TLS 1.3 Nedir? | Neden TLS 1.3 Kullanılmalı?

Günümüze kadar veri şifreleme performans ve hız yönünden bekleneni karşılamıyordu. TLS 1.3 ile birlikte daha önceki versiyonlarına oranla çok daha hızlı, çok daha güvenilir ve çok daha güçlü, bir güvenlik protokolü geliştirildi. TLS 1.3’ü açıklamadan önce bilmeyenler için TLS kavramını açıklayalım.

TLS Nedir?

İngilizcesi “Transport Layer Security” olan TLS, Türkçesi ile Taşıma katmanı güvenliği, günümüzde yaygın olarak kullanılan bir protokoldür. Asimetrik bir şifreleme algoritması kullanarak, aktarılan kimlik bilgilerinin doğrulanmasında kullanılır. Veriler aktarılırken güvenlik sorunlarını aşmak için geliştirilen TLS, iki cihaz arasında kurulan iletişimin güvenli şekilde tamamlanmasını sağlayan bir ağ protokolüdür.

İlk olarak 1999 yılında geliştirilen protokol, veri bütünlüğü ve veri gizliliğini sağlar. Netscape‘in SSL güvenlik protokolünden evrimleştirilerek geliştirilen TLS, web siteleri arasındaki güvenli iletişimi sağlar. Alıcı ile istemci arasında verilerin şifreleme işlemlerini gerçekleştirir. TLS, SSL ile birlikte HTTPS’in güvenlik temelini oluşturan protokollerdir. TLS kimlik doğrulama işlemi yaptığı, daha güvenli ve daha yeni algoritmayı desteklediği ve SSL ile birlikte çalışmadığı için SSL’in yerini almıştır.

TLS; TLS kayıt protokolü (TLS record protocol) ve TLS el sıkışma protokolü (TLS handshake protocol) olmak üzere iki katmandan oluşur. TLS Record protocol bağlantının güvenli olması sağlar. TLS handshake protocol ise kullanıcı ve sunucuların kimlik doğrulamalarının yapıldığı protokoldür. Veri iletişimi yapılmadan hemen önce şifreleme algoritmalarını kullanarak, şifreleme anahtarlarına izin verir.

Günlük yaşamımızda farkında olmasak da TLS, ağ üzerinden VoIP (IP üzerinden ses iletimi), anlık mesajlaşma, VPN bağlantıları gibi işlemlerin internet uygulamalarında ya da tarayıcılarında güvenli bir şekilde yapılmasını sağlar. TLS kullanılırken URL barındaki güvenli web sayfalarının tümü “https://” ile başlar.

TLS nedir, ne işe yarar ayrıntılı olarak öğrenmek isterseniz buraya tıklayabilirsiniz.

TLS’in Özellikleri Nelerdir?

Bir güvenlik protokolü olan TLS’in özellikleri aşağıda maddeler halinde sıralanmıştır. 

• Sunucular (server) ile tarayıcılar (browser) arasındaki haberleşmenin güvenli bir şekilde gerçekleşmesini sağlar.
• Veri şifrelemesinde POP3, FTP, HTTPS, SMTP gibi protokollerin birçoğu tarafından desteklenir. 
• Anahtar (key) üzerinden verileri şifrelemek için asimetrik kriptografi (asymmetric cryptography) algoritmasını kullanır.

TLS 1.3 Nedir?

İnternette dolaşırken, bazı sitelerin URL’lerinin HTTP ile başladığını, bazılarının da HTTPS ile başladığını fark etmişsinizdir. “Aralarında ne fark var?” diye de düşünmüş olabilirsiniz. İlk bakışta aralarındaki tek fark “S” harfidir. Ancak bu önemli bir farktır. Buradaki “S” İngilizce güvenlik anlamına gelen “Security” kelimesinin baş harfidir. Bu da HTTPS sitesine sunucu ile istemci arasından iletilen her bilginin şifreleneceği yani, bağlantınızın güvenli olduğu anlamına gelir.

HTTPS nedir ve nasıl çalıştığını ayrıntılı olarak öğrenmek için buraya tıklayabilirsiniz.

Herhangi bir web sitesi güvenli hale getirilmek istenirse SSL / TLS sertifikalarının yüklenmesi gerekir. Bu sertifikalar kullanıldığında, çeşitli mekanizmalar sayesinde transit bilgileri şifreler ve böylece herhangi bir kurcalama ile veri hırsızlığını engeller. Bunlar veri şifrelemesinden sorumlu olan şifreleri ve algoritmaları içeren protokollerdir. TLS ailesinin 4. versiyonu TLS 1.3’tür. TLS 1.3, TLS’in son sürümüdür. Kriptografik sistem üzerinde aktif olarak çalışan CDN mühendisleri ve The Internet Engineering Task Force (IETF) grubu tarafından 4 yılda geliştirilmiştir.

TLS 1.3 için çalışmalar 2014 yılında başladı. Onaylanmadan önce çok sayıda taslak geliştirildi. Bu süreçte birçok kez dizayn edildi. TLS 1.3’te sıklıkla meydana gelen bağlantı kopmalarından dolayı pek çok ara katman, güvenlik kutusu çalışmalarını yürütemedi. Ancak TLS araç kitlerinden biri TLS 1.3’ü destekler niteliktedir. Open SSL (1.1.1) TLS 1.3’ü destekler. TLS, TLS 1.3 protokolünü hız ve güvenlik katma amacıyla piyasaya sürdü.

TLS 1.3, eski sürümünden iki sene sonra daha güvenli ve daha hızlı olarak piyasaya sürüldü. Amacı TLS ve diğer sürümleri gibi tek hedefe odaklanmıştır: İki cihaz arasında gerçekleşecek olan iletişimin güvenliğini sağlamaya yarayan bir ağ protokolü geliştirmek. TLS 1.3, 2018 yılında kullanılmaya başlandı. Ancak birçok kullanıcı bu protokolden haberdar olmadı. 

TLS 1.3 ile Güvenlik İyileştirmeleri Nelerdir?

Heartbleed ve POODLE gibi güvenlik açıkları ile kısa süre önce keşfedilen ROBOT saldırısı herkese, dünyanın dört bir yanındaki milyonlarca kullanıcıyı güvenlik açıklarının sabitlenmesinin nasıl etkileyebileceğini gösterdi. TLS 1.3, TLS 1.2’de mevcut olan güvensizlikleri ortadan kaldırır. TLS 1.3’ten bir önceki sürüm olan TLS 1.2, güvensiz algoritmalar, güvensiz protokoller ve güvensiz şifrelerden oluşur. Saldırıya uğrama ihtimaliniz az olacağı için endişelenmenize gerek olmasa da bu protokolün istismar edilemeyeceği anlamını taşımaz. Saldırganlar TLS 1.2’nin güvensiz bölümlerinden faydalanarak bir indirme saldırısı gerçekleştirebilir. TLS 1.3, eski protokolleri ve şifreleri kademeli olarak değiştirdiği için saldırı olanağını ortadan kaldırır. TLS 1.3’te kesilen pek çok şifre algoritması bulunur. Bunlardan bazıları aşağıda sıralanmıştır.

• RSA,
• RC4 Şifresi,
• SHA-1 Karma Fonksiyonu,
• MD5 Algoritması,
• DES,
• 3DES,
• Çeşitli Diffie-Hellman,
• CBC Modu Şifreleri.

TLS 1.3’ün Özellikleri Nelerdir?

TLS’in son sürümü olan TLS 1.3 birçok özelliği ile kullanıcılara avantajlar sunar. Sunucu ve istemci bağlantı kurmak için gerekli olan RTT (Round Trip Time) süresini düşürür. Bu sayede web sitelerinde oluşabilecek gecikmeleri azaltır. TLS 1.3 protokolüne yeni dijital imza algoritmaları eklenmiştir. TLS 1.3 ile birlikte 0-RTT Record (kayıt) ve 1 – RTT Handshake (El Sıkışma) için ilk destek verilmiştir. Bu sayede Cedexis ölçümlerine göre CDN hizmet hızı bakımından birçok Avrupa ülkesinde ve Türkiye’de en üst sırada yer alan Medianova için bile 1-RTT Handshake (El Sıkışma) azaltılması performansı ve verimliliği büyük oranda artıracaktır. TLS 1.3, son teknolojiyi kullanarak güvenliği artırırken, gecikme süresini azaltarak performans verimliliğini artırır.

TLS 1.3 Kullanmanın Faydaları Nelerdir?

TLS’in son sürümü TLS 1.3’ten öncesi birçok bakımdan eksiklik barındırır. Sertifika kontrolleri, şifreleme sıkıntıları yani genel anlamda “güvenlik” problemleri denebilir. Hatta daha da ileriye giderek siber saldırganların ağ trafiğinizi gözetlediği bir noktaya da varılmaktaydı. İşlem hızındaki düşüklük de bir eksiklik olarak sayılabilir. TLS 1.3 sayılan tüm bu alanları değiştiren çok daha güvenli bir protokoldür.

Eski sürümlerdeki kriptografi anlamında şifrelerin (SHA1, CBC, RC4, MD5, gibi) zayıf olması, siber saldırılara açık olduğunuz anlamına gelirdi. Saldırganların kaydedilen trafiğin şifresini çözmesi için özel anahtara erişim sağlamaları engellenememe durumunu ortaya çıkarıyordu. TLS 1.3 ile birlikte kullandığı asimetrik şifreleme algoritmasından dolayı güvenliği düşük olan bu şifrelemeler, yerlerini daha güvenli ve modern çözümlerle değiştirerek güvenliği sağladılar.

TLS 1.3’teki bir diğer değişiklik ise TLS “handshake” sürecindeki belirgin hız artışıdır. TLS’in önceki versiyonlarında kullanılan geleneksel olarak yapılan şifreleme işlemleri, fazla gecikme ve CPU ihtiyacına yol açmıştır. TSL 1.3, handshake protokolü için gereken paket sayısını 0 – 3 arasına düşürmüştür. Bu sayede hassas ve hızlı bir bağlantı sağlamanın önünü açmıştır.

TLS 1.3’in TLS 1.2’e Göre Üstünlüğü Nedir?

TLS 1.2’ye göre TLS 1.3 çok daha hızlı bir servis hizmeti ve gelişmiş güvenlik hizmeti sunar. TLS 1.2 şifrelenmiş bağlantılar ile ekstra yük oluştururken, TLS 1.3 şifrelenen bağlantıları hızlandırmaya yardımcı olur. Basit bir şekilde handshake için TLS 1.2’de 2 Round Trip gerekirken, TLS 1.3’de yalnızca tek 1 Round bu işlem için yeterlidir. Gecikmeler %50 oranında azalırken, performans artar.

TLS 1.3’ün TLS 1.2’den bir diğer farkı ise daha önce ziyaret edilen web sitelerine, site yüklenmesinde gerekli olan veriler ilk mesaj ile gönderilir. Bu işlem tek seferde gerçekleştirildiği için “handshake” amacıyla ayrı bir RTT gecikmesi de meydana gelmez. Dolayısıyla internet sitelerinin yüklenme hızı artmış olur. TLS 1.2’ye ait konfigürasyonların uygun şekilde yapılamaması internet sitelerinin saldırılara karşı savunmasız kalmasına sebep olmuştur. Bu sebeple TLS 1.2’den SHA-1, RC4, DES, 3DES, AES-CBC,MD5 gibi eski ve güvenli olmayan algoritmalar kaldırılmıştır. TLS 1.3 ile birlikte protokol daha basit bir yapıya kavuşturularak, geliştirici ve yöneticilerin protokolü doğru bir şekilde yapılandırması sağlanmıştır.

TLS 1.3 ile daha az kullanılan ve zayıf olan eliptik eğrilere olan destek kaldırılmıştır. Önceki formlar kullanılacak olsa bile dijital imza gerekli kılınmıştır. TLS 1.3’e Hash kullanımı entegre edilmiştir. Geriye dönük uyumluluk için numara dondurulmuş ve katman versiyon numara kaydı kullanımdan kaldırılmıştır. Anlaşma tekrarı, sıkıştırma, PFS olmayan anahtar değişimi, AEAD olmayan şifrelemeler, karşılama mesajındaki UNIX zamanı gibi eskimiş ve güvenli olmayan özelliklere olan destek kaldırılmıştır.

TLS 1.3’e Nasıl Geçilir?

TLS 1.3, Firefox ve Google Chrome tarafından desteklenir. Edge ve Safari gibi tarayıcılar için ise geliştirme aşamasındadır. TLS 1.3’ü Google Chrome’da aktif hâle getirmek için aşağıdaki yollar izlenebilir.

1- Adres çubuğuna gidilir. “Chrome://flags” yazılıp “enter” tuşuna basılır.

2- TLS 1.3 aranıp bulunduktan sonra aktif (enable) hale getirilir.

3- Google Chrome’un yeniden başlatılması gerekir. (Google Chrome ile bir sonraki başlangıcında, değişikliğin geçerli olduğunu gösteren bir mesaj sizi karşılar.)

TLS 1.3’ü aktif hâle getirdikten sonra TLS 1.3’ün aktif olduğu bir site HTTPS üzerinde ziyaret edilir. Daha sonra aşağıdaki işlemler sırasıyla gerçekleştirilir. 

1- Google Chrome’un “geliştirici araçlar” sekmesi açılır.

2- Güvenlik kutucuğuna tıklanır. Sayfa yeniden yüklenir. Açılan pencerede “main origin”e tıklanır.

3- Sağ tarafta çıkan tabloda TLS 1.3’ün listelendiği kontrol edilir.

TLS 1.3’ü Denetlemenin Faydaları Nelerdir?

TLS’yi denetlemenin en önemli yararı güvenliğin sağlanmasıdır. Denetleme yapılmaması durumunda ağ trafiğinin %75’inin, NGFW (Next Generation Firewall) yani Yeni Nesil Güvenlik Duvarından beklenmedik bir şekilde geçeceği için saldırı ile ilgili büyük bir açık meydana gelir. Fortinet’in tehdit raporunda, verileri çalmak ve kötü amaçlı kodları gizlemek için TLS trafiğinde ilk 20 istismarın %20’sinin kullanıldığı belirtiliyor.

TLS denetimi yapacak çözümlere olan ihtiyaç, TLS trafiğini tehditlere karşı koruyabilmek için gereklidir. Denetimin olumlu bir şekilde fayda sağlayabilmesi için TLS 1,3’ü tam anlamıyla desteklemesi gerekir. Taşıma katmanı güvenliği (TLS), güvenli haberleşmeyi sağlamak amacıyla tasarlanan kriptolama protokolleridir. X.509 sertifikası kullandıkları için karşı tarafla iletişim kuracakları zaman “asimetrik şifreleme” yapılır. Ve sadece bir simetrik anahtar üzerinde anlaşılır. Bu iletişimde kullanılan anahtar, daha sonra kişiler arasındaki veri akışını şifrelemek için kullanılır. Bu, veri / mesaj gizliliğine ve mesaj doğrulama kodları için mesaj bütünlüğüne izin verir.

TLS 1.3 ve diğer versiyonlar elektronik mail, ağ tarama, internet üzerinden faks, internet üzerinden sesli mesajlaşma ve anlık mesajlaşma gibi pek çok uygulamada yaygın olarak kullanılır. Bu sebeple kısa süreli olan oturum anahtarı, uzun süreli olan gizli simetrik anahtardan türetilemez. Web tarayıcılarında herhangi bir yerde asma kilit görülmesi, o siteye yapılan bağlantının TLS ile şifreli olduğunu gösterir. Bazı web tarayıcılarında asma kilit üzerine tıklandığında, TLS sertifikasının kimden alındığı, geçerlilik süresi, sitenin açık anahtar değeri, versiyon bilgisi ve özet algoritması gibi bilgiler de görüntülenebilir. Siz de TLS 1.3 denetlemesi yaparak sitenizin daha güvenli olmasını sağlayabilirsiniz.