Güvenlik artık bir seçenek değil, her internet teknolojisi uzmanı için zorunlu bir ders. HTTP, HTTPS, SSL, TLS - Arka planda neler olup bittiğini gerçekten anlıyor musunuz? Bu makalede, modern şifreli iletişim protokollerinin temel mantığını hem anlaşılır hem de profesyonel bir şekilde açıklayacak ve görsel bir akış şemasıyla "kilitlerin ardındaki" sırları anlamanıza yardımcı olacağız.
HTTP neden "güvenli değil"? --- Giriş
O tanıdık tarayıcı uyarısını hatırlıyor musunuz?
"Bağlantınız gizli değil."
Bir web sitesi HTTPS kullanmadığında, kullanıcının tüm bilgileri ağ üzerinden şifresiz olarak yayılır. Giriş şifreleriniz, banka kartı numaralarınız ve hatta özel konuşmalarınız, iyi konumlanmış bir bilgisayar korsanı tarafından ele geçirilebilir. Bunun temel nedeni, HTTP'nin şifreleme eksikliğidir.
Peki HTTPS ve onun arkasındaki "bekçi" TLS, verilerin internet üzerinden güvenli bir şekilde iletilmesini nasıl sağlıyor? Bunu katman katman inceleyelim.
HTTPS = HTTP + TLS/SSL --- Yapı ve Temel Kavramlar
1. HTTPS özünde nedir?
HTTPS (Güvenli Hiper Metin Aktarım Protokolü) = HTTP + Şifreleme katmanı (TLS/SSL)
○ HTTP: Bu, verilerin taşınmasından sorumludur, ancak içerik düz metin olarak görünür.
○ TLS/SSL: HTTP iletişimi için "şifreleme kilidi" sağlar ve verileri yalnızca meşru gönderici ve alıcının çözebileceği bir bulmacaya dönüştürür.
Şekil 1: HTTP ve HTTPS veri akışı.
Tarayıcı adres çubuğundaki "Kilit" simgesi, TLS/SSL güvenlik bayrağıdır.
2. TLS ve SSL arasındaki ilişki nedir?
○ SSL (Secure Sockets Layer): Ciddi güvenlik açıkları olduğu tespit edilen en eski şifreleme protokolü.
○ TLS (Transport Layer Security): SSL'nin halefi olan TLS 1.2 ve daha gelişmiş TLS 1.3, güvenlik ve performansta önemli iyileştirmeler sunar.
Günümüzde "SSL sertifikaları" aslında TLS protokolünün, sadece adlandırılmış uzantıları olan uygulamalarıdır.
TLS'nin Derinliklerine Bakış: HTTPS'nin Ardındaki Kriptografik Büyü
1. El sıkışma akışı tamamen çözüldü.
TLS güvenli iletişiminin temeli, kurulum sırasında gerçekleşen el sıkışma işlemidir. Standart TLS el sıkışma akışını inceleyelim:
Şekil 2: Tipik bir TLS el sıkışma akışı.
1️⃣ TCP Bağlantısı Kurulumu
Bir istemci (örneğin, bir tarayıcı), sunucuya (standart 443 numaralı bağlantı noktası) bir TCP bağlantısı başlatır.
2️⃣ TLS El Sıkışma Aşaması
○ İstemci Merhaba: Tarayıcı, desteklenen TLS sürümünü, şifreleme yöntemini ve rastgele sayıyı, sunucuya erişmek istediği ana bilgisayar adını bildiren Sunucu Adı Gösterimi (SNI) ile birlikte gönderir (bu, birden fazla site arasında IP paylaşımını mümkün kılar).
○ Sunucuya Selam ve Sertifika Gönderimi: Sunucu uygun TLS sürümünü ve şifreleme yöntemini seçer ve sertifikasını (genel anahtarıyla birlikte) ve rastgele sayıları geri gönderir.
○ Sertifika doğrulama: Tarayıcı, sunucu sertifika zincirini güvenilir kök CA'ya kadar doğrulayarak sahte olup olmadığını kontrol eder.
○ Ön anahtar oluşturma: Tarayıcı bir ön anahtar oluşturur, bunu sunucunun açık anahtarıyla şifreler ve sunucuya gönderir. İki taraf oturum anahtarını müzakere eder: İstemci ve sunucu, her iki tarafın rastgele sayılarını ve ön anahtarı kullanarak aynı simetrik şifreleme oturum anahtarını hesaplar.
○ El sıkışma tamamlandı: Her iki taraf da birbirine "Bitti" mesajları gönderir ve şifrelenmiş veri iletim aşamasına geçer.
3️⃣ Güvenli Veri Aktarımı
Tüm hizmet verileri, üzerinde anlaşmaya varılan oturum anahtarı ile etkili bir şekilde simetrik olarak şifrelenir; bu sayede, işlem yarıda kesilse bile, yalnızca bir yığın "anlaşılmaz kod"dan ibaret kalır.
4️⃣ Oturum Yeniden Kullanımı
TLS, oturum desteğini yeniden sunarak, aynı istemcinin zahmetli el sıkışma aşamasını atlamasına olanak tanıyarak performansı önemli ölçüde artırabilir.
Asimetrik şifreleme (RSA gibi) güvenlidir ancak yavaştır. Simetrik şifreleme hızlıdır ancak anahtar dağıtımı zahmetlidir. TLS, verileri verimli bir şekilde şifrelemek için önce asimetrik güvenli bir anahtar değişimi ve ardından simetrik bir şema olmak üzere "iki aşamalı" bir strateji kullanır.
2. Algoritma evrimi ve güvenlik iyileştirmesi
RSA ve Diffie-Hellman
○ RSA
İlk olarak TLS el sıkışması sırasında oturum anahtarlarını güvenli bir şekilde dağıtmak için yaygın olarak kullanıldı. İstemci bir oturum anahtarı oluşturur, bunu sunucunun genel anahtarıyla şifreler ve yalnızca sunucunun çözebileceği şekilde gönderir.
○ Diffie-Hellman (DH/ECDH)
TLS 1.3 sürümünden itibaren, anahtar değişimi için RSA yerine, ileriye dönük gizliliği (PFS) destekleyen daha güvenli DH/ECDH algoritmaları kullanılmaktadır. Özel anahtar sızdırılsa bile, geçmiş veriler yine de açılamaz.
| TLS sürümü | Anahtar Değişim Algoritması | Güvenlik |
| TLS 1.2 | RSA/DH/ECDH | Daha yüksek |
| TLS 1.3 | sadece DH/ECDH için | Daha Yüksek |
Ağ Oluşturma Uzmanlarının Mutlaka Öğrenmesi Gereken Pratik Tavsiyeler
○ Daha hızlı ve daha güvenli şifreleme için TLS 1.3'e öncelikli yükseltme.
○ Güçlü şifreleme algoritmalarını (AES-GCM, ChaCha20, vb.) etkinleştirin ve zayıf algoritmaları ve güvensiz protokolleri (SSLv3, TLS 1.0) devre dışı bırakın;
○ Genel HTTPS korumasını iyileştirmek için HSTS, OCSP Stapling vb. ayarları yapılandırın;
○ Güven zincirinin geçerliliğini ve bütünlüğünü sağlamak için sertifika zincirini düzenli olarak güncelleyin ve gözden geçirin.
Sonuç ve Düşünceler: İşletmeniz Gerçekten Güvenli mi?
Düz metin HTTP'den tamamen şifrelenmiş HTTPS'ye kadar, her protokol yükseltmesinin ardında güvenlik gereksinimleri de gelişmiştir. Modern ağlarda şifreli iletişimin temel taşı olan TLS, giderek karmaşıklaşan saldırı ortamıyla başa çıkmak için sürekli olarak kendini geliştirmektedir.
İşletmeniz zaten HTTPS kullanıyor mu? Kripto yapılandırmanız sektörün en iyi uygulamalarıyla uyumlu mu?
Yayın tarihi: 22 Temmuz 2025
