TLS (Transport Layer Security) , Taşıma Katmanı Güvenliği iki cihaz arasındaki iletişimin güvenli bir şekilde gerçekleştirilmesini sağlayan bir ağ protokolüdür. Aktarılan verilerin kimlik bilgilerini doğrulamak için asimetrik bir şifreleme algoritması kullanır. Verilerin aktarılmasında ki güvenlik sorunlarının aşılması için geliştirilmiştir. “Https://” ile başlayan güvenli web sayfalarının tümü TLS ‘yi barındırır. TLS Netscape’in SSL güvenlik protokolünden evrimleşmiş ve birkaç versiyondan (1.0-1999, 2.0-2006, 3.0-2008) geçmiştir.
TLS 1.3 güvenlik ve hız katmak amacıyla geçen yaz piyasaya sürüldü. TLS 1.3 için geliştirme çalışmalarına 2014’te başlandı ve 2018 Ağustos ayında onaylanmadan önce 28 taslak aldı. Bu süreçte bir çok defa dizayn edildi. Çok fazla ara katman güvenlik kutusu (middleware security boxes) TLS 1.3’ü sıklıkla meydana gelen bağlantı kopmalarından dolayı yürütemedi. Fakat TLS araç kitlerinden biri olan OpenSSL (1.1.1) TLS 1.3’ü destekler niteliktedir.
TLS 1.3 Yenilikleri Nelerdir?
TLS 1.3 iki önemli yenilik getirmiştir. SSL ve TLS’de şimdiye kadar yapılan iyileştirmeler güvenliği arttırdı fakat eski sürümler uyumluluğu sürdürmek için birçok eski bileşen barındırmaktaydı. Bu bileşenler siber saldırganların eski güvenlik açıklarını kullanarak yeni güvenlik önlemlerini atlamasına izin veren yöntemler sunmuştur. Son zamanlarda açıklanan şifreleme açıklıkları olan POODLE, FREAK veya BEAST saldırıları buna örnektir.
Eski sürümlerdeki şifrelerin bazıları kriptografik olarak zayıftı bu nedenle birçok saldırıya karşı savunmasız durumdaydılar (RC4, CBC, SHA1, MD5, vb.). Şifrelerin bazılarının çok fazla güçsüz olmasından dolayı, özel anahtara (RSA staatik anahtarı) erişimin olduğu bir durumda kaydedilen trafiğin şifresinin çözülmesi engellenemiyordu.
TLS 1.2 yeni şifrelerin eski şifrelere tercihinin sağlanabilmesi için şifre tercihlerinin öncelik ayarlarının yapılandırılmasına imkan sağladı fakat birçok kişi bunu yapamadı ve şifrelerin varsayılan sıralamada kalması insanları farkında olmadan savunmasız bıraktı. TLS 1.3 güvenliği düşük olan bu şifreleri daha modern ve güvenli çözümlerle değiştirerek sorunu çözmüştür. TLS 1.3 güvensiz şifrelerin etkinleştirilmesini kısıtlayarak güvenliği büyük oranda sağlamıştır.
İkinci büyük yenilik TLS handshake sürecinin hızlandırılmasıdır. TLS’de şifreleme ve şifre çözme işlemlerinin geleneksel olarak yapılması, fazla CPU ihtiyacına ve gecikme süresinin uzamasına yol açmaktadır. Normal bir TLS 1.2 el sıkışma işleminde(handshake) bile 5-7 paket oluşur bu da gereksiz yük ve gecikme oluşturur. TLS 1.3 handshake için gereken paket sayısını 0-3’e düşürerek hızlı ve hassas bir bağlantı sağlar. Bazı durumlarda TLS oturumu paket alış verişi olmadan gerçekleştirilebilir.
TLS 1.3 yüksek güvenlik sağlamak için yasal olan pasif şifre çözme işlemine izin vermez . MITM aktivitelerini gerçekleştiren cihazlar TLS 1.3 desteklemediği için TLS 1.2 ‘ye geçme zorunda kalındığı durumlarda TLS 1.3 bağlantısı kesilmemelidir. Birçok ağ cihazı bu yöntemi denemektedir . TLS1.2’de maruz kalınan saldırılar göz önünde bulundurulup cihazların TLS 1.3’ü desteklemesi sağlanmalıdır. Aksi durumda TLS 1.3 şifreli trafiği yasal olarak denetleyemez. Bir cihaz sertifikaya bakmak isterse oturumu durdurup bu bilgiyi elde etmek için şifreyi çözmelidir. Bunun için ağ cihazı 1.3’ü desteklemelidir.
SSL/TLS’yi Denetlemenin Faydaları
SSL/TLS’yi denetlemenin en önemli faydası güvenliğin sağlanmasıdır. NSS Lab, herhangi bir kurum trafiğinin trafiğinin gelecek yıla kadar yüzde 70’inin şifreleneceği tahminini yürütüyor. Denetleme yapılmadığında ağ trafiğinin %75’inin NGFW (Next Generation Firewall – Yeni Nesil Güvenlik Duvarı)’den beklenmeyen bir şekilde geçeceği için büyük bir saldırı vektörü açık kalmış olur.
Fortinet’in tehdit raporuna göre tespit edilen ilk 20 istismarın % 20’sinin, kötü amaçlı kodları gizlemek ve verileri çalmak için TLS trafiğini kullandığı belirtildi. TLS trafiğini tehditlere karşı koruyabilmek için aktif olarak TLS denetimi yapacak çözümlere ihtiyaç duyulmaktadır. Denetimin olumlu fayda sağlaması için güvenlik çözümünün TLS 1.3’ü tam olarak desteklemesi gerekmektedir.
KAYNAKLAR
[1] TLS 1.3