Web sitenizin adres çubuğunda “güvenli değil” uyarısı görmek veya güvenlik taramalarında “weak cipher” (zayıf şifreleme) sorunuyla karşılaşmak, hem site sahipleri hem de ziyaretçiler için endişe verici olabilir. Bu uyarı, sunucunuz ile kullanıcı tarayıcısı arasındaki veri akışının, güncel güvenlik standartlarını karşılamayan, eski ve kırılgın şifreleme yöntemleriyle korunduğu anlamına gelir. Zayıf şifrelemeler, siber saldırganların hassas verileri ele geçirmesi için bir kapı aralar. Bu makalede, zayıf şifrelemenin ne olduğunu, neden bir güvenlik riski oluşturduğunu ve en önemlisi, Apache, Nginx, Windows Server ve popüler kontrol panelleri üzerinde bu sorunu nasıl düzeltebileceğinizi adım adım ele alacağız.
İçerik Tablosu
Şifreleme (Cipher) ve Güvenli İletişimin Temelleri
İnternet üzerindeki iletişimin güvenliğini sağlamak, şifreleme adı verilen matematiksel süreçlere dayanır. Bir kullanıcı tarayıcısı bir web sunucusuna bağlandığında, aralarındaki verinin gizliliğini ve bütünlüğünü korumak için karmaşık algoritmalar kullanılır. Bu sürecin temel taşları SSL/TLS sertifikaları ve bu sertifikaların kullandığı şifreleme paketleridir.
SSL/TLS Sertifikası Nedir ve Web Güvenliğindeki Rolü Nedir?
SSL/TLS (Secure Sockets Layer/Transport Layer Security), bir sunucu ile bir istemci (örneğin bir web tarayıcısı) arasında şifrelenmiş bir bağlantı kuran standart güvenlik teknolojisidir. Bir SSL sertifikası, iki temel işlevi yerine getirir: Birincisi, sunucunun kimliğini doğrulayarak ziyaretçilerin doğru web sitesine bağlandığından emin olmalarını sağlar. İkincisi, sunucu ve tarayıcı arasında gönderilen tüm verileri (kredi kartı bilgileri, parolalar, kişisel veriler vb.) şifreleyerek üçüncü şahısların bu bilgilere erişimini engeller. Bu şifreleme işlemi, “cipher suite” adı verilen bir dizi kural ve algoritma tarafından yönetilir.
Cipher Suite (Şifreleme Paketi) Nedir?
Cipher Suite (Şifreleme Paketi), güvenli bir bağlantı (TLS/SSL Handshake) kurulurken kullanılacak algoritmaları tanımlayan bir setin adıdır. Tarayıcı bir sunucuya bağlandığında, desteklediği şifreleme paketlerinin bir listesini sunar. Sunucu da kendi desteklediği listeyle bu listeyi karşılaştırır ve her ikisinin de desteklediği en güçlü ve en çok tercih edilen paketi seçer. Eğer sunucu yalnızca eski ve zayıf şifreleme paketlerini destekliyorsa, bağlantı güvensiz hale gelir ve tarayıcılar “weak cipher” uyarısı verir.
Bir Cipher Suite’in Ana Bileşenleri
Her şifreleme paketi, güvenli bir iletişim kanalı oluşturmak için birlikte çalışan dört temel bileşenden oluşur. Bu bileşenlerin her biri, iletişim sürecinin farklı bir yönünden sorumludur.
Anahtar Değişim Algoritması (Key Exchange)
Bu algoritma, tarayıcı ve sunucunun, herkese açık bir kanal üzerinden güvenli bir şekilde “simetrik oturum anahtarlarını” paylaşmasını sağlar. Bu oturum anahtarları, bağlantı süresince verileri şifrelemek için kullanılır. RSA, Diffie-Hellman (DHE) ve Eliptik Eğri Diffie-Hellman (ECDHE) popüler anahtar değişim algoritmalarıdır.
Kimlik Doğrulama Algoritması (Authentication)
Bu bileşen, sunucunun kimliğini doğrulamak için kullanılır. Sunucu, SSL sertifikasıyla birlikte gelen özel anahtarını kullanarak kimliğini kanıtlar. Bu, ziyaretçinin sahte bir siteye değil, gerçek sunucuya bağlandığından emin olmasını sağlar. RSA, DSA ve ECDSA bu amaçla kullanılan yaygın algoritmalardır.
Toplu Şifreleme Algoritması (Bulk Encryption)
Oturum anahtarları üzerinde anlaşıldıktan sonra, bu algoritma asıl veri aktarımını şifrelemek için kullanılır. Veriler, bu simetrik anahtar kullanılarak bloklar halinde şifrelenir. AES (Advanced Encryption Standard), 3DES (Triple DES) ve RC4 gibi algoritmalar bu kategoriye girer. Günümüzde AES, en güvenli ve yaygın olarak kabul edilen standarttır.
Mesaj Doğrulama Kodu Algoritması (MAC)
MAC (Message Authentication Code), iletilen verilerin aktarım sırasında değiştirilmediğini doğrulamak için kullanılır. Verinin bütünlüğünü sağlar. Her veri paketi için bir “hash” (özet) değeri oluşturulur ve bu değer alıcı tarafından kontrol edilir. SHA (Secure Hash Algorithm) ailesi (örn. SHA-256, SHA-384) bu işlev için en sık kullanılan algoritmalardır.
Zayıf Şifreleme (Weak Cipher) Sorununu Anlamak
Güvenli bir iletişim altyapısı kurmak, sadece şifreleme kullanmaktan ibaret değildir; doğru ve güçlü şifreleme yöntemlerini kullanmak esastır. Teknolojinin ilerlemesi ve yeni saldırı vektörlerinin ortaya çıkmasıyla, bir zamanlar güvenli kabul edilen bazı algoritmalar ve protokoller artık “zayıf” olarak sınıflandırılmaktadır.
Zayıf Şifreleme Nedir?
Zayıf şifreleme (weak cipher), hesaplama gücündeki artışlar veya algoritmadaki teorik zafiyetler nedeniyle artık güvenli kabul edilmeyen şifreleme protokolleri, algoritmaları veya anahtar uzunlukları anlamına gelir. Bu tür şifrelemeler, modern saldırı tekniklerine karşı savunmasızdır ve bir saldırganın şifrelenmiş veriyi kırmasına veya manipüle etmesine olanak tanıyabilir.
Zayıf Olarak Kabul Edilen Protokoller ve Şifrelemeler (SSLv2, SSLv3, RC4, 3DES vb.)
Yıllar içinde birçok protokol ve şifreleme algoritması, keşfedilen ciddi güvenlik açıkları nedeniyle kullanımdan kaldırılmıştır. Sunucunuzda bu eski teknolojilerden herhangi birini etkin tutmak, büyük bir risk oluşturur.
| Protokol / Şifreleme | Neden Zayıf Kabul Ediliyor? | İlişkili Zafiyetler |
|---|---|---|
| SSLv2 | Tasarımında temel güvenlik kusurları bulunur, modern saldırılara karşı hiçbir koruması yoktur. | DROWN Saldırısı |
| SSLv3 | Şifreleme bloklarının dolgu (padding) yöntemindeki bir zafiyet, saldırganların şifreli metinden veri sızdırmasına olanak tanır. | POODLE (Padding Oracle On Downgraded Legacy Encryption) |
| RC4 | Algoritmanın ürettiği anahtar akışında istatistiksel sapmalar (biases) bulunur. Yeterli miktarda şifreli metin toplanarak orijinal veri ortaya çıkarılabilir. | BEAST (Browser Exploit Against SSL/TLS) saldırılarında kullanılmıştır. |
| 3DES | 64-bit’lik küçük blok boyutu, Sweet32 gibi çarpışma (collision) saldırılarına karşı savunmasız hale getirir. Modern işlemcilerle kısa sürede veri sızdırılabilir. | Sweet32 |
| Düşük Anahtar Uzunlukları | 1024-bit’ten daha kısa RSA anahtarları veya 128-bit’ten daha kısa simetrik anahtarlar, günümüzdeki hesaplama gücüyle kaba kuvvet (brute-force) saldırılarına karşı dayanıksızdır. | Logjam (DHE_EXPORT) |
Zayıf Şifreleme Kullanımının Doğurduğu Güvenlik Riskleri
Eski ve güvensiz şifreleme paketlerini sunucunuzda aktif bırakmak, sadece teorik bir risk değil, aynı zamanda ciddi ve somut sonuçları olabilecek bir güvenlik açığıdır.
Man-in-the-Middle (Ortadaki Adam) Saldırıları
Bu, zayıf şifrelemelerin yol açtığı en yaygın saldırı türüdür. Saldırgan, kullanıcı ile sunucu arasına girerek iletişimi gizlice dinler ve kaydeder. Eğer sunucu zayıf bir şifrelemeyi destekliyorsa, saldırgan bu şifrelemeyi kullanarak oturumu kırabilir, kullanıcı adı, parola, kredi kartı numarası gibi hassas verileri çalabilir veya veriyi anlık olarak değiştirerek kullanıcıyı sahte sayfalara yönlendirebilir.
Veri Sızıntısı ve Gizliliğin İhlali
POODLE veya Sweet32 gibi zafiyetler, saldırganların şifrelenmiş oturumlardan parça parça veri sızdırmasına olanak tanır. Bu, özellikle oturum çerezleri (session cookies) gibi kritik bilgilerin ele geçirilmesine yol açabilir. Bir saldırgan, ele geçirdiği oturum çerezi ile kullanıcının kimliğine bürünerek hesabına tam erişim sağlayabilir. Bu durum, kişisel verilerin korunması kanunları uyarınca ciddi yasal sorumluluklar doğurabilir.
Güven ve İtibar Kaybı
Modern tarayıcılar, güvensiz bağlantılar konusunda kullanıcıları aktif olarak uyarır. Sitenizde “güvenli değil” uyarısı gören bir kullanıcı, markanıza veya hizmetinize olan güvenini kaybeder. Bu durum, özellikle e-ticaret siteleri veya online hizmet platformları için müşteri kaybına ve dolayısıyla gelir kaybına yol açar.
Tarayıcıların ve Güvenlik Araçlarının “Weak Cipher” Uyarısı Verme Nedenleri
Google Chrome, Mozilla Firefox, Safari ve diğer modern tarayıcılar, kullanıcılarını güvende tutmak için proaktif bir yaklaşım benimsemiştir. Bir web sitesi, SSLv3 veya RC4 gibi bilinen zayıf protokollere veya şifrelemelere sahip bir sunucuda barındırılıyorsa, tarayıcılar bu durumu tespit eder ve kullanıcıyı uyarmak için adres çubuğunda “Güvenli Değil” uyarısı gösterir veya bağlantıyı tamamen engelleyebilir. Güvenlik tarama araçları da aynı şekilde, sunucunun yapılandırmasını analiz ederek potansiyel riskleri raporlar. Bu uyarıların temel amacı, hem site sahibini güvenlik açığı konusunda bilgilendirmek hem de son kullanıcıyı olası bir veri hırsızlığına karşı korumaktır.
Sunucudaki Zayıf Şifrelemeleri Tespit Etme Yöntemleri
Sunucunuzdaki zayıf şifreleme sorununu çözmenin ilk adımı, hangi güvensiz protokol ve şifreleme paketlerinin etkin olduğunu doğru bir şekilde tespit etmektir. Bu analiz için kullanabileceğiniz çeşitli çevrimiçi, komut satırı ve tarayıcı tabanlı araçlar mevcuttur.
Çevrimiçi SSL/TLS Test Araçları ile Tarama (Qualys SSL Labs, ImmuniWeb vb.)
Bu yöntem, en kolay ve en kapsamlı olanıdır. Herhangi bir teknik bilgi gerektirmeden sunucunuzun SSL/TLS yapılandırmasını derinlemesine analiz etmenizi sağlar.
- Qualys SSL Labs: Sektör standardı olarak kabul edilen bu ücretsiz araç, sunucunuzun SSL/TLS yapılandırmasını A+’dan F’ye kadar bir notla derecelendirir. Test sonucunda, desteklenen protokol sürümleri (SSLv2, SSLv3, TLS 1.0, 1.1, 1.2, 1.3), etkin olan tüm şifreleme paketleri ve bilinen zafiyetlere (POODLE, Heartbleed vb.) karşı sunucunuzun durumu hakkında detaylı bir rapor sunar. Zayıf olarak işaretlenen şifrelemeler raporda net bir şekilde belirtilir.
- ImmuniWeb SSLScan: SSL Labs’a benzer şekilde çalışan bu araç, PCI DSS, HIPAA ve NIST gibi uyumluluk standartlarına göre de sunucunuzu değerlendirir. Hızlı ve anlaşılır bir arayüzle zayıf şifrelemeleri ve diğer yapılandırma hatalarını listeler.
Komut Satırı Araçları ile Kontrol
Daha teknik bir yaklaşım tercih ediyorsanız veya bir otomasyon betiği içinde kontrol yapmanız gerekiyorsa, komut satırı araçları güçlü bir alternatiftir. Bu araçlar genellikle Linux ve macOS sistemlerinde yerleşik olarak gelir veya kolayca yüklenebilir.
OpenSSL Kullanarak Şifreleme Paketlerini Listeleme
OpenSSL, SSL/TLS ile ilgili işlemler için kullanılan temel bir komut satırı aracıdır. Belirli bir zayıf şifrelemeyi test etmek için aşağıdaki gibi bir komut kullanabilirsiniz:
openssl s_client -connect sizindomaininiz.com:443 -cipher RC4-SHA
Eğer bu komut başarılı bir “handshake” (anlaşma) ile sonuçlanırsa, bu sunucunuzun hala güvensiz olan RC4-SHA şifrelemesini desteklediği anlamına gelir. Başarısız olursa, bu şifreleme devre dışı bırakılmış demektir.
Nmap Scripting Engine (NSE) ile Analiz
Nmap, ağ keşfi ve güvenlik denetimi için çok güçlü bir araçtır. Nmap Scripting Engine (NSE), belirli görevler için betikler çalıştırmanıza olanak tanır. ssl-enum-ciphers betiği, bir sunucunun desteklediği tüm şifreleme paketlerini ve protokolleri listelemek için kullanılır.
nmap --script ssl-enum-ciphers -p 443 sizindomaininiz.com
Çıktı, sunucunun desteklediği her bir protokol (SSLv3, TLS 1.0 vb.) altındaki şifreleme paketlerini ve her birinin güvenlik derecesini (strong, weak, etc.) detaylı olarak gösterir.
Tarayıcı Geliştirici Araçları ile Bağlantı Detaylarını İnceleme
Hızlı bir kontrol için web tarayıcınızın kendi araçlarını da kullanabilirsiniz. Bu yöntem, sunucunun yapılandırması hakkında tam bir rapor sunmasa da o anki bağlantıda hangi şifreleme paketinin kullanıldığını gösterir.
- Google Chrome: Web sitesini ziyaret edin, F12 tuşuna basarak Geliştirici Araçları’nı açın. “Security” (Güvenlik) sekmesine gidin. Burada, bağlantının kullandığı protokol sürümü (örn. TLS 1.3), anahtar değişim grubu ve şifreleme paketi (cipher suite) gibi bilgileri görebilirsiniz.
- Mozilla Firefox: Adres çubuğundaki kilit simgesine tıklayın, ardından “Bağlantı güvenli” veya “Bağlantı güvenli değil” seçeneğinin yanındaki ok işaretine tıklayın. “Daha Fazla Bilgi” seçeneğine giderek “Teknik Ayrıntılar” bölümünde kullanılan şifreleme paketini görebilirsiniz.
Web Sunucularında Zayıf Şifreleme Sorununu Düzeltme Adımları
Zayıf şifrelemeleri tespit ettikten sonraki adım, bunları web sunucusu yapılandırmanızdan devre dışı bırakmaktır. Bu işlem, kullandığınız sunucu yazılımına (Apache, Nginx), işletim sistemine (Linux, Windows) veya yönetim paneline (cPanel, Plesk) göre değişiklik gösterir. Amaç her zaman aynıdır: sadece modern ve güvenli TLS protokollerini (TLS 1.2 ve TLS 1.3) ve güçlü şifreleme paketlerini etkin bırakmak.
Linux Sunucularında Zayıf Şifrelemeleri Devre Dışı Bırakma
Linux tabanlı sunucularda bu ayarlar genellikle sunucu yazılımının SSL yapılandırma dosyaları üzerinden yapılır. Değişiklik yapmadan önce bu dosyaları yedeklemeniz şiddetle tavsiye edilir.
Apache Sunucusu için Yapılandırma (`ssl.conf`)
Apache’de SSL/TLS ayarları genellikle /etc/httpd/conf.d/ssl.conf (CentOS/RHEL) veya /etc/apache2/mods-available/ssl.conf (Debian/Ubuntu) gibi dosyalarda bulunur. İlgili dosyayı bir metin düzenleyici ile açın ve aşağıdaki direktifleri bulun veya ekleyin:
- SSLProtocol: Bu direktif, izin verilen protokolleri belirler. Güvenli bir yapılandırma için sadece TLS 1.2 ve TLS 1.3’e izin verin.
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 - SSLCipherSuite: Bu, izin verilen şifreleme paketlerini tanımlar. Mozilla’nın önerdiği gibi modern ve “Forward Secrecy” destekli bir set kullanmak en iyisidir.
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 - SSLHonorCipherOrder: Bu ayarı
onolarak ayarlamak, sunucunun şifreleme paketi seçiminde istemcinin değil, kendi listesindeki sırayı takip etmesini sağlar. Bu, en güçlü paketin seçilmesini garanti eder.SSLHonorCipherOrder on
Değişiklikleri kaydettikten sonra Apache servisini yeniden başlatın: systemctl restart httpd veya systemctl restart apache2.
Nginx Sunucusu için Yapılandırma (`nginx.conf`)
Nginx’te bu ayarlar genellikle /etc/nginx/nginx.conf veya sitenizin sanal sunucu (server block) yapılandırma dosyasında server bloğu içinde yer alır.
- ssl_protocols: Apache’deki SSLProtocol’e benzer şekilde, izin verilen protokolleri belirler.
ssl_protocols TLSv1.2 TLSv1.3; - ssl_ciphers: İzin verilen şifreleme paketlerinin listesi.
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; - ssl_prefer_server_ciphers: Apache’deki SSLHonorCipherOrder ile aynı işlevi görür.
ssl_prefer_server_ciphers on;
Değişiklikleri kaydettikten sonra Nginx servisini yeniden başlatın: systemctl restart nginx.
Windows Sunucularında Zayıf Şifrelemeleri Devre Dışı Bırakma
Windows Server işletim sistemlerinde SSL/TLS ve şifreleme ayarları, Schannel (Secure Channel) bileşeni aracılığıyla doğrudan Windows Kayıt Defteri’nde (Registry) yönetilir.
Windows Kayıt Defteri (Registry) Üzerinden Şifreleme Ayarları
Bu yöntem oldukça teknik ve hataya açıktır. regedit komutu ile Kayıt Defteri Düzenleyicisi’ni açarak HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL yolu altında ilgili protokolleri (örn. SSL 3.0, TLS 1.0) ve şifrelemeleri (örn. RC4, 3DES) manuel olarak devre dışı bırakabilirsiniz. Ancak bu işlem karmaşık olduğundan genellikle önerilmez.
IIS Crypto Aracı ile Kolay Yapılandırma
Nartac Software tarafından geliştirilen IIS Crypto, Windows sunuculardaki Schannel ayarlarını yönetmek için kullanımı çok kolay ve ücretsiz bir araçtır. Bu araç, kayıt defteriyle uğraşma zorunluluğunu ortadan kaldırır.
- Aracı indirin ve yönetici olarak çalıştırın.
- “Best Practices” (En İyi Uygulamalar) düğmesine tıklayarak anında güvenli bir yapılandırma şablonu uygulayabilirsiniz.
- Alternatif olarak, “Cipher Suites” sekmesine giderek zayıf şifrelemelerin yanındaki tiki kaldırabilir ve sağ taraftaki okları kullanarak şifreleme paketlerinin öncelik sırasını düzenleyebilirsiniz.
- Protokoller sekmesinden SSL 3.0, TLS 1.0 ve TLS 1.1’i devre dışı bırakabilirsiniz.
- Değişiklikleri uyguladıktan sonra sunucuyu yeniden başlatmanız gerekir.
Popüler Kontrol Panelleri Üzerinden Düzeltme
Eğer sunucunuzu bir kontrol paneli üzerinden yönetiyorsanız, bu ayarları genellikle arayüzden daha kolay bir şekilde yapabilirsiniz.
cPanel & WHM Arayüzünde Şifreleme Yapılandırması
WHM (Web Host Manager) paneline root veya yönetici olarak giriş yapın. Arama kutusuna “Apache Configuration” yazın ve “Global Configuration” seçeneğine tıklayın. Burada “SSL Cipher Suite” ve “SSL/TLS Protocols” alanlarını bulacaksınız. Yukarıdaki Apache bölümünde önerilen değerleri bu kutulara yapıştırın, değişiklikleri kaydedin ve Apache’yi yeniden yapılandırın.
Plesk Panel Arayüzünde Şifreleme Yapılandırması
Plesk, sunucu genelindeki şifreleme politikalarını yönetmek için bir komut satırı aracı sunar. Sunucunuza SSH ile bağlandıktan sonra aşağıdaki komutu çalıştırarak sadece modern TLS sürümlerine ve güvenli şifrelemelere izin verebilirsiniz:
plesk sbin sslmng --server -–custom -–ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH" -–protocols "TLSv1.2 TLSv1.3"
Bu komut, sunucudaki tüm siteler için varsayılan politikayı günceller.
Yük Dengeleyiciler (Load Balancer) ve CDN’lerde Yapılandırma
Eğer altyapınızda bir yük dengeleyici (örn. AWS ELB, F5) veya bir CDN (içerik dağıtım ağı) kullanıyorsanız, SSL/TLS sonlandırması bu katmanda yapılıyor olabilir. Bu durumda, web sunucunuzda yaptığınız değişiklikler etkili olmayacaktır. Zayıf şifrelemeleri devre dışı bırakmak için yük dengeleyicinizin veya CDN sağlayıcınızın (örn. Cloudflare, Akamai) yönetim panelindeki SSL/TLS yapılandırma ayarlarına gitmeniz ve oradan gerekli düzenlemeleri yapmanız gerekir.
Güçlü Bir Şifreleme Politikası Oluşturma ve Uygulama
Zayıf şifrelemeleri devre dışı bırakmak, sunucu güvenliğinde önemli bir adımdır. Ancak sürdürülebilir bir güvenlik sağlamak için, gelecekteki tehditlere karşı da dayanıklı, modern ve proaktif bir şifreleme politikası oluşturmak ve bunu tutarlı bir şekilde uygulamak gerekir.
Önerilen Modern ve Güvenli Cipher Suite’ler
Güçlü bir şifreleme politikası, güncel ve kırılması zor algoritmaları tercih etmelidir. Mozilla’nın “Intermediate” uyumluluk profili, geniş tarayıcı desteği ile yüksek güvenlik arasında iyi bir denge sunar. Bu profile uygun, önerilen bazı modern şifreleme paketleri şunlardır:
TLS_AES_128_GCM_SHA256(TLS 1.3 için)TLS_AES_256_GCM_SHA384(TLS 1.3 için)TLS_CHACHA20_POLY1305_SHA256(TLS 1.3 için)ECDHE-ECDSA-AES128-GCM-SHA256(TLS 1.2 için)ECDHE-RSA-AES128-GCM-SHA256(TLS 1.2 için)ECDHE-ECDSA-AES256-GCM-SHA384(TLS 1.2 için)ECDHE-RSA-AES256-GCM-SHA384(TLS 1.2 için)
Bu paketler, güçlü AES-GCM ve ChaCha20 şifrelemesi ile birlikte “Forward Secrecy” sağlayan ECDHE anahtar değişimini kullanır.
TLS 1.2 ve TLS 1.3 Protokollerinin Önceliklendirilmesi
Güvenlik politikanızın temelini, yalnızca modern TLS protokollerini desteklemek oluşturmalıdır. TLS 1.0 ve TLS 1.1, artık güvensiz kabul edilen tasarımsal zafiyetler içermektedir ve tüm büyük tarayıcılar tarafından destekleri sonlandırılmıştır.
| Protokol | Durum | Temel Avantajları |
|---|---|---|
| TLS 1.2 | Mevcut standart. Geniş uyumluluk ve güçlü güvenlik özellikleri sunar. | SHA-256 gibi modern hash algoritmalarını destekler. AEAD (Authenticated Encryption with Associated Data) modlarına izin verir. |
| TLS 1.3 | En yeni ve en güvenli standart. Performans ve güvenlikte önemli iyileştirmeler içerir. | Daha hızlı bir “handshake” süreci sunar (1-RTT). Tüm güvensiz ve eski şifreleme bileşenlerini tamamen kaldırır. Forward Secrecy varsayılan olarak zorunludur. |
Sunucu yapılandırmanızda SSLv3, TLS 1.0 ve TLS 1.1’i kesinlikle devre dışı bırakmalı ve sadece TLS 1.2 ve TLS 1.3’e izin vermelisiniz. Bu, TLS ve SSL arasındaki farklar göz önüne alındığında kritik bir adımdır.
Forward Secrecy (PFS) Nedir ve Neden Etkinleştirilmelidir?
Perfect Forward Secrecy (PFS), geçmişteki iletişimlerin güvenliğini gelecekteki bir anahtar sızıntısına karşı koruyan çok önemli bir güvenlik özelliğidir. PFS olmadan, bir saldırgan sunucunun özel anahtarını (private key) ele geçirirse, bu anahtarı kullanarak daha önce kaydettiği tüm şifreli trafiği geriye dönük olarak çözebilir.
PFS, her bir iletişim oturumu için geçici ve benzersiz bir oturum anahtarı oluşturarak çalışır. Bu oturum anahtarları, sunucunun uzun vadeli özel anahtarından bağımsızdır. Bu sayede, özel anahtar çalınsa bile, geçmiş oturumlar güvende kalır. DHE (Diffie-Hellman) ve ECDHE (Elliptic Curve Diffie-Hellman) anahtar değişim algoritmaları PFS’yi etkinleştirir. Bu nedenle, şifreleme paketi listenizde bu algoritmaları içeren suiteleri önceliklendirmelisiniz.
Yapılan Değişikliklerin Doğrulanması ve Test Edilmesi
Sunucu yapılandırmanızda değişiklikleri yaptıktan ve ilgili servisleri yeniden başlattıktan sonra, her şeyin beklendiği gibi çalıştığından emin olmanız hayati önem taşır. Yaptığınız değişikliklerin zayıf şifrelemeleri başarıyla devre dışı bıraktığını ve sitenizin hala erişilebilir olduğunu doğrulamalısınız.
- Yeniden Tarama: Qualys SSL Labs gibi bir çevrimiçi araç kullanarak sunucunuzu yeniden taratın. Raporun artık zayıf şifrelemeleri göstermediğini ve genel notunuzun “A” veya “A+” seviyesine yükseldiğini kontrol edin.
- Tarayıcı Testleri: Farklı modern tarayıcılar (Chrome, Firefox, Safari) ve eski tarayıcılar (eğer desteklemeniz gerekiyorsa) ile sitenize erişmeyi deneyin. Bağlantının başarılı bir şekilde kurulduğundan emin olun.
- İşlevsellik Kontrolü: Sitenizin tüm özelliklerinin (kullanıcı girişi, form gönderimi, ödeme işlemleri vb.) düzgün çalıştığını test edin.
Bu doğrulama adımı, yaptığınız güvenlik iyileştirmelerinin kullanıcı deneyimini olumsuz etkilemediğinden emin olmanızı sağlar.
Sunucu Güvenliği ve SSL/TLS Yönetimi İçin Neden İHS Telekom’u Tercih Etmelisiniz?
Sunucunuzun SSL/TLS yapılandırmasını yönetmek ve zayıf şifreleme gibi güvenlik açıklarını gidermek, teknik uzmanlık ve sürekli dikkat gerektiren bir süreçtir. İşletmenizin ana faaliyetlerine odaklanırken sunucu güvenliğinizin emin ellerde olduğundan emin olmak için doğru hosting ortağını seçmek kritik öneme sahiptir. İHS Telekom, bu alanda sunduğu üstün hizmetlerle öne çıkmaktadır.
Uzman Teknik Destek ile Hızlı Sorun Çözümü
Zayıf şifreleme uyarıları veya SSL/TLS ile ilgili herhangi bir sorunla karşılaştığınızda, sorunun kaynağını hızla tespit edip çözebilecek uzman bir ekibe erişiminiz olması hayati önem taşır. İHS Telekom’un 7/24 hizmet veren deneyimli teknik destek ekibi, sunucu yapılandırmanızda gerekli güncellemeleri sizin adınıza hızlı ve güvenli bir şekilde gerçekleştirerek sitenizin en yüksek güvenlik standartlarında çalışmasını sağlar.
Varsayılan Olarak Güçlü Şifreleme Politikaları Sunan Altyapı
İHS Telekom, altyapısını en güncel güvenlik standartlarına göre yapılandırır. Müşterilerimize sunulan tüm hosting ve sunucu hizmetleri, varsayılan olarak zayıf protokoller (SSLv3, TLS 1.0/1.1) ve şifrelemeler devre dışı bırakılmış, sadece TLS 1.2 ve TLS 1.3 gibi modern ve güvenli yöntemleri destekleyecek şekilde optimize edilmiştir. Bu proaktif yaklaşım, sizin herhangi bir işlem yapmanıza gerek kalmadan en baştan güvende olmanızı sağlar.
Yönetilen Sunucu Hizmetleri ile Yapılandırma ve Bakım Kolaylığı
Teknik detaylarla uğraşmak istemeyen veya bu alanda yeterli kaynağı bulunmayan işletmeler için Yönetilen Sunucu hizmetleri ideal bir çözümdür. Bu hizmet kapsamında İHS Telekom, sunucunuzun tüm kurulum, yapılandırma, güncelleme, güvenlik sıkılaştırması ve bakım işlemlerini sizin yerinize üstlenir. SSL/TLS yapılandırmanızın düzenli olarak gözden geçirilmesi ve en iyi uygulamalara göre güncellenmesi, bu hizmetin standart bir parçasıdır.
Güvenlik Odaklı Hosting ve Sunucu Çözümleri
İHS Telekom, sunduğu tüm hizmetlerin merkezine güvenliği yerleştirir. Güçlü firewall korumaları, düzenli güvenlik taramaları ve proaktif izleme sistemleri ile sunucunuz sadece zayıf şifrelemelere karşı değil, aynı zamanda diğer tüm siber tehditlere karşı da korunur. İster paylaşımlı hosting, ister VDS veya kiralık sunucu olsun, altyapımız işletmenizin ve müşterilerinizin verilerini güvende tutmak için tasarlanmıştır.