TLS Nedir?
TLS (Transport Layer Security), internet üzerindeki veri iletişimini şifreleyen ve güvence altına alan bir güvenlik protokolüdür. Tarayıcı ile sunucu arasındaki bağlantıyı korur; iletilen verilerin üçüncü taraflarca ele geçirilmesini, değiştirilmesini veya taklit edilmesini engeller.
TLS Nasıl Çalışır?
TLS, tarayıcı ile sunucu arasında şifreli bir bağlantı kurmak için TLS El Sıkışması (Handshake) adı verilen bir süreç kullanır.
Merhaba aşaması: Tarayıcı, desteklediği TLS sürümlerini ve şifreleme algoritmalarını sunucuya bildirir.
Sunucu yanıtı: Sunucu, kullanılacak TLS sürümünü ve algoritmayı seçer; TLS sertifikasını tarayıcıya gönderir.
Sertifika doğrulama: Tarayıcı, sertifikanın güvenilir bir sertifika otoritesi (CA) tarafından imzalandığını ve süresinin geçerli olduğunu kontrol eder.
Oturum anahtarı oluşturma: Her iki taraf, o bağlantıya özel geçici bir şifreleme anahtarı oluşturmak için asimetrik şifrelemeyi kullanır.
Şifreli iletişim: Bağlantı kurulduktan sonra tüm veri alışverişi bu oturum anahtarıyla şifrelenir.
TLS ile SSL Arasındaki Fark Nedir?
SSL ve TLS zaman zaman birbirinin yerine kullanılsa da teknik olarak farklı protokollerdir. SSL, TLS'nin eski ve güvenlik açıkları bulunan öncülüdür. Günümüzde SSL 2.0 ve SSL 3.0 tamamen terk edilmiş durumdadır ancak sektörde SSL sertifikası ifadesi hala yaygın biçimde kullanılmaktadır. Bu sertifikalar aslında TLS protokolünü kullanır; yalnızca adlandırma alışkanlıktan kaynaklanmaktadır. Bir hosting sağlayıcısı SSL sertifikası sunuyorsa bu, pratikte TLS desteği anlamına gelir.
TLS Sertifikası Türleri
DV (Domain Validation): Yalnızca alan adı sahipliği doğrulanır. Dakikalar içinde alınabilir, bireysel siteler ve bloglar için uygundur.
OV (Organization Validation): Alan adına ek olarak kuruluşun kimliği doğrulanır. Kurumsal web siteleri için tercih edilir.
EV (Extended Validation): En kapsamlı doğrulama düzeyi. Kuruluşun yasal varlığı ayrıntılı biçimde incelenir. Bankalar ve büyük e-ticaret siteleri tarafından kullanılır.
TLS Sertifikasının Faydaları Nelerdir?
Güvenlik: Kullanıcı bilgileri, form verileri ve oturum çerezleri şifreli aktarılır.
SEO: Google, HTTPS kullanımını sıralama faktörü olarak değerlendirir. HTTP kullanan siteler arama sonuçlarında dezavantajlı konuma düşer.
Tarayıcı uyarıları: Chrome ve Firefox, HTTPS kullanmayan siteleri "Güvenli Değil" olarak işaretler. Bu uyarı ziyaretçi kaybına doğrudan yol açar.
Kullanıcı güveni: Adres çubuğundaki kilit simgesi, özellikle ödeme ve form içeren sayfalarda kullanıcı güvenini artırır.
HTTP/2 ve HTTP/3 desteği: Modern tarayıcılar bu protokolleri yalnızca HTTPS bağlantılarında etkinleştirir. TLS olmadan hız avantajlarından yararlanmak mümkün değildir.
Sitenizin TLS Sürümünü Nasıl Kontrol Edersiniz?
https://www.ssllabs.com/ssltest/ adresine sitenizin adresini girerek desteklenen TLS sürümlerini, sertifika geçerliliğini ve güvenlik yapılandırmasını ayrıntılı biçimde görüntüleyebilirsiniz. Bu araç, zayıf yapılandırmaları ve güvenlik açıklarını da raporlar.
TLS ile İlgili Sıkça Sorulan Sorular
TLS Sertifikası Ücretli midir?
Hayır, ücretli değildir. Let's Encrypt, ücretsiz ve otomatik yenilenen TLS sertifikaları sunar. Pek çok hosting sağlayıcısı bu sertifikayı ücretsiz olarak sunar. Ücretli sertifikalar genellikle OV veya EV doğrulama düzeyi ve ek garanti kapsamı için tercih edilir.
TLS Sertifikası Ne Sıklıkla Yenilenmeli?
Let's Encrypt sertifikaları 90 günde bir yenilenir ve bu işlem genellikle otomatik gerçekleşir. Ücretli sertifikalar 1 ila 2 yıllık dönemler için düzenlenir. Sertifika süresi dolarsa tarayıcılar kullanıcıya uyarı gösterir ve siteye erişimi engeller.
Tüm Siteler TLS Kullanmak Zorunda mı?
Yasal bir zorunluluk olmasa da pratikte zorunlu kabul edilir. HTTPS kullanmayan siteler tarayıcılarda "Güvenli Değil" uyarısıyla işaretlenir, Google sıralamalarında geride kalır ve kullanıcı güveni zedelenir. Kişisel veri işleyen siteler için GDPR ve KVKK kapsamında şifreleme bir gereklilik haline gelmektedir.
TLS, Sitenizi Tüm Saldırılardan Korur mu?
Hayır. TLS yalnızca tarayıcı ile sunucu arasındaki iletişimi şifreler. SQL enjeksiyonu, XSS veya sunucu tarafındaki güvenlik açıkları TLS'nin kapsama alanı dışındadır. TLS, kapsamlı bir güvenlik stratejisinin bir parçasıdır; tek başına yeterli değildir.
TLS Olmadan HTTP/2 veya HTTP/3 Kullanılabilir mi?
Teknik olarak mümkün olsa da modern tarayıcıların tamamı HTTP/2 ve HTTP/3'ü yalnızca HTTPS bağlantılarında etkinleştirir. Pratikte TLS olmadan bu protokollerin hız avantajlarından yararlanmak mümkün değildir.
Talha Boğaz
İçerik Yazarı
Teknoloji ve internet dünyasına ilgi duyan bir içerik yazarıyım. Hosting, domain ve web teknolojileri hakkında araştırma yaparak kullanıcıların kolayca anlayabileceği bilgilendirici ve SEO uyumlu içerikler hazırlıyorum. Amacım, karmaşık teknik konuları sade ve anlaşılır bir şekilde anlatarak okuyuculara faydalı bilgiler sunmak.
