSL sertifikanızı TLS sertifikasıyla değiştirme konusunda endişelenmenize gerek yoktur.
TLS mi yoksa SSL mi Kullanmalısınız? TLS, SSL’nin yerini mi alıyor?
Evet, SSL’nin yerini TLS alıyor. Ve evet, SSL yerine TLS kullanmalısınız.
Yukarıda öğrendiğiniz gibi, SSL’nin her iki genel sürümü de büyük ölçüde bilinen güvenlik açıkları nedeniyle kullanımdan kaldırılmıştır. Bu nedenle SSL, 2019 ve sonrasında tamamen güvenli bir protokol değildir.
SSL’nin daha modern versiyonu olan TLS güvenlidir. Dahası, TLS’nin son sürümleri aynı zamanda performans avantajları ve başka iyileştirmeler de sunuyor .
TLS yalnızca daha güvenli ve performanslı olmakla kalmıyor, çoğu modern web tarayıcısı artık SSL 2.0 ve SSL 3.0’ı desteklemiyor. Örneğin, Google Chrome, SSL 3.0’ı desteklemeyi 2014’te tamamen durdurdu ve büyük tarayıcıların çoğu, 2020’de TLS 1.0 ve TLS 1.1’i desteklemeyi bırakmayı planlıyor.
Aslında Google, Chrome’da ERR_SSL_OBSOLETE_VERSION uyarı bildirimlerini göstermeye başladı. Bu web sitelerinin eğer kullanıyorlarsa eski sürüm TLS sertifikası kullandığı anlamına gelen bir uyarıdır.
Peki, eski, güvenli olmayan SSL protokollerini değil, TLS’nin en yeni sürümlerini kullandığınızdan nasıl emin olabilirsiniz?
Öncelikle sertifikanızın sunucunuzun kullandığı protokolle aynı olmadığını unutmayın.
TLS’yi kullanmak için sertifikanızı değiştirmenize gerek yoktur . Her ne kadar “SSL sertifikası” olarak markalanmış olsa da, sertifikanız zaten hem SSL hem de TLS protokollerini desteklemektedir.
Eğer web sitenizi IHS Telekom sunucularında barındırıyorsanız IHS Telekom sizin için zaten en modern, güvenli ve performanslı sürüm olan TLS 1.3’ün yanı sıra TLS 1.2’yi de etkinleştirmiş durumdadır.
Eğer farklı bir sağlayıcı ile çalışıyorsanız siteniz için hangi protokollerin etkinleştirildiğini kontrol etmek için SSL Labs aracını kullanabilirsiniz .
Sonuç
Her şeyi özetlemek gerekirse, TLS ve SSL, İnternet’teki veri aktarımını doğrulamak ve şifrelemek için kullanılan protokollerdir.
İkisi de birbiriyle bağlantılıdır ve TLS aslında SSL’nin daha modern ve güvenli versiyonudur.
SSL internette hala baskın terim olsa da, çoğu kişi SSL derken aslında TLS’yi kastediyor çünkü SSL’nin her iki genel sürümü de güvenli değil ve uzun süredir kullanımdan kaldırılmış durumda.
SSL sertifikanızı TLS sertifikası ile “değiştirme” konusunda endişelenmenize gerek yok . Zaten bir “SSL sertifikası” yüklediyseniz, bunun da TLS’yi desteklediğinden emin olabilirsiniz.
SSL artık güvenli olmadığından TLS’nin en son sürümlerini kullanmak önemlidir, ancak sertifikanız sunucunuzun kullandığı protokolü belirlemez. Bunun yerine, bir sertifikaya sahip olduğunuzda sunucu düzeyinde hangi protokollerin kullanılacağını seçebilirsiniz.
Hosting ve sunucularınız IHS Telekom’da ise, sizin için şu anda tümü güvenli olan ve tüm önemli tarayıcılar tarafından desteklenen TLS 1.2 ve TLS 1.3’ü etkinleştirmiş durumdayız.
Bu makaleyi arkadaşlarınızla paylaşarak daha fazla kişinin öğrenmesini sağlayabilirsiniz.