Resmi Blog
뚠뚠멍의 생각들

TLS İncelemesi

  • Yazım Dili: Korece
  • Baz Ülke: Tüm Ülkelercountry-flag
  • BT

Oluşturulma: 2024-10-27

Oluşturulma: 2024-10-27 21:31

2020 yılı civarında TLS1.1 desteğinin sona ermesiyle birlikte

eski sunucuları kontrol etmemiz gerekti.


TLS1.1'i korumaya devam edersek, AWS, Azure gibi bulut hizmetleri arasında iletişimde hata oluşabilir veya

ödeme gibi harici API iletişiminde hata oluşabilir veya tarayıcı sürümüne bağlı olarak sorunlar yaşanabilir.


Tomcat

- 6.x sürümünün ve altındaki sürümlerin TLS1.2'yi desteklemediği görülüyor. Java 7 ve üzeri JRE kullanılarak TLS1.2'ye geçiş yapılmalıdır.

https://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html

Nginx

- 1.1.13 sürümünün TLS1.2'yi desteklediği görülüyor.

https://nginx.org/en/CHANGES-1.2


TLS Prensibi

Client Hello: İstemci, sunucuya bağlantı isteği gönderir. (Desteklenen TLS sürümü ve şifreleme algoritmaları dahil)

Server Hello: Sunucu, kullanılacak TLS sürümünü, şifreleme algoritmalarını ve SSL sertifikasını göndererek güvenilirliğini kanıtlar.

Anahtar Değişimi ve Oturum Anahtarı Oluşturma: İstemci ve sunucu, anahtar değişim algoritması aracılığıyla ortak bir oturum anahtarı oluşturur.

Tamamlama Mesajı: İstemci ve sunucu, kendi anahtarlarıyla şifrelenmiş tamamlama mesajı gönderir.

Veri İletimi: Oturum anahtarı kullanılarak veriler şifrelenir ve gönderilir.

Sonlandırma: Veri iletimi sona erdiğinde, oturum sonlandırma mesajı gönderilir ve oturum anahtarı bilgileri silinir.


TLS 1.2 ve 1.1 Arasındaki Farklar Nelerdir?

TLS, iletim aşamasında güvenlik protokolüdür ve HTTPS'nin temelini oluşturur. Kimlik doğrulama, bütünlük ve şifreleme sağlar.

1.2, 1.1'e kıyasla güvenlik ve performans açısından daha üstündür.

- 1.1, md5 ve sha-1 karma algoritmaları kullanır.

- 1.1, BEAST, Ortadaki Adam (Man-in-the-middle) ve Şifreleme Takımı (Cipher Suite) saldırılarına karşı savunmasız olabilir.

* BEAST: Saldırganın HTTPS bağlantısını ele geçirerek kötü amaçlı içerik eklemesi

* Ortadaki Adam (Man-in-the-middle): Saldırganın iletişimi ele geçirerek verileri çalması

- 1.2, sha-256 algoritmasını kullanır. (Daha güçlü bir güvenlik algoritması)

- 1.2, GCM (Galois/Counter Mode) şifreleme takımlarını destekler ve şifreleme ile kimlik doğrulamayı aynı anda gerçekleştirdiğinden daha hızlıdır.


Şifreleme Takımı (Cipher Suite)

İstemci ve sunucunun veri alışverişinde bulunabilmesi için gerekli tüm şifreleme mekanizmalarını içerir ve 4 bölümden oluşur.

1. Anahtar Değişim Algoritması

- Ortak gizli anahtarı güvenli bir şekilde değiştirme yöntemi Ör: RSA, Diffie-Hellman

2. Kimlik Doğrulama Algoritması

- Sertifika aracılığıyla sunucunun güvenilir olup olmadığını doğrulama Ör: RSA gibi açık anahtarlar

3. Simetrik Şifreleme Algoritması

- Oturum sırasında verilerin şifrelenmesi ve istemci ile sunucunun aynı oturum anahtarıyla şifreyi çözmesi yöntemi Ör: AES

4. Mesaj Kimlik Doğrulama Kodu

- Veri bütünlüğünün doğrulanması Ör: HMAC-SHA256

Şifreleme takımı, yukarıdaki dört öğenin birleştirilmesiyle gösterilir.


Konu

  • #TLS

Yorumlar0