TLS Güvenlik Protokolü Nedir? Transport Layer Security Hakkında Kapsamlı Rehber
Transport Layer Security (TLS), güvenli internet iletişiminin temelini oluşturur. Bir web sitesine her giriş yaptığınızda, ödeme gönderdiğinizde veya şifreli bir e-posta gönderdiğinizde, TLS verilerinizi korumak için arka planda sessizce çalışır. Ancak kritik önemi olmasına rağmen, birçok web sitesi sahibi ve geliştirici TLS’nin gerçekte nasıl çalıştığı ve bunu doğru yapmak neden çok önemli olduğu konusunda yalnızca yüzeysel bir anlayışa sahiptir.
Bu kapsamlı rehber, TLS hakkında bilmeniz gereken her şeyi açıklar: nasıl çalıştığı, hangi sürümü kullanmanız gerektiği, SSL’den farkı ve kendi web siteniz veya sunucunuzda bunu doğru şekilde nasıl uygulayacağınız.
TLS Nedir?
TLS (Transport Layer Security), bir ağ üzerinde — en yaygın olarak internet üzerinde — güvenli, kimliği doğrulanmış ve kurcalamaya karşı korumalı iletişim sağlamak için tasarlanmış bir kriptografik protokoldür. SSL (Secure Sockets Layer) protokolünün doğrudan halefidir ve SSL artık tamamen kullanımdan kaldırılmıştır. TLS, önemli ölçüde daha güçlü güvenlik mekanizmaları içerir.
TLS, veri gizliliği ve bütünlüğü gerektiren çok çeşitli uygulamalar tarafından kullanılır:
- Web taraması (HTTPS)
- E-posta iletimi (SMTP, IMAP, POP3 over TLS)
- Anlık mesajlaşma
- Voice over IP (VoIP)
- Sanal Özel Ağlar (VPN)
- Sunucular arasında API iletişimi
Kısacası, hassas veriler bir ağ üzerinde hareket ediyorsa, TLS neredeyse kesinlikle — ve olması gereken — işin içindedir.
TLS Nasıl Çalışır: Adım Adım Açıklama
TLS, asimetrik şifreleme (ilk el sıkışma sırasında kullanılan) ve simetrik şifreleme (gerçek veri aktarımı için kullanılan) kombinasyonu aracılığıyla çalışır. Bu hibrit yaklaşım, güçlü güvenliği hesaplama verimliliğiyle dengeler.
Adım 1: TLS El Sıkışması
Herhangi bir şifreli veri alışverişinden önce, istemci (örneğin, bir web tarayıcısı) ve sunucu güvenli bir bağlantı üzerinde anlaşmalıdır. Bu işleme TLS el sıkışması denir ve birkaç önemli anahtar değişimini içerir:
- Client Hello — İstemci, desteklediği TLS sürümünü, desteklenen şifre paketlerinin listesini (şifreleme algoritmaları) ve rastgele oluşturulmuş bir numarayı içeren bir mesaj göndererek bağlantıyı başlatır.
- Server Hello — Sunucu, şifre paketini seçerek, dijital sertifikasını (genel anahtarını içeren) göndererek ve kendi rastgele numarasını sağlayarak yanıt verir.
- Sertifika Doğrulaması — İstemci, sunucunun kimliğinin meşru olduğunu doğrulamak için sunucunun sertifikasını güvenilir bir Sertifika Yetkilisine (CA) karşı doğrular.
- Anahtar Değişimi — Sunucunun genel anahtarını kullanarak, istemci ve sunucu paylaşılan bir oturum anahtarı türetir (veya TLS 1.3’te Diffie-Hellman gibi bir anahtar anlaşma protokolü kullanır).
- El Sıkışma Tamamlandı — Her iki taraf da el sıkışmanın bittiğini doğrular ve kararlaştırılan simetrik oturum anahtarını kullanarak şifreli iletişime başlar.
> TLS 1.3 iyileştirmesi: TLS 1.3 el sıkışması önemli ölçüde daha hızlıdır, iki yerine bir gidiş-dönüş (1-RTT) içinde tamamlanır ve dönen bağlantılar için 0-RTT devamını destekler — güvenlikten ödün vermeden performansı çarpıcı şekilde iyileştirir.
Adım 2: Simetrik Veri Şifrelemesi
El sıkışma paylaşılan bir oturum anahtarı oluşturduktan sonra, sonraki tüm veriler simetrik şifreleme (örneğin, AES-256-GCM) kullanılarak şifrelenir. Simetrik şifreleme, asimetrik şifrelemeden çok daha hızlıdır ve gerçek zamanlı olarak büyük hacimli verileri şifrelemek için uygundur.
Adım 3: Veri Bütünlüğü Doğrulaması
TLS, iletilen her mesajın aktarım sırasında değiştirilmediğini sağlamak için İleti Kimlik Doğrulama Kodlarını (MAC’lar) — veya TLS 1.3’te AEAD (İlişkili Verilerle Kimlik Doğrulamalı Şifreleme) — kullanır. Her mesaj bir kriptografik hash içerir; tek bir bit bile değiştirilirse, hash eşleşmeyecek ve bağlantı sonlandırılacaktır.
Bu üç adımlı işlem — şifrele, doğrula, kontrol et — TLS’yi ortadaki adam saldırılarına, dinlemeye ve veri tahrif edilmesine karşı bu kadar sağlam kılan şeydir.
TLS’nin Üç Temel Güvenlik Özelliği
TLS üç temel güvenlik garantisine dayanır:
| Özellik | Anlamı |
|---|---|
| Gizlilik | Veriler şifrelenmiş olup yalnızca amaçlanan alıcı tarafından okunabilir |
| Kimlik Doğrulama | Sunucunun kimliği güvenilir bir dijital sertifika aracılığıyla doğrulanır |
| Bütünlük | Veriler iletim sırasında algılanmadan değiştirilemez |
Bu özellikler birlikte, kullanıcıların kullandıkları bağlantıya güvenebilmelerini ve gönderdikleri ve aldıkları verilerin tam olarak amaçlandığı şekilde olmasını sağlar.
TLS Sürümleri: Hangisini Kullanmalısınız?
TLS, birkaç sürüm boyunca gelişmiş ve her biri öncülünde keşfedilen güvenlik açıklarını gidermiştir. İşte tam bir genel bakış:
TLS 1.0 (1999) — Kullanımdan Kaldırıldı
İlk resmi TLS sürümü, SSL 3.0’a büyük ölçüde dayanmaktadır. SSL’ye göre iyileştirmeler getirdi ancak BEAST ve POODLE gibi güvenlik açıkları nedeniyle artık güvensiz olarak kabul edilmektedir. 2020’den beri tüm büyük tarayıcılar tarafından devre dışı bırakılmıştır.
TLS 1.1 (2006) — Kullanımdan Kaldırıldı
CBC padding saldırılarına karşı koruma ekledi ancak yine de zayıf kriptografik ilkellere dayanmaktadır. Ayrıca 2020’den beri kullanımdan kaldırılmış ve devre dışı bırakılmıştır.
TLS 1.2 (2008) — Yaygın Olarak Desteklenen, Hala Kabul Edilebilir
Daha güçlü cipher suite’leri (AES-GCM ve SHA-256 dahil) desteklemesini, eski algoritmaları kaldırmasını ve kimliği doğrulanmış şifrelemeyi ekleyen büyük bir iyileştirmedir. TLS 1.2 hala yaygın olarak dağıtılmakta ve uygun şekilde yapılandırıldığında hala kabul edilebilir olarak kabul edilmektedir — ancak yalnızca güçlü cipher suite’leri ile ve zayıf seçenekler (RC4, 3DES, SHA-1) açıkça devre dışı bırakıldığında.
TLS 1.3 (2018) — Güncel Standart, Şiddetle Tavsiye Edilir
Protokolün bugüne kadarki en önemli revizyonu. TLS 1.3, tüm eski kriptografik algoritmaları kaldırır, ileri gizlilik zorunlu kılar, handshake gecikmesini azaltır ve bilinen saldırıların tüm kategorilerini ortadan kaldırır. Temel iyileştirmeler şunları içerir:
- RSA anahtar değişiminin kaldırılması (ephemeral Diffie-Hellman ile değiştirildi)
- Zorunlu Perfect Forward Secrecy (PFS)
- Daha hızlı 1-RTT handshake (ve 0-RTT resumption)
- MD5, SHA-1, RC4, DES, 3DES ve diğer zayıf algoritmaların ortadan kaldırılması
- Basitleştirilmiş, daha güvenli cipher suite listesi
Bugün bir sunucu yapılandırıyorsanız, TLS 1.3 minimum hedefin olmalıdır, eski istemci uyumluluğu için TLS 1.2 bir fallback olarak kullanılmalıdır.
TLS’nin Yaygın Gerçek Dünya Kullanımları
HTTPS Web Taraması
TLS’nin en görünür kullanımı. Bir web sitesi HTTPS kullandığında, kullanıcının tarayıcısı ile web sunucusu arasındaki tüm iletişim şifrelenir. TLS olmadan, giriş kimlik bilgileri, form gönderileri ve oturum çerezleri düz metin olarak iletilir — herhangi bir paylaşılan ağda kolayca engellenebilir.
E-posta Güvenliği
TLS, posta sunucuları arasında (STARTTLS veya SMTP over TLS) ve posta istemcileri ile sunucular arasında (IMAP/POP3 over TLS) transit sırasında e-postayı şifreler. Kendi posta altyapınızı çalıştırıyorsanız, TLS’yi etkinleştirmek zorunludur. Yönetilen bir çözüm arıyorsanız, yerleşik TLS desteğine sahip E-posta Barındırma yapılandırma yükünün çoğunu ortadan kaldırır.
VPN’ler ve Güvenli Tüneller
OpenVPN ve SSL VPN’ler de dahil olmak üzere birçok VPN uygulaması, genel internet altyapısı üzerinde tüneller kurmak ve güvenli hale getirmek için TLS kullanır.
VoIP ve Gerçek Zamanlı İletişim
TLS (medya akışları için SRTP ile birleştirilmiş), VoIP çağrılarını ve gerçek zamanlı mesajlaşmayı kesintiye uğratma ve yeniden oynatma saldırılarından korur.
API ve Mikro Hizmet İletişimi
Modern uygulama mimarileri, REST API’lerini, gRPC hizmetlerini ve mikro hizmet ortamlarında hizmetler arası iletişimi güvenli hale getirmek için TLS’ye güvenir — özellikle bulut ve konteynerleştirilmiş dağıtımlarda kritiktir.
TLS Sertifikaları: Nedir ve Neden Önemlidir
Bir TLS sertifikası (yaygın olarak SSL sertifikası olarak adlandırılsa da, terminoloji artık güncel değildir) iki amaca hizmet eden dijital bir belgedir:
- Kimlik doğrulama — Bağlandığınız sunucunun, güvenilir bir Sertifika Yetkilisi (CA) tarafından doğrulanmış olduğu şekilde iddia ettiği kişi olduğunu kanıtlar.
- Anahtar dağıtımı — TLS el sıkışması sırasında kullanılan sunucunun genel anahtarını içerir.
Sertifikalar, DigiCert, Sectigo, GlobalSign ve Let’s Encrypt gibi güvenilir Sertifika Yetkilileri (CA) tarafından verilir. Tarayıcılar ve işletim sistemleri güvenilir CA’ların bir listesini tutar; bir sertifika güvenilir bir CA tarafından imzalanmışsa, bağlantı geçerli kabul edilir.
TLS Sertifikası Türleri
| Tür | Doğrulama Seviyesi | En İyi Kullanım |
|---|---|---|
| DV (Domain Validated) | Yalnızca alan adı sahipliği | Kişisel siteler, bloglar, temel HTTPS |
| OV (Organization Validated) | Alan adı + kuruluş kimliği | İşletme web siteleri |
| EV (Extended Validation) | Titiz kimlik doğrulama | E-ticaret, finansal hizmetler |
| Wildcard | Tüm alt alanları kapsar | Çok alt alan ortamları |
| Multi-Domain (SAN) | Birden fazla alan adını kapsar | Birden fazla siteyi barındırma |
Bir Web Sitesinin Sertifikasını Kontrol Etme
Herhangi bir modern tarayıcıda, adres çubuğundaki asma kilit simgesine tıklayın. Bu, sertifika veren kuruluşu, kapsadığı alan adını, geçerlilik dönemini ve verildiği kuruluşu ortaya çıkarır. Eksik bir asma kilit — veya uyarı içeren kırık bir asma kilit — hemen ele alınması gereken bir TLS yapılandırma sorunu gösterir.
Web sitenizi veya uygulamanızı güvenli hale getirmeniz gerekiyorsa, SSL Sertifikaları spesifik gereksinimlerinize uygun çeşitli doğrulama seviyeleriyle mevcuttur.
TLS vs. SSL: Farkı Anlamak
“TLS” ve “SSL” terimleri endüstride sıklıkla birbirinin yerine kullanılır ve bu da önemli bir karışıklığa neden olur. İşte kesin açıklama:
| SSL | TLS | |
|---|---|---|
| Durum | Tamamen kullanımdan kaldırıldı | Mevcut standart |
| Sürümler | SSL 2.0, SSL 3.0 | TLS 1.0–1.3 |
| Güvenlik | Bilinen birçok güvenlik açığı | Sürekli iyileştirilen |
| Kullanım | Kullanılmamalı | Güvenli iletişim için gerekli |
SSL öldü. SSL 2.0, 2011 yılında kullanımdan kaldırıldı. SSL 3.0, POODLE güvenlik açığının ardından 2015 yılında kullanımdan kaldırıldı. Hala SSL desteğini ilan eden herhangi bir sunucu bir güvenlik riski oluşturur.
Satıcılar veya barındırma sağlayıcıları “SSL sertifikaları”ndan bahsettiklerinde, neredeyse evrensel olarak TLS bağlantıları içinde kullanılan sertifikaları kastediyorlar. Adlandırma kuralı tarihsel bir kalıntıdır — temel protokol TLS’dir.
Web Siteniz veya Sunucunuzda TLS Nasıl Uygulanır
TLS’yi doğru şekilde uygulamak, yalnızca bir sertifika yüklemekten daha fazlasını içerir. İşte üretime hazır bir uygulama kontrol listesi:
1. TLS/SSL Sertifikası Alın
- Ücretsiz seçenek: Let’s Encrypt, ACME protokolü aracılığıyla ücretsiz, otomatik yenilenen DV sertifikaları sağlar (Certbot en yaygın istemcidir).
- Ücretli seçenek: Ek doğrulama seviyeleri ve garanti kapsamı için güvenilir bir CA’dan DV, OV veya EV sertifikası satın alın. AlexHost, çeşitli kullanım durumları için uygun SSL Sertifikaları sunmaktadır.
2. Sertifikayı Sunucunuza Yükleyin
Yükleme işlemi web sunucusuna göre değişir:
Nginx:
server {
listen 443 ssl;
ssl_certificate /etc/ssl/certs/your_domain.crt;
ssl_certificate_key /etc/ssl/private/your_domain.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}Apache:
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/ssl/certs/your_domain.crt
SSLCertificateKeyFile /etc/ssl/private/your_domain.key
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
</VirtualHost>3. HTTPS’yi Zorunlu Kılın (HTTP’yi HTTPS’ye Yönlendirin)
Nginx:
server {
listen 80;
server_name yourdomain.com;
return 301 https://$host$request_uri;
}Apache (.htaccess):
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]4. HTTP Strict Transport Security (HSTS) Etkinleştirin
HSTS, tarayıcılara bir kullanıcı http:// yazsa bile her zaman etki alanınız için HTTPS kullanmasını söyler:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;5. Zayıf Protokolleri ve Şifre Paketlerini Devre Dışı Bırakın
TLS 1.0 ve 1.1’i açıkça devre dışı bırakın ve zayıf şifreleri (RC4, 3DES, NULL, EXPORT-grade) kaldırın. Yapılandırmanızı doğrulamak ve A+ derecelendirmesi elde etmek için SSL Labs Server Test gibi araçları kullanın.
6. Sertifika Otomatik Yenilemesini Ayarlayın
TLS sertifikaları sona erer (Let’s Encrypt için tipik olarak 90 gün sonra veya ticari CA’lar için 1–2 yıl sonra). Beklenmeyen sertifika sona ermesini önlemek için bir cron işi veya systemd zamanlayıcısı ile yenilemeyi otomatikleştirin.
TLS yapılandırmasının sizin için işlendiği yönetilen bir ortamı tercih ederseniz, cPanel VPS SSL yönetimi, sertifika yüklemesi ve manuel sunucu yapılandırması olmadan HTTPS zorunluluğu için sezgisel bir arayüz sağlar.
TLS Neden SEO ve İşletme Güveni İçin Kritiktir
TLS sadece bir güvenlik önlemi değildir — doğrudan işletme ve SEO sonuçları vardır:
- Google sıralama sinyali: Google, HTTPS’in bir sıralama faktörü olduğunu doğrulamıştır. TLS olmayan siteler arama sonuçlarında rekabet açısından dezavantajlıdır.
- Tarayıcı uyarıları: Chrome, Firefox ve Edge, HTTP sayfaları için belirgin “Güvenli Değil” uyarıları gösterir, özellikle formlar veya giriş alanları içeren sayfalar için. Bu uyarılar hızlı çıkış oranlarını dramatik şekilde artırır.
- Kullanıcı güveni: Asma kilit simgesi, tanınmış bir güven sinyalidir. Araştırmalar tutarlı bir şekilde, güvenlik uyarıları gösteren sitelerde kullanıcıların satın alma işlemlerini tamamlama veya kişisel bilgi gönderme olasılığının daha düşük olduğunu gösterir.
- Uyum gereksinimleri: PCI DSS (ödeme işleme için), HIPAA (sağlık verileri için) ve GDPR’nin tümü, aktarımdaki veriler için TLS’yi etkili bir şekilde zorunlu kılan gereksinimleri vardır.
- Veri ihlali sorumluluğu: Hassas verileri şifreleme olmadan iletmek sadece bir güvenlik başarısızlığı değildir — veri koruma düzenlemeleri kapsamında ihmal oluşturabilir.
TLS için Doğru Hosting Altyapısını Seçmek
Hosting ortamınız, TLS’yi doğru şekilde uygulamanız ve sürdürmeniz yeteneğinizi doğrudan etkiler. Paylaşılan hosting ortamları TLS yapılandırması üzerindeki kontrolünüzü sınırlayabilirken, bir VPS Hosting çözümü, TLS protokollerini, şifre paketlerini ve sertifika yönetimini tam olarak gerektiği şekilde yapılandırmak için tam root erişimi sağlar.
Yüksek trafikli uygulamalar, kurumsal ortamlar veya özel kaynaklar gerektiren ve maksimum TLS performansı gerektiren iş yükleri için, Dedicated Servers TLS’yi ölçekte uygulamak için gereken donanım yalıtımı ve tam yapılandırma kontrolü sağlar — özel sertifika zincirleri, donanım güvenlik modülleri (HSM’ler) ve gelişmiş TLS sonlandırma yapılandırmaları dahil.
AI odaklı uygulamalar veya güvenli iletişim gerektiren yoğun işlem hizmetleri oluşturan geliştirici ve takımlar için, GPU Hosting yüksek performanslı işlem kaynaklarını aynı güçlü ağ altyapısı ile birleştirerek, zorlu iş yükleri altında bile TLS ile güvenli API uç noktalarını sağlar.
TLS Hakkında Sık Sorulan Sorular
TLS, HTTPS ile aynı mı?
Tam olarak değil. HTTPS, TLS ile güvenli bir bağlantı üzerinde çalışan HTTP’dir. TLS protokoldür; HTTPS, TLS’nin web trafiğine uygulanmasıdır. HTTPS’ye sahip olmak için TLS’ye ihtiyacınız vardır, ancak TLS birçok başka bağlamda da kullanılır (e-posta, VoIP, API’ler).
TLS sertifikamı yenilemem gerekir mi?
Evet. Tüm TLS sertifikalarının bir son kullanma tarihi vardır. Let’s Encrypt sertifikaları 90 gün sonra sona erer (otomatik yenileme şiddetle önerilir). Ticari sertifikalar genellikle 1–2 yıl sürer. Süresi dolmuş bir sertifika, tarayıcıların bir güvenlik hatası görüntülemesine ve kullanıcıların sitenize erişmesini engellemesine neden olur.
TLS kırılabilir veya atlatılabilir mi?
TLS 1.3, düzgün şekilde yapılandırıldığında, bilinen pratik saldırıları yoktur. Ancak, yanlış yapılandırılmış TLS (örneğin, TLS 1.0/1.1’e izin vermek, zayıf şifre paketleri kullanmak veya uygun doğrulama olmadan kendi imzalı sertifikalar kullanmak) savunmasız olabilir. Her zaman mevcut en iyi uygulamaları izleyin ve yapılandırmanızı denetlemek için SSL Labs gibi araçları kullanın.
Perfect Forward Secrecy (PFS) nedir?
PFS, bir sunucunun özel anahtarı gelecekte tehlikeye girse bile, geçmiş oturum kayıtlarının şifresi çözülemeyeceğini sağlar. TLS 1.3, kısa ömürlü anahtar değişimi gerektirerek PFS’yi zorunlu kılar. TLS 1.2, PFS’yi destekler ancak yalnızca ECDHE veya DHE şifre paketleriyle yapılandırıldığında.
Kendi imzalı sertifika nedir?
Kendi imzalı sertifika, güvenilir bir CA yerine varlık tarafından imzalanan bir sertifikadır. Şifreleme sağlar ancak üçüncü taraf kimlik doğrulaması sağlamaz. Tarayıcılar, kendi imzalı sertifikalar için bir güvenlik uyarısı görüntüler. İç/geliştirme kullanımı için kabul edilebilir ancak son kullanıcılara yönelik üretim ortamlarında asla kullanılmamalıdır.
Sonuç
TLS isteğe bağlı değildir — modern internetin temel güvenlik protokolüdür. Kullanıcı kimlik bilgilerini ve ödeme verilerini korumaktan tarayıcı güven sinyallerini etkinleştirmeye ve uyumluluk gereksinimlerini karşılamaya kadar, TLS neredeyse her güvenli dijital etkileşimin temelini oluşturur.
TLS’yi daha derin bir seviyede anlamak — el sıkışmanın nasıl çalıştığını, TLS 1.3’ün neden önemli olduğunu, bunu doğru şekilde nasıl yapılandıracağını ve sertifikaların gerçekte ne yaptığını — sizi yalnızca yüzeysel olarak uyumlu değil, gerçekten güvenli bir altyapı oluşturmaya ve sürdürmeye yetkilendirir.
Yeni bir web sitesi kuruyorsanız, HTTPS’ye geçiyorsanız veya mevcut bir sunucu yapılandırmasını denetliyorsanız, adımlar açıktır: geçerli bir sertifika edinin, TLS 1.2 veya 1.3’ü zorunlu kılın, zayıf protokolleri ve şifreleri devre dışı bırakın, HSTS uygulayın ve sertifika yenilemeyi otomatikleştirin. Doğru hosting altyapısı — basit siteler için Paylaşımlı Web Hosting veya karmaşık dağıtımlar için tam yönetilen VPS — bu süreci önemli ölçüde daha yönetilebilir hale getirir.
Bağlantılarınızı güvenli hale getirin. Kullanıcılarınızı koruyun. Uzun süren güven oluşturun.
tasarruf edin