Her gün milyonlarca kez kullandığınız o küçük kilit simgesinin arkasında ne var? SSL, verilerinizi kötü niyetli kişilerden koruyan güçlü bir kriptografi protokolüdür ama tam olarak nasıl çalışır?
İnternette bir web sitesini ziyaret ettiğinizde, tarayıcınızın adres çubuğunda küçük bir kilit simgesi belirir. Bu simge, görünürde sıradan bir grafik ikondan ibaretmiş gibi dursa da aslında arka planda çok karmaşık bir güvenlik mekanizmasının çalıştığını haber verir. Adresin başındaki “https://” kısmındaki o tek harflik “s”, sizinle sunucu arasındaki tüm iletişimin şifreli olduğu anlamına gelir. Bu şifrelemenin kalbi ise SSL (Secure Sockets Layer) ve onun modern halefi TLS’dir.
SSL’i anlamak için önce şunu düşünelim: İnternet üzerinden gönderdiğiniz her veri paketi girdiğiniz şifre, kredi kartı numaranız, yazdığınız mesaj teorik olarak ağ üzerindeki herhangi bir düğümden geçer. SSL olmadan bu veriler düz metin halinde akar; tıpkı mühürsüz bir kartpostal gibi, taşıyıcı herkes tarafından okunabilir. SSL ise bu kartpostalu, yalnızca alıcının açabildiği kurşun geçirmez bir zarf içine koyar.
Kısa Tarih
SSL, 1994 yılında Netscape Communications tarafından geliştirilmiştir. İlk sürüm olan SSL 1.0 hiçbir zaman kamuoyuyla paylaşılmadı; SSL 2.0 ile 3.0 ise ciddi güvenlik açıkları nedeniyle kullanım dışı bırakıldı. Bugün kullandığımız sistem teknik olarak TLS 1.2 ya da TLS 1.3’tür ancak sektör, alışkanlıkla hâlâ “SSL sertifikası” demeye devam etmektedir.
SSL’in Üç Temel Görevi
SSL, tek bir şey yapmak için tasarlanmamıştır. Protokol, üç kritik güvenlik işlevini eş zamanlı olarak yerine getirir:
Şifreleme: Verinin yetkisiz kişilerce okunmasını engeller. Tarayıcınızla sunucu arasında akan her bayt, matematiksel bir algoritma tarafından anlamsız bir karakter dizisine dönüştürülür. Ancak doğru anahtara sahip karşı taraf bu veriyi geri çözebilir.
Kimlik Doğrulama: Bağlandığınız sunucunun gerçekten iddia ettiği kişi olduğunu kanıtlar. “Bankam.com” adresine gittiğinizde, karşınızdaki sunucunun gerçekten bankanıza ait olduğundan nasıl emin olursunuz? SSL sertifikası, bu soruya güvenilir bir yanıt verir.
Veri Bütünlüğü: İletilen verinin yolda değiştirilmediğini garanti eder. Sunucunun size gönderdiği mesaj, tarayıcınıza ulaştığında birebir aynıysa bütünlük sağlanmış demektir.
El Sıkışma: Güvenin Kurulduğu An
Bir HTTPS web sitesine bağlandığınızda, farkında olmadan çok hızlı bir “el sıkışma” (handshake) süreci yaşanır. Bu süreç milisaniyeler içinde tamamlanır ama içeriği son derece özenli adımlardan oluşur:
- Tarayıcınız sunucuya “Merhaba, desteklediğim TLS sürümleri ve şifreleme yöntemleri bunlar” der.
- Sunucu kendi sertifikasını gönderir ve kullanılacak algoritmaları seçer.
- Tarayıcı sertifikayı doğrular: “Bu sertifikayı güvenilir bir otorite mi imzaladı?”
- İki taraf, güvenli olmayan bir kanal üzerinden ortak bir gizli anahtar üretir (Diffie-Hellman büyüsü!).
- Artık tüm iletişim bu paylaşılan anahtarla şifrelenir. Bağlantı güvenli!
“SSL olmaksızın internet, her mektubu açık zarfla postalayan bir posta sistemine benzer.”
TLS 1.3: Yeni Nesil Güvenlik
2018 yılında yayımlanan TLS 1.3 standardı, önceki sürümlere kıyasla köklü bir yeniden tasarım sunar. Eski ve güvenli olmayan özellikler tamamen kaldırılmış; el sıkışma süreci hızlandırılmıştır. TLS 1.2’nin iki gidiş-dönüş (2 RTT) gerektirdiği el sıkışma, TLS 1.3’te yalnızca tek gidiş-dönüşe (1 RTT) indirilmiştir. Bu, mobil bağlantılarda bile hissedilir bir hız artışı sağlar.
Bunun yanı sıra TLS 1.3, “Forward Secrecy” adı verilen ileri gizlilik özelliğini zorunlu kılar. Bu özellik sayesinde, bir saldırgan sunucunun uzun vadeli özel anahtarını ele geçirse bile geçmiş oturumlara ait şifreli trafiği çözemez. Her oturum, kendine özgü tek kullanımlık bir anahtarla korunur.
İpucu: Herhangi bir web sitesinin SSL/TLS güvenlik seviyesini ssllabs.com/ssltest adresinden ücretsiz olarak test edebilirsiniz. A+ notu, en yüksek güvenlik standardını temsil eder.
SSL ile TLS Neden Karıştırılır?
Teknik açıdan SSL, 1990’larda kullanılan eski protokol sürümlerinin adıdır ve bugün tamamen kullanım dışı bırakılmıştır. Günümüzde kullanılan protokol TLS (Transport Layer Security)’dir. Ancak “SSL sertifikası” terimi, on yıllar içinde o kadar yaygınlaşmıştır ki sektör bu alışkanlığı sürdürmektedir. Bir CA’dan satın aldığınız “SSL sertifikası”, teknik olarak bir TLS sertifikasıdır.
Özetle: SSL hakkında konuşurken aslında TLS’ten söz ediyorsunuz demektir. Ve bu protokol, her gün kullandığınız dijital hayatın sessiz ama vazgeçilmez bekçisidir.
