HTTPS, TLS ve SSL Nedir? HTTP2,HSTS Ne İşe Yararlar?
Translate This Page:
Merhaba bu makalede SSL nedir? HTTP ile HTTPS arasında ki fark nedir ? Neden SSL sertifikasına ihtiyaç duyarız ,HSTS de nereden çıktı ? gibi sorulara yanıt bulmaya çalışacağız.
SSL Nedir?
Açılımı “Secure Sockets Layer” olan SSL Türkçe anlamı ile “Güvenli Giriş Katmanı” demektir.
Özellikle alışveriş siteleri, Bankacılık, Finans Platformlarında bulunması zorunlu olan bu özellik sayesinde, alıcı ve site arasında güvenli ve 3. Kişilerin anlayamayacağı şifreli bir ilişki hedeflenmektedir. Çünkü bu özellik ile korunan sitelerde, girilen kredi kartı bilgileri, kimlik bilgileri, şifreler gibi bilgiler asla üçüncü kişilerin eline geçmeyecektir.
SSL, standart bir algoritmadan oluşmaktadır. Güvenli veri iletişimi için birçok web sitesi SSL teknolojisini kullanmaktadır. SSL işleminin çalışması için Server tarafında bir anahtar ve alıcı tarafında çalışacak bir sertifika olması gerekmektedir.
SSL sertifikası şu özellikleri barındırır:
- Sertifika sahibi kurumun unvanı
• Sertifikanın seri numarası ve son kullanma tarihi
• Sertifika sahibinin açık anahtarı
• Sertifika veren kurumun ESHS (Elektronik Sertifika Hizmet Sağlayıcısı) elektronik imzası
SSL Teknolojisinin özellikleri;
- SSL, gelen verinin kodlaması ve şifreyi çözmesi esnasında güvenlik ve gizliliği sağlar.
- SSL, veriyi gönderenin ve veriyi alanın doğru yerler olduğunu garanti eder.
- SSL, doküman arşivi oluşturulmasını kolaylaştırır.
- SSL, iletilen dokümanların tarih ve zamanını doğrular.
SSL Nasıl Çalışır ?
SSL Public Key/Private Key adı verilen anahtarların kullanımına dayalı bir kodlama yöntemine dayalıdır.
SSL kodlama için iki adet anahtar bulunmaktadır. Bu anahtarlar, dijital ortamda kodlanmış yazılımlardır. Bir anahtarın kitlemiş olduğu veriyi, sadece diğer anahtar açabilir. Anahtarlarınızı oluşturduktan sonra (SSL default olarak bu işlemi yapmaktadır, sizin herhangi bir işlem yapmanıza gerek yoktur), anahtarlardan biri (private key) sizde kalır. Diğer anahtar (public key) ise, bağlantı kurmak istediğiniz kişilere gönderilir.
Dışarıdan sizinle iletişime geçmek isteyen kişi, public key’i kullanarak mesajı güvenli bir şekilde size gönderir. Veri, size ulaşmadan, transfer sırasında veriye ulaşılsa bile, şifrenin çözülmesi için sizde bulunan private key gerekecektir.
SSL protokolünde 40 bit ve 128, 256, 1024 bit şifreleme kullanılmaktadır. 128 bit şifrelemede 2128 değişik anahtar vardır ve bu şifrenin çözülebilmesi çok büyük bir maliyet ve zaman gerektirir. Kötü niyetli bir kişinin 128 bit’lik şifreyi çözebilmesi için 1 milyon dolarlık yatırım yaptıktan sonra 67 yıl gibi bir zaman harcaması gerekir. Bu örnekten anlaşıldığı gibi SSL (Secure Sockets Layer) güvenlik sistemi tam ve kesin bir koruma sağlar.
Kısaca SSL veri alışverişi yapan bilgisayarların, herhangi bir kişinin veriye müdahale etmesini önleyerek, sadece veri alışverişi yapan bilgisayar arasında, güvenli bir şekilde verinin aktarılmasını sağlar.
Aşağıda basitçe şematize edilmiş SSL sertifikasının nasıl işlediğini gösteren diagramı inceleyebilirsiniz.
Buradaysa SSL veri akışının Backend tarafında gerçekleşen akışı görüyoruz.
SSL Sertifika Doğrulama Yöntemleri
SSL sertifikaları alırken SSL sağlayıcı firma sizden birkaç farklı doğrulama türünden birini seçmenizi ister bununla ilgili 3 tim doğrulama metodu bulunmaktadır.
1) DV (Domain Validation) SSL
Doğrulama düzeyi düşük, sadece sunucu adını doğrulayan ve dakikalar içerisinde sağlanan sertifikalardır. Bunun için alan adınızın olduğu sistemde DNS’e almak istediğiniz alan adı için bir A kaydı eklemeniz yeterlidir.
2) OV (Organizational Validation) SSL
Sunucu adına bağlı olarak bu alan adına sahip olan firmanın bilgilerini içerir ve bu bilgilerin hepsi sertifikayı üreten firma tarafından kontrol edilerek doğrulanır. Kurum adı, kurumun faaliyette olup olmadığı, başvuruyu yapan kişinin kurumda çalışıp çalışmadığı, başvurunun kurum tarafından gelip gelmediği, başvuru yapılan alan adının sahipliğinin veya kontrolünün bu kurumda olup olmadığı ve tüm iletişim bilgilerinin doğruluğu bu tip SSL sertifikalarının üretim sürecinde tek tek doğrulanır. DV sertifikalara göre çok daha güvenlidir. Onay süreci 1-2 gün sürmektedir.
3) EV (Extended Validation) SSL
Güvenlik düzeyi en yüksek olan ve sertifika sahibi firmanın fiziksel, hukuki ve ticari varlığıyla beraber çok kapsamlı kurumsal doğrulama süreçlerini sağlayan sertifikalardır. Sertifika üreticileri tarafında yapılan doğrulamaların çokluğu ve detayı sebebiyle en pahalı SSL sertifikalarıdır. Bu tür sertifikalarda kullanıcı tarayıcı üzerinde EV SSL sertifikası bulunan bir siteye bağlandığı takdirde adres çubuğunda güvenilir site niteliği taşıyan yeşil renkli bir gösterim belirir. Aşağıda EV SSL in ekran görüntüsü bulunmaktadır.
Kullanım Alanına (Domain Tipine) Göre SSL Sertifikaları
1) Standart SSL Sertifikaları
Subdomainler olmaksıızn sadece 1 adet domain için imzalanan SSL sertifikalarıdır.
Ör: www.abc.com , destek.abc.com
2) Multi Domain SSL Sertifikaları
Birden fazla domainin tek sertifika ile imzalanmasına olanak tanıyan sertifikalardır SAN (Subject Alternative Name) SSL sertifikası olarak da bilinirler. Grup şirketler ve kendisine bağlı alt birimleri bulunan kurumlar için multi domain ssl sertifikaları idealdir.
Genelde multi domain sertikaları, varsayılan olarak 1 ana domaine ek 2 domain seçeneği ile kullanıcıya teslim edilir. Yani herhangi bir ekstra ücret ödemeden, ilk satın almada bu sertifikalar 3 domain için kullanılabilir.
Ayrıca sertifika sağlayıcının belirlediği, domain başı ücretin ödenmesiyle ek domain satın alınarak, tek sertifika ile şifrelenen domain sayısı ortalama 100 adet’e kadar yükseltilebilir.
3) Wildcard SSL Sertifikaları
Sertifikanın kullanıldığı domainin tüm subdomainlerinin imzalanmasını sağlayan sertifika tipidir. Kurulumu *.domain.com şeklinde yapılır.
Wildcard ssl sertifikalarında subdomain limiti bulunmaz.
Aşağıdaki Tabloda Wildcard ile Multi Domain sertifikası arasındaki farkı görebilirsiniz.
SSL Sertifikasını Kimlerden alabiliriz
SSL sertifikası satın alabileceğiniz bazı firmalar aşağıdaki gibidir.
https://tr.comodo.com/
https://www.globalsign.com.tr
http://www.rapidssl.com
http://www.verisign.com
http://www.digicert.com
TLS Nedir ?
TSL (Transport Layer Security / Taşıma Katmanı Güvenliği), İnternet Mühendisliği Görev Gücü (IETF) standartlar yolu protokolüdür ve önceki SSL spesifikasyonları (1994, 1995, 1996) esas alınarak SSL’i de kullanıma sunan Netscape tarafından geliştirilmiştir. Bu açıdan değerlendirildiğinde, SSL için TLS’nin öncülü diyebiliriz. Bu nedenle kimi zaman SSL/TLS olarak da adlandırılır. Kısaca bu süreci açıklamak gerekirse, SSL protokolünün yayınlanan son versiyonu 3.0 sonrasında TLS 1.0 ile devamlılık sağlanmıştır. TLS 1.0’ın SSL 3.1’e karşılık geldiği düşünülebilir. Tabi eklenen özellikler ve modifiye edilen, daha gelişmiş ve güvenli hale getirilen yapı sebebiyle TLS ifadesi tercih edilmeye başlanmıştır.
TLS’nin Özellikleri;
- Tarayıcılar ile sunucular(server) arasında güvenli haberleşmeyi sağlar.
- Asimetrik kriptografi (asymmetric cryptography) algoritmasını kullanarak key(anahtar) üzerinden verileri şifreler.
- Veri şifrelemesinde HTTPS, SMTP, POP3, FTP gibi IP protokollerinin birçoğu tarafından desteklemektedir.
Günlük yaşamımızda biz farkında olmadan ağ üzerinden VPN bağlantıları, VoIP (IP üzerinden ses iletimi), anlık mesajlaşma vb. gibi işlemlerin web tarayıcılarında veya uygulamalarda güvenli bir şekilde yapılmasını sağlar.
TLS’nin Katmanları;
- TLS Record Protocol (TLS Kayıt Protokolü)
- TLS Handshake Protocol (TLS El Sıkışma Protokolü)
Handshake Protokolü, sunucu ve kullanıcıların kimlik doğrulama işlemlerini gerçekleştirir. Handshake Protocol veri iletişimi öncesine şifreleme algoritmaları ile şifreleme anahtarlarına izin verilirken, Record Protocol ile bağlantının güvenliği sağlanır.
SSL ve TLS Protokollerinin yayımlanış tarihleri aşağıdaki gibidir.
- SSL 1.0 – güvenlik sorunları nedeniyle hiçbir zaman kamuya açıklanmadı.
- SSL 2.0 – released in 1995.
- SSL 3.0 – released in 1996. Bilinen güvenlik sorunları var 2015 yılında kullanımdan kaldırıldı.
- TLS 1.0 – released in 1999 SSL 3.0’a yükseltme olarak. 2020’de kullanımdan kaldırılmayı planlıyor.
- TLS 1.1 – released in 2006 . 2020’de kullanımdan kaldırılmayı planlıyor.
- TLS 1.2 – released in 2008.
- TLS 1.3 – released in 2018.
SSL Sertifikasını Kimlerden alabiliriz
SSL sertifikası satın alabileceğiniz bazı firmalar aşağıdaki gibidir.
https://tr.comodo.com/
https://www.globalsign.com.tr
http://www.rapidssl.com
http://www.verisign.com
http://www.digicert.com
SSL ve TLS arasındaki farklar;
- süreci güvenlik ile başlatıp doğrudan güvenli veri iletişimine geçerken, TLS sunucuya güvenli olmayan bir açılış mesajı gönderir. Eğer bu mesaj üzerinden istemci ile sunucu arasında bir handshake gerçekleşmezse (message authentication) bağlantı kurulmaz. Handshake sağlanmış ise güvenli bağlantı kurulur ve veri iletişimi sağlanır.
- Eğer istemci bir SSL sertifikasına sahip değilse TLS protokolü “Sertifika Yok” mesajını geçirebilir. SSL’de ise ayrıca bir bilgilendirmeye gerek yoktur.
- H-MAC herhangi bir hash fonksiyonuyla yönetilebilir olduğu için TLS pek çok durumda MAC (H-MAC) kullanır. Ancak, SSL MD5 ve SHA kullanmaktadır.
- TLS, HMAC ve PRF standartlarını ve bu standartlar üzerinden üretilen anahtarları (key) kullanır. SSL ise RSA, Diffie-Hellman veya Fortezza/DMS kullanmaktadır.
- TLS sertifika doğrulama mesajını handshake içerisinde iletir, SSL ise doğrulama mesajını daha kompleks bir süreç içerisinde iletmektedir.
- TLS, “bitti mesajı” için PRF çıktısıyla birlikte istemci ve sunucudan gelen “bitti” mesajlarını kullanır. SSL ise anahtar üretimine benzer biçimde bir “bitti mesajı” oluşturur.
- TLS ve SSL birlikte çalışamaz.
TLS kullanımı için öncelikle sunucu ayarlarından SSL 2.0 ve SSL 3.0’ın devre dışı bırakılması gerekmektedir. Son duyurulan güncellemeler ile birlikte (2018) TLS 1.3 kullanıma sunulmuştur. TLS 1.3’ü destekleyen tarayıcılar şunlardır:
SSL/TLS ile HTTPS Arasındaki İlişki
Bir SSL sertifikası aldığınızda HTTPS kullanarak veri transfer edecek şekilde ayarlarsınız. Bu iki teknoloji iyi bir uyuma sahip ve biri olmadan diğerini kullanamazsınız.
URL’ler ya HTTP (Hypertext Transfer Protocol) ya da HTTPS (Hypertext Transfer Protocol Secure)‘den önce gelir. Bu yöntem verimli şekilde gönderdiğiniz ve aldığınız herhangi verinin gönderilme şeklini belirler.
Bunun anlamı, bir sitenin SSL sertifikası kullanıp kullanmadığını anlamanın bir diğer yolu da URL adresinde HTTP mi yoksa HTTPS mi barındırdığını kontrol etmektir. Bunun sebebi, HTTPS bağlantıları çalışabilmek için bir SSL sertifikasına ihtiyaç duyar.
HSTS(HTTP Strict Transport Security) Nedir ?
Web sitenize SSL sertifikası ekleyip 301 yönlendirmesi yapmış olsanız bile, sitenizin SSL sertifikasız sürümüne (yani “HTTP” sürümüne) erişim mümkündür. Sitenizi ziyaret eden kullanıcılar, “HTTP” ile başlayan adresinize gittiğinde, veri aktarımlarının tamamı güvensiz protokolden gerçekleşir.
Kullanıcının tarayıcısıyla bir kere HTTPS ile yüklediği bir siteyi belirli bir süre boyunca (örneğin 1 ay) HTTPS ile yüklemeye zorlayan bir mekanizmadır. HSTS kullanıcıyı Downgrade Attack olarak bilinen ataktan korumaktadır. Kullanıcı ile hedef site arasında bulunan kötü niyetli ekipman, kullanıcının trafiğini HTTPS’ten HTTP’ye yönlendirmeye çalışabilir. Bu durumda tarayıcı HSTS sayesinde ilgili sitenin HTTPS ile yüklenmesi gerektiğini bilmekte ve sayfayı HTTP ile yüklemeyi reddetmektedir.
HSTS’in çalışma mekanizması oldukça basittir. Web sunucu tarayıcıya verdiği cevapta strict-transport-security başlığında HSTS değerini aşağıdaki örnekteki gibi ayarlar. Tarayıcı ilgili web sitesine verilen süre boyunca sadece ve sadece HTTPS ile ulaşmaya çalışır
“Strict-Transport-Security: max-age=31536000; includeSubDomains”
Bu işlemi sunucunuzda uygulamak için IIS üzerinde aşağıdaki yolu takip edebilirsiniz.
Sol panelden sitenizi seçin–>Http Respons Headers Menüsüne gidiyoruz ve aşağıdaki config’i ekliyoruz.
Yukarıdaki kodu ilgili dosyaya eklediğinizde, bir yıl boyunca siteniz sadece HTTPS protokolü üzerinden çalışır. HSTS politikasını aktif ettiğinizde dikkat etmeniz gereken en önemli unsur; sağlıklı çalışan bir SSL sertifikanızın olması ve bu sertifikanın tüm subdomainlerinizde de çalışıyor olmasıdır. Zira HTTPS protokolünün çalışmadığı hiçbir alt alan adınıza hiçbir şekilde erişim sağlanamaz bu ayarın site bazlı yapılması gereklidir.
Aşağıda HSTS’nin çalışma diagramı yer almaktadır.
Web sitenizde HSTS nin aktif olduğunu “https://hstspreload.org/” adresinden kontrol edebilirsiniz. Eğer ekran yeşil ise ayarlamanız tamamdır fakat eksik konfig varsa kırmızı ve sarı olarak size düzeltmeniz gereken yerleri bildirecektir.
HTTP/2 (WEB 2.0) Nedir ?
2012 yılında geliştirilmeye başlanan ve 2015 yılından beri kullanılabilen bu teknoloji; aslında sitelerin daha hızlı açılmasını hedeflemektedir. Testler de göstermektedir ki; HTTP/2 protokolünü kullanan siteler, http protokolü kullanan sitelere göre %20 – %30 arasında daha hızlı açılmaktadır
Geçmişten günümüze HTTP Sürümleri ; http/0.9, http/1.0 , http/1.1, http/2.0
| DURUM | TARİH | AŞAMA |
| Yapıldı | 20.Ara.07 | İlk HTTP 1.1 Revizyon İnternet Taslağı |
| Yapıldı | 23.Oca.08 | İlk HTTP Güvenlik Özellikleri İnternet Taslağı |
| Yapıldı | 2012 Öncesi | HTTP 2.0 Öneri Çağrısı |
| Yapıldı | 14 Ekim – 25 Kasım 2012 | HTTP 1.1 Revisyonu için son Çalışma Grubu çağrısı |
| Yapıldı | 28.Kas.12 | HTTP 2.0’ın draft-mbelshe-httpbis-spdy-00’a dayalı ilk Ç.G. taslağı |
| Beklemede/Elenmiş | —- | HTTP Güvenlik Özellikleri için Çalışma Grubu Son Çağrısı |
| Yapıldı | Eyl.13 | IESG’ye HTTP1.1 Revizyonu’un Standart Önerisi olarak kayıtı |
| Yapıldı | 12.Şub.14 | IESG approved HTTP 1.1 Revizyonunu Standart Önerisi olarak yayınlanmasını onayı |
| Yapıldı | 6.Haz.14 | HTTP 1.1 Revizyonun yayını, şunlar olarak: RFC [rfc:7230 7230], [rfc:7231 7231], [rfc:7232 7232], [rfc:7233 7233], [rfc:7234 7234], [rfc:7235 7235] |
| Yapıldı | 1 Ağustos 2014 – 1 Eylül 2014 | HTTP/2 için Çalışma Grubu Son Çağrısı |
| Yapıldı | 16.Ara.14 | HTTP/2’nin IESG’ye Standart Önerisi olarak kayıtı |
| Yapıldı | 31 Aralık 2014 – 14 Ocak 2015 | IETF ‘nin HTTP/2 için Son Çağrısı |
| Yapıldı | 22.Oca.15 | HTTP/2’nin Standart Önerisi olarak incelenmesi için IESG telekonferansı |
| Yapıldı | 17.Şub.15 | IESG’nin HTTP/2’yi Standart Önerisi olarak yayınlaması |
Peki, “nasıl olur da HTTP/2 protokolü kullanan siteler daha hızlı açılır?” Aslında bu sorunun cevabı oldukça basittir. Bir web sitesini ziyaret ettiğinizde; bulunduğunuz sayfadaki yazı, resim, video, ses dosyası, Java kodları gibi unsurların ayrı ayrı bir erişim adresi vardır. Yani tarayıcıya sayfa linkini yazmak yerine, fotoğrafın linkini yazarsanız; direk olarak salt o fotoğrafın görüntüleneceği sayfaya gidersiniz. HTTP/1 protokolünde sayfada bulunan her fotoğraf, resim, ses dosyasına erişebilmek için; her adrese dair farklı bir istek gönderilmesi ve oturum açılması gerekir. Sayfadan çıktığınızda da bu oturumların kapatılması gerekmektedir. Hali ile de bu işlemler bir miktar vakit almaktadır. HTTP/2 protokolünde ise, sunucu ile browser arasında tek bir bağlantı kullanılır ve bütün veri transferi bu bağlantıdan yapılır.
Sitenizin HTTP/2 protokolünde çalışabilmesi için; hem siteyi barındırdığınız sunucunun, hem de ziyaretçinin kullandığı internet tarayıcısının HTTP/2 desteklemesi gerekmektedir. Chorme, Internet Explorer, Microsoft Edge, Firefox ve Opera tarafından bu protokol desteklenmektedir. Ayrıca mobil tarayıcılarda da Chorme’un Android sürümünün son versiyonu HTTPS/2 protokolünü destekler. Sunucunuzun HTTP/2 destekleyip, desteklemediğini ise BURAYA(https://tools.keycdn.com/http2-test) tıklayarak öğrenebilirsiniz.
HTTP/1 ve HTTP/2’yi kısaca açıkladık. HTTP/2’nin SSL ile ilintisine gelince; HTTP/2 protokolü kullanmak için SSL protokolü kullanmak mecburi değildir. Fakat HTTP/2 teknolojisi tıpkı ilk versiyonda olduğu gibi SSL protokolünü desteklemektedir.
Aşağıda HTTP/1.1 ile HTTP/2’nin çalışma prensibi şematize edilmiştir.
HTTP 1.1 ile HTTP/2 Farkları:
HTTP 1.1, kaynak başına bir bağlantı kullanır. Görselde görüldüğü gibi HTTP/1.1‘de sunucu, kurulan her bir bağlantıda tek bir statik dosya(html,css,js vb.) olacak şekilde cevap döndürür. Bu durum web sitelerinizin yüklenme hızını azaltır ve gecikmelere(latency) neden olur. HTTP 1.1’de web sayfasının render edilmesi için birden fazla Round Trip gerekmektedir. Çünkü HTTP 1.1’ de gerekli olan her bir kaynak dosyası tek bir TCP bağlantısı ile istemciye iletilir.
HTTP/2’de , istemci bir istek yolladığında, sunucu tek bir TCP bağlantısı üzerinden aynı anda gerekli tüm statik dosyaları yanıt olarak döndürür. Bu sayede web sitelerinizin yüklenme hızı artmış olur.
HTTP/2 PUSH NEDİR?
HTTP/2 Push özelliği aktif edildiginde, tarayıcının sunucuya gönderdiği ilk istekle birlikte önceden tanımlanmış dosyalar da, bu istekle birlikte tarayıcıya iletilir. Tarayıcı bu dosyalar için istekte bulunduğunda, dosyalar önceden tarayıcı ön belleğine alındığından tekrar sunucudan istenmez, hızlıca önbellekten servis edilir.
Örneğin; istemci index.html dosyasını isterse ve bu dosya içerisinde style.css dosyası çağırılıyorsa server(sunucu) index.html dosyasını response olarak ilertirken style.css’i de beraberinde gönderir (push eder) ve ön belleğe ekler.
Http versiyonları arasındaki çalışma şeması aşağıdaki gibidir.
Performans analizne dair çıktılar ise aşağıda ki gibi özetlenebilir.
HPPT/2 yi destekleyen Broserlar aşağıdaki tabloda yer almaktadır.
https://caniuse.com/#search=http2
