TLS ve SSL
TLS, SLS'nin halefi olduğundan SSL ve TLS arasında bir takım farklılıklar vardır ve bunların tümü bu makalede ele alınacaktır. Güvenli Yuva Katmanı anlamına gelen SSL, bir sunucu ile istemci arasındaki bağlantılara güvenlik sağlamak için kullanılan bir protokoldür. Bu protokol, bir sunucu ile bir istemci arasındaki bağlantılara gizlilik, bütünlük ve uç nokta kimlik doğrulaması gibi güvenlik hizmetleri sağlamak için şifreleme ve karma gibi güvenlik mekanizmalarını kullanır. Aktarım Katmanı Güvenliği anlamına gelen TLS, SSL üzerinde hata düzeltmeleri ve iyileştirmeler içeren SSL'nin halefidir. Artık biraz eski olan SSL, birçok bilinen güvenlik hatasına sahiptir ve bu nedenle kullanılması önerilen, TLS'nin en son sürümü olan TLS 1'dir.2. SSL 3.0 sürümüne kadar geldi ve bundan sonra adı TLS olarak değiştirildi.
SSL nedir?
Güvenli Yuva Katmanı anlamına gelen SSL, bir istemci ile sunucu arasında güvenli bağlantılar sağlamak için kullanılan bir protokoldür. Bir TCP bağlantısı, bir sunucu ve bir istemci arasında güvenilir bir bağlantı sağlayabilir ancak gizlilik, bütünlük ve uç nokta kimlik doğrulaması gibi hizmetleri sağlayamaz. Bu nedenle, SSL bu hizmetleri sağlamak için 1990'ların başında Netscape tarafından tanıtıldı. SSL 1.0 olarak bilinen ilk SSL sürümü, birçok güvenlik açığına sahip olduğu için hiçbir zaman halka açıklanmadı. Ancak, 1995'te SSL 1.0'dan daha iyi güvenlik sağlayan SSL 2.0 tanıtıldı ve 1996'da daha fazla iyileştirme ile SSL 3.0 tanıtıldı. SSL protokolünün sonraki sürümleri TLS adı altında göründü.
Taşıma katmanında uygulanan SSL, çeşitli güvenlik önlemleri uygulayarak TCP gibi bir protokolü güvence altına alabilir. Kimsenin dinlemesini önlemek için şifreleme kullanarak gizlilik sağlayacaktır. Hem asimetrik hem de simetrik şifreleme kullanır. İlk olarak, asimetrik anahtar şifrelemesi kullanılarak, daha sonra trafiği şifrelemek için kullanılacak bir simetrik oturum anahtarı oluşturulur. Asimetrik anahtar şifrelemesi, sunucunun kimliğini doğrulamak için kullanılan dijital sertifikalar için de kullanılır. Ardından, bütünlük sağlamak için çeşitli karma teknikleri kullanan Mesaj Kimlik Doğrulama Kodu kullanılır (gerçek verilerde yapılan herhangi bir kimliği doğrulanmamış değişikliği tanımlar). Dolayısıyla SSL gibi bir protokol, banka işlemleri ve kredi kartı bilgileri gibi hassas bilgilerin internet üzerinden iletilmesine izin verir. Ayrıca e-posta, web'de gezinme, mesajlaşma ve IP üzerinden ses gibi hizmetler için gizlilik sağlamak için kullanılır.
SSL artık güncelliğini yitirdi ve şu anda kullanımının pek tavsiye edilmediği birçok güvenlik sorunu var. SSL 3.0, yakın zamana kadar birçok tarayıcıda varsayılan olarak etkindi, ancak şimdi POODLE saldırısı gibi ciddi güvenlik hataları nedeniyle gelecekteki sürümlerde devre dışı bırakmayı planlıyorlar.
TLS nedir?
Aktarım Katmanı Güvenliği anlamına gelen TLS, SSL'nin halefidir. SSL 3.0'dan sonraki sürüm 1999'da TLS 1.0 olarak ortaya çıktı. Ardından 2006'da TLS 1.1 olarak adlandırılan geliştirilmiş bir sürüm tanıtıldı. Ardından, 2008'de daha fazla iyileştirme ve hata düzeltmesi yapıldı ve TLS 1.2 tanıtıldı. Şu anda TLS 1.2, mevcut olan en son Aktarım Katmanı Güvenliği sürümüdür. SSL gibi TLS de gizlilik, bütünlük ve uç nokta kimlik doğrulaması gibi güvenlik hizmetleri sağlar. Benzer şekilde, bu güvenlik hizmetlerini sağlamak için şifreleme, mesaj doğrulama kodu ve dijital sertifikalar kullanılır. TLS, SSL 3.0'ın güvenliğini tehlikeye atan POODLE saldırısı gibi saldırılara karşı bağışıktır.
Önerilen, en son TLS sürümü olan TLS 1.2'nin kullanılmasıdır, çünkü bu en son sürüm olduğundan en az güvenlik açığına sahiptir. Herhangi bir güvenlik sistemi mükemmel değildir ve zamanla kusurlar tespit edilecek ve gelecekte bu tespit edilen hataları düzeltecek TLS sürüm 1.3 piyasaya sürülecek. Ancak şu anda TLS 1.2 en güvenli olanıdır ve tüm genel tarayıcılarda bu varsayılan olarak etkindir.
SSL ve TLS arasındaki fark nedir?
• TLS, SLS'nin halefidir. SLS 1990'larda tanıtıldı ve SSL 1.0, SSL 2.0 ve SSL 3.0 olmak üzere üç sürüm tanıtıldı. Bundan sonra 1999 yılında SSL'nin bir sonraki sürümü TLS 1.0 olarak adlandırıldı. Ardından TLS 1.1 tanıtıldı ve şu anki en son sürüm TLS 1.2.
• SSL'de çok sayıda hata vardır ve TLS'ye göre bilinen saldırılara açıktır. En son TLS sürümlerinde, çoğu hata düzeltilmiştir ve bu nedenle saldırılara karşı bağışıktır.
• TLS yeni özelliklere sahiptir ve SSL ile karşılaştırıldığında yeni algoritmaları destekler.
• POODLE saldırısı adı verilen saldırı ile artık SSL kullanımı çok savunmasız hale geldi ve web tarayıcılarının yeni sürümlerinde SSL varsayılan olarak devre dışı bırakılacak. Ancak, tüm tarayıcılarda TLS varsayılan olarak etkindir.
• TLS, ECDH-RSA, ECDH-ECDSA, PSK ve SRP gibi yeni kimlik doğrulama ve anahtar değişim algoritması paketlerini destekler.
• HMAC-SHA256/384 ve AEAD gibi Mesaj Kimlik Doğrulama Kodu Algoritması paketleri en son TLS sürümlerinde mevcuttur, ancak SSL'de mevcut değildir.
• SSL, Netscape altında geliştirildi ve düzenlendi. Ancak TLS, standart bir protokol olarak İnternet Mühendisliği Görev Gücü kapsamındadır ve dolayısıyla RFC kapsamında mevcuttur.
• Anahtar değişimi ve anahtar türetme gibi protokolün uygulanmasında farklılıklar vardır.
Özet:
TLS ve SSL
TLS, SSL'nin halefidir ve bu nedenle TLS, SSL üzerinde birçok iyileştirme ve hata düzeltmesi içerir. SSL 1990'ların başında tanıtıldı ve SSL 3.0'a üç sürüm geldi. Ardından, 1999'da SSL'nin bir sonraki sürümü TLS 1.0 adı altında ortaya çıktı. Şu anda en son sürüm TLS 1.2'dir. Eski bir protokol olan SSL, bilinen birçok güvenlik hatasına sahiptir ve bu nedenle, POODLE saldırısı gibi bilinen saldırılara karşı hassastır. TLS'nin en son sürümü, yeni özellikleri ve algoritmaları desteklerken bu saldırılara yönelik düzeltmelere sahiptir. Bu nedenle, daha iyi bir güvenliğe ihtiyaç duyan uygulamalar için eski SSL protokollerini kullanmak yerine TLS'nin en son sürümünün kullanılması önerilir.
