Güvenlik artık bir seçenek değil, her internet teknolojisi uygulayıcısı için zorunlu bir ders. HTTP, HTTPS, SSL, TLS - Perde arkasında neler olup bittiğini gerçekten anlıyor musunuz? Bu yazıda, modern şifreli iletişim protokollerinin temel mantığını basit ve profesyonel bir şekilde açıklayacak ve görsel bir akış şemasıyla "kilitlerin ardındaki" sırları anlamanıza yardımcı olacağız.
HTTP neden "güvensizdir"? --- Giriş
O bilindik tarayıcı uyarısını hatırlıyor musunuz?
"Bağlantınız gizli değil."
Bir web sitesi HTTPS kullanmadığında, kullanıcının tüm bilgileri ağ genelinde düz metin olarak yayılır. Oturum açma parolalarınız, banka kartı numaralarınız ve hatta özel görüşmeleriniz, iyi konumlanmış bir bilgisayar korsanı tarafından ele geçirilebilir. Bunun temel nedeni, HTTP'nin şifreleme eksikliğidir.
Peki HTTPS ve arkasındaki "bekçi" TLS, verilerin internette güvenli bir şekilde dolaşmasını nasıl sağlıyor? Bunu katman katman inceleyelim.
HTTPS = HTTP + TLS/SSL --- Yapı ve Temel Kavramlar
1. HTTPS özünde nedir?
HTTPS (Güvenli Hiper Metin Aktarım Protokolü) = HTTP + Şifreleme katmanı (TLS/SSL)
○ HTTP: Verilerin taşınmasından sorumludur, ancak içerik düz metin olarak görünür
○ TLS/SSL: HTTP iletişiminde "şifreleme kilidi" sağlayarak, verileri yalnızca meşru gönderici ve alıcının çözebileceği bir bulmacaya dönüştürür.
Şekil 1: HTTP ve HTTPS veri akışı.
Tarayıcı adres çubuğundaki "Kilit" TLS/SSL güvenlik bayrağıdır.
2. TLS ile SSL arasındaki ilişki nedir?
○ SSL (Secure Sockets Layer): Ciddi güvenlik açıkları olduğu tespit edilen en eski kriptografik protokoldür.
○ TLS (Aktarım Katmanı Güvenliği): SSL'nin halefi olan TLS 1.2 ve daha gelişmiş olan TLS 1.3, güvenlik ve performansta önemli iyileştirmeler sunar.
Günümüzde "SSL sertifikaları" TLS protokolünün sadece uzantı olarak adlandırılmış uygulamalarıdır.
TLS'nin Derinliklerine: HTTPS'nin Arkasındaki Kriptografik Sihir
1. El sıkışma akışı tamamen çözüldü
TLS güvenli iletişiminin temeli, kurulum sırasında gerçekleşen el sıkışma dansıdır. Standart TLS el sıkışma akışını inceleyelim:
Şekil 2: Tipik bir TLS el sıkışma akışı.
1️⃣ TCP Bağlantı Kurulumu
Bir istemci (örneğin bir tarayıcı) sunucuya bir TCP bağlantısı başlatır (standart port 443).
2️⃣ TLS El Sıkışma Aşaması
○ İstemci Merhaba: Tarayıcı, desteklenen TLS sürümünü, şifreyi ve rastgele sayıyı Sunucu Adı Göstergesi (SNI) ile birlikte gönderir; bu da sunucuya hangi ana bilgisayar adına erişmek istediğini söyler (birden fazla site arasında IP paylaşımını etkinleştirir).
○ Sunucu Merhaba ve Sertifika Sorunu: Sunucu uygun TLS sürümünü ve şifresini seçer ve sertifikasını (genel anahtarla birlikte) ve rastgele sayıları geri gönderir.
○ Sertifika doğrulaması: Tarayıcı, sahte olmadığından emin olmak için sunucu sertifika zincirini güvenilen kök sertifika yetkilisine kadar doğrular.
○ Premaster anahtarı oluşturma: Tarayıcı bir premaster anahtarı oluşturur, bunu sunucunun açık anahtarıyla şifreler ve sunucuya gönderir. İki taraf oturum anahtarını müzakere eder: Her iki tarafın rastgele sayılarını ve premaster anahtarını kullanarak, istemci ve sunucu aynı simetrik şifreleme oturum anahtarını hesaplar.
○ El sıkışmanın tamamlanması: Taraflar birbirlerine "Bitti" mesajlarını gönderir ve şifreli veri iletim aşamasına geçerler.
3️⃣ Güvenli Veri Aktarımı
Tüm servis verileri, müzakere edilen oturum anahtarıyla verimli bir şekilde simetrik olarak şifrelenir, ortada kesilse bile, sadece bir yığın "karışık kod" olur.
4️⃣ Oturum Yeniden Kullanımı
TLS, aynı istemcinin sıkıcı el sıkışmayı atlamasına izin vererek performansı büyük ölçüde artırabilen Session'ı tekrar destekliyor.
Asimetrik şifreleme (RSA gibi) güvenli ancak yavaştır. Simetrik şifreleme hızlıdır ancak anahtar dağıtımı zahmetlidir. TLS, "iki adımlı" bir strateji kullanır: önce asimetrik güvenli bir anahtar değişimi, ardından verileri verimli bir şekilde şifrelemek için simetrik bir şema.
2. Algoritma evrimi ve güvenlik iyileştirmesi
RSA ve Diffie-Hellman
○ RSA
İlk olarak TLS el sıkışması sırasında oturum anahtarlarını güvenli bir şekilde dağıtmak için yaygın olarak kullanılmıştır. İstemci bir oturum anahtarı oluşturur, sunucunun genel anahtarıyla şifreler ve yalnızca sunucunun şifresini çözebilmesi için gönderir.
○ Diffie-Hellman (DH/ECDH)
TLS 1.3 sürümünden itibaren, anahtar değişimi için RSA kullanılmayacak ve bunun yerine, ileri gizliliği (PFS) destekleyen daha güvenli DH/ECDH algoritmaları kullanılacaktır. Özel anahtar sızdırılsa bile, geçmiş verilerin kilidi açılamaz.
| TLS sürümü | anahtar Değişim Algoritması | Güvenlik |
| TLS 1.2 | RSA/DH/ECDH | Daha yüksek |
| TLS 1.3 | sadece DH/ECDH için | Daha Yüksek |
Ağ Uygulayıcılarının Uzmanlaşması Gereken Pratik Tavsiyeler
○ Daha hızlı ve daha güvenli şifreleme için TLS 1.3'e öncelikli yükseltme.
○ Güçlü şifreleri (AES-GCM, ChaCha20, vb.) etkinleştirin ve zayıf algoritmaları ve güvenli olmayan protokolleri (SSLv3, TLS 1.0) devre dışı bırakın;
○ Genel HTTPS korumasını iyileştirmek için HSTS, OCSP Zımbalama vb. yapılandırın;
○ Güven zincirinin geçerliliğini ve bütünlüğünü sağlamak için sertifika zincirini düzenli olarak güncelleyin ve inceleyin.
Sonuç ve Düşünceler: İşletmeniz Gerçekten Güvenli mi?
Düz metin HTTP'den tamamen şifrelenmiş HTTPS'ye kadar, her protokol güncellemesinin ardından güvenlik gereksinimleri de evrimleşmiştir. Modern ağlarda şifreli iletişimin temel taşı olan TLS, giderek karmaşıklaşan saldırı ortamıyla başa çıkmak için sürekli olarak kendini geliştirmektedir.
İşletmeniz halihazırda HTTPS kullanıyor mu? Kripto yapılandırmanız sektördeki en iyi uygulamalarla uyumlu mu?
Gönderi zamanı: 22 Temmuz 2025
