Haberler

TLS/SSL Anlaşması Nedir ve Nasıl Çalışır?

Aşağıdaki makale size yardımcı olacaktır:TLS/SSL Anlaşması Nedir ve Nasıl Çalışır?

SSL: Güvenli Yuva Katmanı

SSL veya Güvenli Yuva Katmanı, şifreleme tabanlı bir İnternet güvenlik çözümüdür. Netscape, İnternet etkileşimleri sırasında gizlilik, kimlik doğrulama ve veri bütünlüğünü sağlamak için 1995 yılında geliştirdi. TLS şifrelemesi bugün SSL’nin halefidir.

SSL/TLS kullanan bir web sitesinin URL’si “HTTP” yerine “HTTPS” ile başlar.

Blogda tartışılacak konular şunlardır:

genel bakış

SSL ile ne kastedilmektedir?

Bir SSL anlaşması, tarayıcınız ve ziyaret etmek istediğiniz web sitesini barındıran sunucu gibi iki cihazı birbirine bağlar.

İki cihaz bir SSL sırasında aşağıdakileri belirler:

  • Her iki taraf da hangi güvenlik sürümünü kullanacak?
  • Verileri korumak için ne tür bir şifreleme kullanılacak?
  • Her iki taraf nasıl doğrulanır?

SSL anlaşmasında “SSL” adının kullanılması aldatıcıdır. Güvenli yuva katmanı (SSL) teknolojisi eskidir ve günümüzde pek kullanılmamaktadır. Çoğu cihaz şu anda aktarım katmanı güvenliğini (TLS) kullanmaktadır.

“TLS anlaşması” daha doğru olsa da, günümüzde vızıltı terimi “SSL anlaşması” dır.

SSL el sıkışması neden TLS el sıkışması olarak da biliniyordu?

Tarayıcınızda bir web sayfası açarsanız, bağlantının hem anında hem de kendiliğinden gerçekleştiğine inanabilirsiniz. Uygulamada, iki cihazın nasıl iletişim kuracağı ve verileri paylaşacağı konusunda bir anlaşmaya varması gerekir. Bu görüşme için bir SSL anlaşması kullanılır.

SSL anlaşması, TLS anlaşması olarak da bilinir çünkü:

Netscape, SSL protokolünü 1995 yılında icat etti. Ne yazık ki, bir takım güvenlik açıkları vardı. Endüstri, güvenliği artırma umuduyla 2000’lerin başında TLS protokolüne geçti. İsimlendirme değişikliğine rağmen el sıkışma yöntemi aynı kalır.

Bir iletişim oturumu bir SSL el sıkışmasıyla başlar. İki taraf birbirini tanır, bilgilerin nasıl korunacağı konusunda anlaşır, birbirlerinin güvenlik önlemlerini doğrular ve oturum parametrelerini oluşturur.

SSL ve TLS arasındaki farklar

Ancak, SSL ve TLS arasındaki farklar küçüktür. Aradaki farkı ancak teknik bir uzman anlayabilir. Önemli farklılıklar arasında şunlar yer alır:

Şifre paketleri

Fortezza şifre paketi, SSL protokolü tarafından desteklenir. TLS herhangi bir destek sunmaz. TLS, RC4, Üçlü DES, AES, IDEA ve benzeri gibi yeni şifre paketlerinin oluşturulmasını kolaylaştıran daha iyi bir standardizasyon süreci sunar.

İletilerle İlgili

SSL, “Sertifika yok” uyarı mesajını görüntüler. TLS protokolü, uyarı mesajı için çeşitli diğer uyarı mesajlarının yerine geçer.

Kayıt Prosedürü

SSL, her şifreli iletişimden sonra Mesaj Kimlik Doğrulama Kodunu (MAC) kullanır, ancak TLS, her mesaj şifrelemesinden sonra karma tabanlı bir mesaj kimlik doğrulama kodu olan HMAC kullanır.

Tavsiye Edilen:  Breaking Bad, Better Call Saul ve El Camino Nasıl İzlenir?

El sıkışma protokolü

SSL’de, ana sır ve ped de hash hesaplamasına dahil edilir. Hash’ler, TLS’deki el sıkışma mesajı üzerinden hesaplanır.

Mesaj Doğrulama

TLS, HMAC Hash tabanlı Mesaj Kimlik Doğrulama Koduna dayanırken, SSL mesaj kimlik doğrulaması, anahtar bilgileri ve uygulama verilerini anında birleştirir.

Bunlar bir SSL ve TLS sertifikası arasındaki temel farklardır. Daha önce de belirtildiği gibi, ayrımları anlamak eğitimli bir göz gerektirir.

SSL Nasıl Çalışır?

  • SSL, verileri internette dolaşırken şifreleyerek yüksek düzeyde anonimlik sağlar. Bu verileri ele geçirmeye çalışan herhangi biri, yalnızca deşifre edilmesi son derece zor olan karmakarışık bir karakter karmaşası görecektir.
  • SSL, her ikisinin de söyledikleri kişi olduğundan emin olmak için iletişim kuran iki cihaz arasında bir el sıkışma kimlik doğrulama işlemi başlatır.
  • SSL ayrıca verileri dijital olarak tasdik ederek, amaçlanan alıcısına ulaşmadan önce kurcalanmadığından emin olur.
  • SSL, her biri bir öncekinden daha güvenli olan birkaç yinelemeden geçti. 1999’da SSL, TLS’ye yükseltildi.

SSL anlaşmaları için prosedür

Bir SSL anlaşması genellikle aşağıdaki adımlardan oluşur:

  • Temas etmek: Sunucuya tarayıcı aracılığıyla bir “istemci merhaba” gönderilir. İleti, istemcinin SSL sürümü, şifreleme ayarları (daha fazlası için ileride) ve oturuma özgü bilgiler gibi kritik bilgiler içerir.
  • İlk tepki: Sunucu ilk yanıt olarak güvenlik doğrulamasını (sertifikalar aracılığıyla), sunucunun şifreleme ayarlarını ve oturuma özel verileri geri gönderir.
  • kimlik doğrulama: Tarayıcı, doğru yetkili ile iletişim kurduğunu doğrulamak için güvenlik sertifikasını doğrular.
  • Anahtar Değişimi: Sunucu ve tarayıcı, anahtarları değiş tokuş ederek güvenlikle değiş tokuşlarını onaylar.
  • Sarmak: Her iki taraf, yani tarayıcı ve sunucu, değişimin gerçekleştiğini ve işin artık tamamlandığını onaylayacaktır.

tam size göre.

Bir SSL/TLS el sıkışmasının sağladığı güvenlik düzeyi nedir?

SSL anlaşma aşamaları boyunca anahtar değişimine bir referans görülebilir. Bu yaklaşım kullanır enkryseçenek ve iki çeşidi vardır.

Şifreleme iki türe ayrılır:

  • Asimetrik şifreleme: Açıklama için, sunucunun güvenlik sertifikası aracılığıyla kolayca erişilebilen bir genel anahtar kullanılır. için özel bir anahtar kullanılır. şifre çözme.
  • Simetrik şifreleme: Asimetrik şifrelemenin ardından, iki taraf ortak bir anahtar üzerinde anlaşır. Bu tek oturum anahtarı, sunucu yükünü azaltırken güvenli bir bağlantı sağlar.

İki taraf ayrıca, ne tür bir kimlik doğrulamanın gerekli olduğunu, verilerin nasıl şifrelendiğini ve diğer özellikleri yöneten bir dizi kural olan bir “şifre paketi” üzerinde anlaşırlar.

Bu önlemler, aktarılan verileri korumalıdır. Yine de saldırılar bir olasılık olmaya devam ediyor. Örneğin, BREACH istismarı, bilgisayar korsanlarının aktarım halindeyken verileri değiştirmesine olanak tanır. Bilgisayar korsanları ayrıca sistemin kontrolünü ele geçirebilir ve ortadaki adam saldırısı başlatabilir. Sorun, saldırganlar tarafından çalınan şifrelenmiş verilerle başlar.

Tavsiye Edilen:  Domain Flipping Rehberi: 2023'te Bilmeniz Gereken Her Şey

SSL Protokolleri

SSL’nin işlevselliği üç protokole dayanmaktadır.

El Sıkışma Protokolü:

Bir istemcinin ve sunucunun SSL özellikli bir bağlantı üzerinden iletişim kurmak için kullanacağı ilk SSL alt protokolüdür. El Sıkışma Protokolü, istemci ve sunucu arasında iletilen bir dizi üç alanlı mesajdan oluşur.

Tip: Bu bir baytlık parametre, on mesaj türünden birini belirtir.

Uzunluk: Bayt cinsinden mesaj uzunluğu, bu üç baytlık parametre ile tanımlanır.

İçerik: Bu bir veya daha fazla baytlık alan, mesajın parametrelerini tanımlar. Parametreler mesaj tipi tarafından kontrol edilir.

Rapor Protokolü:

İstemci ve sunucu arasındaki başarılı El Sıkışmanın ardından, sahneye SSL Kayıt Protokolü girer. Başka bir deyişle, istemciler ve sunucular birbirini uygun şekilde doğruladıktan ve güvenli değişim için kullanılacak algoritmaları belirledikten sonra, SSL kayıt protokolüne girebiliriz.

İstemci ve sunucu arasındaki başarılı El Sıkışmanın ardından, sahneye SSL Kayıt Protokolü girer. Başka bir deyişle, istemciler ve sunucular birbirini uygun şekilde doğruladıktan ve güvenli değişim için kullanılacak algoritmaları belirledikten sonra, SSL kayıt protokolüne girebiliriz.

Uyarı Protokolü:

Bir istemci veya sunucu hatası oluştuğunda, tespit eden taraf diğer tarafı bilgilendirir. Hata ölümcül ise, her iki taraf da SSL bağlantısını derhal sonlandırır, bu da hem istemci hem de sunucu uçlarında iletimin sonlandırıldığı anlamına gelir. Bağlantıyı sonlandırmadan önce, her iki taraf da onunla ilişkili oturum tanımlayıcılarını, sırları ve anahtarları kaldırır. Sorun küçükse bağlantı sonlandırılmayacaktır; bunun yerine taraflar hatayı düzeltecek ve prosedüre devam edecektir. Uyarı mesajı, birincisi arızanın türünü belirten iki bayttan oluşur. Hata değeri 1 ise uyarı, 2 ise ölümcüldür. İkinci bayt, gerçek bir hatayı temsil eder.

SSL Sertifikası ve Türleri:

SSL sertifikaları çok sayıda kategoriye ayrılmıştır. Tek bir sertifika, türüne bağlı olarak bir veya daha fazla web sitesine uygulanabilir:

  • Tek alanlı SSL sertifikası yalnızca bir alan adı için geçerlidir (“alan”, www.intellipaat.com gibi bir web sitesinin adıdır)
  • joker karakter: Tek bir etki alanı sertifikası gibi bir joker SSL sertifikası da yalnızca bir etki alanı için geçerlidir. Ancak, alanın alt alanlarını içerir. Örneğin, bir joker sertifika www.intellipaat.com ve intellipaat.com/blog/’u kapsayabilirken, tek alanlı bir sertifika yalnızca ilkini kapsayabilir.
  • Çok alanlı SSL: Adından da anlaşılacağı gibi, çok alanlı SSL sertifikaları birbiriyle ilgisiz birden çok alanda kullanılabilir.
Tavsiye Edilen:  Bir D2C İçecek Şirketi Arama Trafiğini 3 Ayda Nasıl 4 Kat Arttırdı?

SSL sertifikaları ayrıca çeşitli sertifika düzeylerinde mevcuttur. Geçmiş kontrolü gibi bir doğrulama düzeyi, soruşturmanın kapsamına göre değişir.

SSL sertifikaları ayrıca çeşitli sertifika düzeylerinde mevcuttur. Geçmiş kontrolü gibi bir doğrulama düzeyi, kontrolün derinliğine göre değişir.

  • Etki Alanı Doğrulaması: En temel ve en ucuz doğrulama türü. Bir firmanın tek yapması gereken etki alanı sahipliğini göstermektir.
  • Kurumsal Doğrulama: CA’nın sertifikayı alan kişi veya kurumla doğrudan iletişime geçtiği daha uygulamalı bir süreçtir. Bu sertifikalar kullanıcılar için daha güvenilirdir.
  • Genişletilmiş Doğrulama: Bir SSL sertifikası vermeden önce, bir kuruluş kapsamlı bir arka plan araştırması yapmalıdır.

SSL’nin Avantajları ve Dezavantajları

SSL kullanmanın avantajları

Google, bir SSL’ye sahip olmanın web sitenizin arama sonuçlarında daha üst sıralarda yer almasına yardımcı olacağını onayladı. Google algoritması, SSL sertifikalarına sahip web sitelerine yardımcı olacak şekilde ayarlanmıştır; sonuç olarak, hemen hemen her kelime öbeği için en iyi sonuçların büyük çoğunluğu bir SSL sertifikasına sahip olacaktır.

SSL kullanmanın dezavantajları

Bir SSL edinme ve ayarlama masrafı en büyük dezavantajdır. Düşük maliyetli bir SSL, yılda 30 £ kadar düşük bir maliyete sahipken, yüksek maliyetli bir SSL, yılda 2.000 £ ‘a kadar mal olabilir. Sorun şu ki, bu sertifikalar söz konusu olduğunda kalite oldukça önemlidir çünkü en ucuzları son derece kalitesiz ve güvenilmezdir. Bu, SSL’nin nereden alınacağı konusunda fazladan kafa karışıklığına neden olabilir.

Çözüm

SSL (Güvenli Yuva Katmanı), çevrimiçi ödeme kabul eden veya oturum açma sayfası olan tüm web siteleri için cankurtarandır. Ziyaretçilerin ve tüketicilerin güvenini kazanmak, bir şirketin Yatırım Getirisi’ni (YG) artırır. Birkaç SSL saldırısı, SSL yürütme sorunlarını hedef aldı, ancak POODLE (Padding Oracle On Downgraded Legacy Encryption) saldırısı, SSL 3.0 protokolünün kendisindeki bilinen bir kusuru hedefliyor ve şifre blok zincirinde (CBC) çalışırken doldurma baytlarını yok sayma yönteminden yararlanıyor. mod.

Şüpheniz varsa, sorgularınızı şu adrese bırakın: SSL Topluluğu sayfası!

Post Views: 9