Web Siteleri Üzerinde SSL/TLS Check

Web Siteleri Üzerinde SSL/TLS Check

Hepinize merhabalar 🙂

SSL Nedir ?

  • SSL, Secure Sockets Layer (Güvenli Yuva Katmanı)’ın kısaltmasıdır ve Socket seviyesinde güvenlik sağlamaktadır.
  • SSL sertifikaları ise çoğumuzun bildiği bir kavramdır. Bu sertifikalar insanların web sitenize girdikleri bilgileri şifreleme algoritmaları kullanarak korumaya yarar.
  • Örneğin, bir SSL sertifikasına sahipsiniz ve bir web siteniz  var. SSL sertifikası web sitenizin bültenine üye olan ziyaretçilerinizin kişisel verilerini ya da sitenizden alışveriş yapan müşterilerinizin kredi kartı bilgilerini arka planda şifreleyerek 3. kişilerin eline geçmesini engeller.
  • SSL, bir web sitesi ile internet tarayıcısı arasında şifrelenmiş iletişime olanak sağlayan bir tür dijital güvenlik teknolojisidir. Bu teknolojinin günümüzde kullanımı çok azalmış ve yerini tamamen TLS almıştır.

 

SSL Nasıl Çalışır ?

  • SSL, ziyaretçinin internet tarayıcısı ve web sunucusu arasında güvenli, şifreli bir bağlantı kurar.
  • Bu güvenli oturumu kurma işlemi sahne arkasında gerçekleşir ve çok kısa bir zaman diliminde gerçekleşir. Böylece ziyaretçinin alışveriş ya da sitede gezinme anında herhangi bir kesinti yaşanmaz.
  • Adım adım bakacak olursak: birisi web sitenizi ziyaret ettiğinde, öncelikle güvenli bağlantı talebinde bulunulur. Eğer güvenli bağlantı talebi sonrasında bu web sitesinin SSL sertifikası var ise üçüncü taraflar tarafından (mesela, X SSL sertifikası kullanıyorsanız, bu durumda üçüncü taraf X oluyor) sertifikanın doğruluğu onaylanır ve şifreleme işlemleri başlar.

 

TLS Nedir ?

  • TLS Transport Layer Security (Taşıma Katmanı Güvenliği) yine Netscape tarafından geliştirilen SSL den daha gelişmiş ve daha güvenli olarak kabul edilmektedir.
  • TLS birbiriyle iletişim halinde olan uygulamaların güvenli şekilde veri aktarımı sağlaması için kullanılır.
  • SSL de olduğu gibi veri gizliliği sağlar SSL artık kullanılmadığı için insanlar artık TLS kavramını kullanır.
  • TLS anlık mesajlaşma yazılımları, dosya transferleri, VPN bağlantıları ve birçok yerde kullanılmaktadır.

 

HTTPS

  • https” ise “http“nin güvenli uzantısıdır. TLS/SSL sertifikası yüklenmiş web sitelerinin sunucu ile güvenli bağlantı kurması için kullanılan protokoldür. Bu protokol 443. port da çalışmakta ve SSL portu olarak bilinmektedir.
  • Yani bir web sitesi “https” uzantılı ise bu web sitesinde SSL sertifikası bulunmaktadır. Ve URL bağlantılarının başında bulunan kilit simgesinin açık ya da kapalı olması durumunda SSL sertifikası var ya da yok denilebilmektedir.

 

TLS/SSL Arasındaki farklar

  • Öncelikle en belirgin farklardan bir tanesi SSL socket seviyesinde güvenlik sağlamakta ve sistemde bir güvenlik zafiyeti tespit edilmesi durumunda artık sistemin çoğunu etkilemiş olmaktadır. Ancak TLS taşıma katmanında  güvenlik sağlamakta ve herhangi bir sorunla karşılaşıldığında daha erken farkına varmakta ve önlem almaktadır.
  • TLS, SSL’in daha gelişmiş halidir. TLS, SSL e belirli geliştirmeler sonucu ortaya çıkmıştır.
  • SSL de çok fazla güvenlik zafiyeti bulunması ile birlikte TLS geliştirilerek daha güvenli hale getirilmek amaçlanmıştır.
  • SSL in ilk sürümü SSL 1.0 dır.

Daha sonra SSL 2.0 sunuldu ancak çok fazla güvenlik zafiyeti olduğu için 3.0 geliştirildi. 1999 yılında TLS 1.0 geliştirildi, bu sürümün devamı da TLS 1.1, 1.2, ve 1.3 dür. Günümüzde TLS çok daha fazla kullanılmaktadır.

SSL Cipher nedir ?

  • Bir SSL şifresi veya bir SSL şifre paketi, iki varlık arasında güvenli bir bağlantı kurmaya yardımcı olan bir dizi algoritmadır.
  • Genellikle istemci ve sunucu arasında güvenli bağlantının gerçekleşmesi yöntemini belirler.
  • Buradaki amaç herhangi bir ağ dinleme sonucu elde edilecek bilgilerin gizlenmesidir

POODLE zafiyeti

  • CVE-2014-3566 numaralı bir zafiyettir. Çok bilindik olması bir  yana gerçekten çok fazla kişi ve kurum etkilenmiştir.
  • SSL 3.0 da şifrelenmiş iletişimin dinlenmesini sağlar.
  • Mantığı basitçe şöyledir;
  1. İlk olarak kişiler tarafından ağ dinlenmektedir,
  2. Daha sonra sunucu-istemci bağlantısı kesmeye çalışılır. Ve SSL 3.0 kullanması sağlanır. Buradaki amaç SSL 3.0 da daha önceden keşfedilmiş güvenlik zafiyetinden faydalanılmak istenmesidir.
  3. Daha sonra POODLE saldırısı yapılır.
  4. Bu güvenlik açığı zorunlu olarak sürüm düşürme saldırısına dayanır. Yani web sitesinin desteklediği SSL ya da TLS sürümlerinin herhangi birinde bulunan zafiyetin kullanılarak güvensiz sürüme geçilmek istenmesidir.

 

TLS 1.3 Şifreleme Teknikleri

  • SSL şifre paketi listesi, önemli ölçüde TLS 1.2’den TLS 1.3’e düştü. Şimdi, önerilen sadece beş SSL şifreleme paketi bulunmaktadır.  Bunlar;
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_128_CCM_8_SHA256
  • TLS_AES_128_CCM_SHA256

 

SSL/TLS Check

Öncelikle burada bir web sitesinin SSL/TLS kontrolünü yapmak için bir tool ya da kontrol ortamları kullanılabilir. Ben burada aşağıda gördüğünüz web sitesinden yardım alarak kendi web sitem üzerinde bulunan SSL/TLS sertifikam hakkında bilgi toplayacağım.

  • Arayüzü çok basit şekilde aşağıda görüldüğü gibidir. En son aranan web sayfaları ve güvensiz web sayfaları bulunmaktadır. Biz hostname kısmına kadircirik.com yazıyoruz.

ssl,

 

  • Bu kısımda web sitemizin kullandığı Sertifika, Protokol Desteği, Anahtar Değişimi ve Şifre Uzunluğuna 100 üzerinden değerlendirmeler yapılmıştır.
  • Burada diğer önemli olan kısımda Web sunucumuzun TLS 1.3 destekli olmasıdır.

ssl,

 

  • 3. kısımda anahtar, zayıf anahtarlama olup olmadığı ve hangi imza algoritmalarının kullanıldığı konusunda bir çok özellikten bahsedilmiştir. Bunları detaylı olarak kendiniz de iinceleyebilir ve uygulayabilirsiniz.

ssl3,

 

  • Bu kısımda önemli olan diğer bir nokta bir web sitesi aynı anda birden fazla SSL/TLS sürümünü destekleyebilmektedir. Sağ kısımda baktığımızda benim sitemin TLS 1.2 ve TLS 1.3 destekli olduğunu görebileceksiniz.

ss4,

 

  • Burada üst kısımda desteklenen SSL/TLS sürümlerinin hangi şifre paketleri kullanılarak verilerin şifrelendiği gösterilmektedir.

ssl5,

 

 

Buraya kadar okuduğunuz için Teşekkürler. 🙂

 

 

 

 

 

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir