Bu yazı boyunca bir web sunucusu ve kullanıcı (istemci) arasındaki veri trafiğinin güvenliğine ve SSL / TLS protokollerine değineceğim.

Bir internet kullanıcısı, tarayıcısını kullanarak bir web sitesine erişmek istediği zaman kullanıcının bilgisayarından ilgili web sitesinin sunucusuna bir veri gönderilerek istek yapılır. Web sunucusu bu veriyi (isteği) işler ve cevabını aynı protokolü kullanarak kullanıcının bilgisayarına iletir. Kullanıcının tarayıcısı bu veriyi görsel hale getirerek kullanıcıya sunar, böylece internet üzerinde gezinmiş oluruz.

kullanici web sunucusu
Yukarıda bahsettiğimiz veri transferinin görsel ifadesi.

Yukarıda çok kabaca bahsettiğimiz veri transferi şekli, internetin icadı ile birlikte kullanılmaya başlamış ve günümüzde hâlen kullanılmaktadır. İnternet üzerindeki gezintimizi kabaca bu şekilde yapmaktayız.

Temel şemamız değişmemiş olsa bile internetin icadından günümüze kadar veri transferi protokolleri, yöntemleri, protokol içerisinde kullanılan yazılımlar ve network cihazları oldukça gelişti. Aynı zamanda internet üzerinden gönderilen veri boyutu ve bu verinin önemi muazzam derecede artış gösterdi. Günümüzde artık tüm bilgilerimizi ve sırlarımızı internet üzerinde aktarır hâle geldik. Buna örnek olarak e-devlet platformunu ve en yakınlarımızla olan iletişimimizi bile WhatsApp gibi çevrimiçi mesajlaşma uygulamalarını kullanmamızı gösterebiliriz. Bu değişim doğrudan internet üzerindeki veri transferinin hedef haline gelmesine neden oldu.

Günümüzde sadece birkaç hafta içerisinde öğrenebileceğiniz bilgilerle, bağlı olduğunuz network üzerinde aktarılan veri paketlerini dinleyebilmeniz ve veriye erişebilmeniz mümkün durumda. Bunu kolayca yapmak için internet üzerinde erişebileceğiniz açık kaynak kodlu hazır yazılımlar bile mevcut. Durum böyle olunca tabii ki veri güvenliği kavramı çok daha büyük bir anlam ifade etmeye başladı. En özel bilgilerimizi aktarırken bilgilerimizin çalınmayacağını bilmek zorundaydık. Bütün bu gelişmeler doğrultusunda günümüzde veri aktarabilmek amacıyla kullandığımız veri transfer protokolleri geliştiler ve daha güvenli hale geldiler. Ancak güvende olmamızı sağlayan en büyük faktör ise bu veriyi şifreleyerek aktarmaya başlamamız oldu, bu yazımızın ana konusu da kullanıcı ve bir web sunucusu arasındaki veri trafiğinin şifrelenmesi.

veri traginin sifrelenmesi bublogta
Verinin Şifrelenmesinin Basitçe Örneği

Web sunucusu ve kullanıcı arasındaki veri trafiğinin şifrelenmesi için araya bir güvenli katman ekliyoruz. Buna ilk olarak Secure Socket Layer (SSL) adını verdiğimiz bir katmanı kullanarak verinin dolaşımda olduğu sürece şifrelenmiş bir şekilde kalmasını sağladık.

Bağlı olduğumuz network’ün güvenli olmadığını ve saldırılara açık olduğunu varsayalım. Saldırgan network (ağ), üzerinden gönderilen veri paketlerine ulaşabilecektir ancak veri bu güvenli katman ile şifrelenmiş olduğu için bu veri paketini okuyamayacak ve verimizi ele geçiremeyecektir.

bublogta ssl
Örnek Veri Şifrelenmesi

SSL Nasıl Çalışır?

SSL adını verdiğimiz güvenlik katmanı “Public Key” ve “Private Key” adını verdiğimiz iki anahtar ile çalışır. Bu anahtarlar çözülmesi çok zor ve güvenli bir şifreleme yöntemi kullanmaktadır. Private Key, web sunucusunda kalırken Public Key, veri transferi yapılırken kullanıcının bilgisayarına gönderilir. Veri trafiği web sunucusundan veya kullanıcının bilgisayarından çıkarken bu key’ler tarafından şifrelenir ve karşı tarafa ulaştığında yine aynı key’ler tarafından şifresi çözülür. Böylece verinin iletim süresince şifrelenmesi sağlanırken aynı zamanda hedefine ulaştığında şifresinin çözülmesi sağlanır. Bu key’lere sahip olmayan bir saldırgan, verinize erişemeyecektir.

SSL nesiller boyunca gelişimini sürdürdükten sonra yerini Transport Layer Security (TLS) teknolojisine bıraktı.

TLS’nin Gelişimi Ve SSL İle Kıyaslama

SSL v3 sürümü yayımlandıktan bir süre sonra, yine aynı geliştiriciler (Netscape) tarafından TLS duyuruldu ve SSL yerini TLS’e bıraktı. TLS’nin daha güvenli ve hızlı iken aynı zamanda SSL’den oldukça farklı bir şekilde çalışıyor, kısaca bakalım.

TLS iki farklı katmandan oluşuyor:

  1. TLS Record Protocol (TLS Kayıt Protokolü)
  2. TLS Handshake Protokol (TLS El Sıkışma Protokolü)

Record protokolü bağlantının güvenliğini sağlarken, Handshake protokolü web sunucusu ve kullanıcının kimlik doğrulama işlemlerini gerçekleştirir.

SSL ve TLS arasındaki bazı farklar:

  • SSL mesajı şifreleyip doğrudan veri aktarımını başlatır, TLS ise aktarım öncesinde hedef istemci / sunucu ile doğrulama mesajı göndererek iletişime geçer. Doğrulama mesajı ile “handshake” gerçekleşirse bağlantı kurulur ve veri aktarımı başlar, aksi takdirde bağlantı kurulmaz.
  • Eğer hedefte bir güvenli katman yoksa TLS tarafından “Güvenli Sertifika (Katman) Yok” mesajı geçilebilir, SSL’de ise ayrıca bir bilgilendirme sağlanmaz.
  • TLS pek çok durumda MAC (H-MAC) şifreleme kullanırken SSL; MD5, ve SHA türü şifrelemeler kullanır.
  • TLS’de şifreleme, şifreleme çözümü daha hızlı gerçekleşir.

Bublogta üzerinde TLS şifrelemesi kullanılmakla birlikte TLS v1.1’den daha alt sürümü destekleyen nispeten ilkel istemcilerin istekleri güvenlik duvarımız tarafından engellenmektedir. Ayrıca Katı Taşıma Politikası (HSTS) uygulanmakta, yani şifrelenmeyen tüm bağlantı istekleri Bublogta altyapısına ulaşamadan güvenlik duvarımız tarafından engellenmektedir. Böylece güvenli olmayan hiçbir bağlantıya izin verilmiyor olup kullanıcılarımızın güvenliğinin en üst düzeyde sağlanıyor olması garanti altına alınmaktadır.

Kudret içeriklerini beğendin mi? Sosyal medyada takip edin!
Abonelik
Bildir
guest
0 Yorumlar
Satır içi yorumlar
Tüm yorumları görüntüleyin
Kudret içeriklerini beğendin mi? Sosyal medyada takip edin!

Okuyucuların Beğendiği İçerikler

Birçok kişinin ‘’zor ama maaşı iyi, garanti meslek gibi’’ düşünceleriyle ün kazanmış bir bölüm olan tıp fakültesini size en ince detaylarıyla aktaracağım. Öncelikle fakülteye gelmeden önce kendinizi ilk gün yapılacak çaylak şakasına ve ileri zamanlarda daha siz TUS isimli bölüm seçmenize yarayan sınava girmeden ‘’Sen ne doktorusun? ‘’ veya diş hekimliği ayrı bir bölüm olmasına […]
Yaşanan herhangi bir gün hiç yaşanmasaydı, her şey daha farklı olur muydu? Misal dün hiç yaşanmasaydı veyahut bundan yıllar önce bir gün hiç yaşanmasaydı yine aynı mıydı hayatınız? Kadere inanmak subjektif bir bakış açısı olarak görünebilir ancak hayatın akışı olarak farklı bir yerden durumu ele alabiliriz. Bütün malzemeleri özene bezene kesip, doğrayıp harika bir yemek […]
Herkesin ölmeden görmek isteyeceği bir yer vardır. Yoksa da henüz keşfetmemiştir… Benim için burası Norveç. “Soğuk Cennet” veyahut “Kuzeyin İncisi” denilen bu ülkenin lanse ettiği imajı bir görseniz aşık olmamak elde değil. O yüzden henüz kendi ülkenizi keşfetmediyseniz ileride belki yol arkadaşım olabilirsiniz! Norveç ”Soğuk Cennet” Ülkenin yönetim biçimi anayasal monarşi ve başkenti Oslo‘dur. 385,207 […]
Her kitap ayrı güzel, dünyasına girdikten sonra… Ama bazı başyapıtlar vardır, gerçekten okumak zevk verir. Okudukça içine düşer, yeni bir dünyanın kahramanı olursunuz. Herkes için değişebilecek bir liste… Daha iyisi varsa da ben okuduğum kadarını biliyorum ve bunlar şu an en iyisi! Daha birçok türde konuşulacak kitaplar olsa da üç ayrı türde üç başyapıt derledim, […]

İlgini Çekebilir

Birçok kişinin ‘’zor ama maaşı iyi, garanti meslek gibi’’ düşünceleriyle ün kazanmış bir bölüm olan tıp fakültesini size en ince detaylarıyla aktaracağım. Öncelikle fakülteye gelmeden önce kendinizi ilk gün yapılacak çaylak şakasına ve ileri zamanlarda daha siz TUS isimli bölüm seçmenize yarayan sınava girmeden ‘’Sen ne doktorusun? ‘’ veya diş hekimliği ayrı bir bölüm olmasına […]
Her sayının bir anlamı yoktur belki. İnsanlar için önemli veya önemsiz binlerce sayı, binlerce rakam pi sayısının içinde yuvarlanıp gitmektedir. Fakat bu sayının ülkemizde yaşayan her insan için önemli olması gerekmektedir. Önemli olmak zorundadır. Bu sayı Türkiye’deki Hayvanları Koruma Kanunu’nu ifade ediyor. 24 Haziran 2004’ten bugüne kadar aynı şekliyle korunmuş bir anayasa maddesi. 5199’a göre […]
Merhaba. Uzun adı Gemi İnşaatı ve Gemi Makineleri Mühendisliği, kısa adı ise Gemi İnşa Mühendisliği olan bölümümü anlatmaya çalışacağım. Çoğu mühendislik bölümü gibi gemi inşa mühendisliği de içinde matematik, fizik, kimya ve özellikle matematik ve fiziğin alt dallarını içinde barındıran bir bölümdür. Özellikle mukavemet, sayısal yöntemler ve diferansiyel denklemler vazgeçilmez dersler arasındadır. Bu teorik dersleri […]
Mühendisliğin yapı taşı olan makine mühendisliğine bir şans verme zamanı gelmedi mi sizce de? Hakkında bir sürü şaka ve espri yapılmış bu disiplin hayatımızın her dakikasına dahildir. Haydi kısa bir tura çıkalım.  ”Her şey ters gidiyorsa unutma; uçak rüzgârı karşısına alarak yükselir, arkasına alarak değil.” Henry Ford Makine mühendisliği, her türlü mekanik ve enerji dönüşüm […]

Giriş

Bublogta'ya Hoş Geldin

Hadi birlikte içeriyi keşfedelim.
Neredeyse Bitti
Son olarak senden birkaç bilgi isteyeceğiz.