Son zamanlarda haberlerde çok sayıda büyük veri ihlali olduğu için çevrimiçi olduğunuzda verilerinizin nasıl korunduğunu merak ediyor olabilirsiniz. Alışveriş yapmak için bir internet sitesine gittiğinizde ve kredi kartı numaranızı girdiğinizde, umarım birkaç gün içinde kapınıza bir paket gelir. Ancak o anda, Sipariş'e basmadan önce, çevrimiçi güvenliğin nasıl çalıştığını merak ediyor musunuz?
Çevrimiçi Güvenliğin Temelleri
Temel biçiminde, çevrimiçi güvenlik (bilgisayar ile web sitesi arasında gerçekleşen güvenlik) bir dizi soru ve yanıt yoluyla gerçekleştirilir. Bir tarayıcıya bir web adresi yazarsınız ve ardından tarayıcı o siteden orijinalliğini doğrulamasını ister. Site uygun bilgilerle yanıt verir ve her ikisi de kabul ettikten sonra site web tarayıcısında açılır.
Sorulan sorular ve değiş tokuş edilen bilgiler arasında tarayıcı bilgilerini, bilgisayar bilgilerini ve tarayıcı ile web sitesi arasında kişisel bilgileri geçen şifreleme türüyle ilgili veriler yer alır. Bu soru ve cevaplara el sıkışma denir. Bu el sıkışma gerçekleşmezse, ziyaret etmeye çalıştığınız web sitesi güvensiz olarak kabul edilir.
HTTP ve HTTPS karşılaştırması
- Yol boyunca herkesin görmesine açık.
- Kurulması ve çalıştırılması daha kolay.
-
Şifreler ve gönderilen veriler için güvenlik yok.
- Bilgileri gizlemek için tamamen şifrelenmiş.
- Ek sunucu yapılandırması gerektirir.
- Parolalar dahil iletilen bilgileri korur.
Web'deki siteleri ziyaret ettiğinizde fark edebileceğiniz bir şey, bazılarının http ile, bazılarının ise https ile başlayan bir adreslerinin olmasıdır. HTTP, Köprü Metni Aktarım Protokolü anlamına gelir; internet üzerinden güvenli iletişimi belirleyen bir protokol veya kurallar dizisidir.
Bazı siteler, özellikle hassas veya kişisel olarak tanımlayıcı bilgiler vermenizin istendiği siteler, https'yi yeşil veya üzerinde bir çizgi bulunan kırmızı olarak görüntüleyebilir. HTTPS, Güvenli Köprü Metni Aktarım Protokolü anlamına gelir ve yeşil, sitenin doğrulanabilir bir güvenlik sertifikasına sahip olduğu anlamına gelir. Üzerinde bir çizgi olan kırmızı, sitenin güvenlik sertifikasına sahip olmadığı veya sertifikanın hatalı veya süresinin dolmuş olduğu anlamına gelir.
İşlerin biraz kafa karıştırıcı olduğu yer burası. HTTP, bir bilgisayar ile bir web sitesi arasında aktarılan verilerin şifrelendiği anlamına gelmez. Yalnızca tarayıcı ile iletişim kuran web sitesinin aktif bir güvenlik sertifikasına sahip olduğu anlamına gelir. Yalnızca bir S (HTTP S'da olduğu gibi) dahil edildiğinde, aktarılan veriler güvenlidir ve bu güvenli atamayı yapan başka bir teknoloji kullanımdadır mümkün.
SSL ve TLS
- İlk olarak 1995 yılında geliştirildi.
- Daha önceki web şifreleme düzeyi.
- Hızla büyüyen internetin gerisinde kaldı.
- SSL'nin üçüncü sürümü olarak başladı.
- Taşıma Katmanı Güvenliği.
- SSL'de kullanılan şifrelemede iyileştirmeye devam edildi.
- Yeni saldırı türleri ve güvenlik açıkları için güvenlik düzeltmeleri eklendi.
SSL, web sitelerinin ve siteler arasında aktarılan verilerin güvenli olmasını sağlayan orijinal güvenlik protokolüydü. GlobalSign'a göre SSL, 1995 yılında 2.0 sürümü olarak tanıtıldı. İlk sürüm (1.0) onu hiçbir zaman kamu malı haline getirmedi. Sürüm 2.0, protokoldeki güvenlik açıklarını gidermek için bir yıl içinde sürüm 3.0 ile değiştirildi.
1999'da, konuşmanın hızını ve el sıkışmanın güvenliğini artırmak için Aktarım Katmanı Güvenliği (TLS) adı verilen başka bir SSL sürümü tanıtıldı. TLS, şu anda kullanımda olan sürümdür, ancak basitlik adına genellikle SSL olarak anılır.
SSL Protokolünü Anlamak
- Bilgisayar ve web sitesi arasındaki bilgileri gizler.
- Giriş bilgilerini korur.
- Çevrimiçi satın alma işlemlerini güvence altına alır.
- Tüm tehditlere karşı koruma sağlamaz.
- SSL kullanmayan sitelerde güvenliği sağlayamazsınız.
- Ziyaret ettiğiniz web siteleri gizlenemiyor.
Biriyle tokalaşmayı düşündüğünüzde, işin içinde ikinci bir taraf var demektir. Çevrimiçi güvenlik hemen hemen aynı şekildedir. Çevrimiçi güvenliği sağlayan el sıkışmanın gerçekleşmesi için ikinci bir tarafın dahil olması gerekir. HTTPS, güvenliği sağlamak için web tarayıcısının kullandığı protokolse, bu anlaşmanın ikinci yarısı şifrelemeyi sağlayan protokoldür.
Şifreleme, bir ağdaki iki cihaz arasında aktarılan verileri gizlemek için kullanılan teknolojidir. Tanınabilir karakterleri, bir şifreleme anahtarı kullanılarak orijinal durumuna döndürülebilen tanınmaz anlamsız sözcüklere dönüştürerek gerçekleştirilir. Bu, başlangıçta Güvenli Yuva Katmanı (SSL) güvenliği adı verilen bir teknolojiyle gerçekleştirildi.
SSL, bir web sitesi ile tarayıcı arasında hareket eden herhangi bir veriyi anlamsız hale getiren ve ardından tekrar veriye dönüştüren teknolojiydi. İşte nasıl çalıştığı:
- Bir tarayıcı açarsınız ve bankanızın adresini yazarsınız.
- Web tarayıcısı bankanın kapısını çalar ve sizi tanıştırır.
- Kapıcı, sizin söylediğiniz kişi olduğunuzu doğrular ve bir dizi koşul altında sizi içeri almayı kabul eder.
- Web tarayıcısı bu koşulları kabul eder ve ardından bankanın web sitesine erişmenize izin verilir.
Kullanıcı adınızı ve şifrenizi girdiğinizde işlem bazı ek adımlarla tekrarlanır.
- Hesabınıza erişmek için kullanıcı adınızı ve şifrenizi girin.
- Web tarayıcınız bankanın hesap yöneticisine hesabınıza erişmek istediğinizi söyler.
- Konuşurlar ve doğru kimlik bilgilerini sağlayabilirseniz size erişim izni verileceğini kabul ederler. Ancak, bu kimlik bilgilerinin özel bir dil kullanılarak sunulması gerekir.
- Web tarayıcısı ve bankanın hesap yöneticisi, kullanılacak dili kabul eder.
- Web tarayıcısı, kullanıcı adınızı ve şifrenizi o özel dile dönüştürür ve bankanın hesap yöneticisine iletir.
- Hesap yöneticisi verileri alır, kodunu çözer ve kayıtlarıyla karşılaştırır.
- Kimlik bilgileriniz eşleşirse hesabınıza erişim izni verilir.
İşlem nanosaniyeler içinde gerçekleşir, bu nedenle web tarayıcısı ile web sitesi arasında konuşma ve el sıkışma için geçen süreyi fark etmezsiniz.
TLS Şifreleme
- Daha güvenli şifreleme.
- Bilgisayar ve web siteleri arasındaki verileri gizler.
- Şifreli iletişim kurarken daha iyi anlaşma süreci.
- Hiçbir şifreleme mükemmel değildir.
- DNS'nin güvenliğini otomatik olarak sağlamaz.
- Eski sürümlerle tam uyumlu değil.
Veri güvenliğini artırmak için TLS şifrelemesi kullanıma sunuldu. SSL iyi bir teknoloji iken, güvenlik hızla değişiyor ve bu da daha iyi, daha güncel güvenlik ihtiyacını doğurdu. TLS, iletişim ve el sıkışma sürecini yöneten algoritmalarda yapılan iyileştirmelerle SSL çerçevesi üzerine inşa edildi.
En Güncel TLS Sürümü Hangisi?
SSL ile olduğu gibi, TLS şifrelemesi de gelişmeye devam etti. Mevcut TLS sürümü 1.2'dir, ancak TLSv1.3 taslağı hazırlanmıştır ve bazı şirketler ve tarayıcılar güvenliği kısa süreliğine kullanmıştır. Çoğu durumda, 1.3 sürümü hala mükemmelleştirilmekte olduğundan TLSv1.2'ye geri dönerler.
Sonlandırıldığında, TLSv1.3, daha güncel şifreleme türleri için geliştirilmiş destek dahil olmak üzere çok sayıda güvenlik iyileştirmesi getirecektir. Ancak TLSv1.3, SSL protokollerinin eski sürümlerine ve artık kişisel verilerin uygun güvenliğini ve şifrelenmesini sağlamaya yetecek kadar sağlam olmayan diğer güvenlik teknolojilerine yönelik desteği de kaldıracaktır.