Bir diğer adı Taşıma Katmanı Güvenliği (Transport Layer Security) olan TLS ve TLS’in öncüsü olan Güvenli Soket Katmanı yani SSL(Secure Sockets Layer), kullanıcıların bilgisayar ağları üzerinden sağlıklı ve güvenli bir biçimde iletişim kurabilmeleri için tasarlanan kriptolama protokolleridir. Bilgisayarların ve kullanıcıların kimlik doğrulamaları asimetrik şifreler ile yapılmaktadır. Kullanıcılar karşılıklı bir biçimde kullandıkları simetrik anahtarlarla anlaşırlar.
SSL/TLS Çalışma Prensibi
Kullanıcı ile internet sunucusu arasında sunucu – istemci taraflı bir çalışma mantığı vardır. Kullanıcı internet sunucusundan bir bağlantı ister ve bunun karşılığında internet sunucusu, istemci yani kullanıcıya sertifika ile birlikte “public key” gönderir. İnternet tarayıcısı, istemcinin kullandığı ve göndermiş olduğu bilgiyi kontrol etmek amaçlı sertifikayı değerlendirir. Tarayıcı, sertifika otoritesinden geçerse, simetrik bir anahtar üretir. Public key bu simetrik anahtarı şifreler ve sunucuya mesajı iletir. Sunucuya gelen mesaj “public key” ile denenir ve eğer mesaj uyuşuyorsa kendine ait olan “private key” ile simetrik anahtarı açar ve çalıştırır. Sunucu elde ettiği bu simetrik anahtar ile istemciye, verileri istediği şekilde taşımak için kullanır. İstemci ise sunucudan gelen veriler ve aktifleşen simetrik anahtar sayesinde tarayıcıda istediği bilgilere ulaşmak için kullanır.
TLS protokolü kullanıcıların gizli dinlenilmesini ve kullanıcıların onayı olmadan değişiklik yapılmasını önler ve ağ üzerinden istemci ile sunucu arasındaki uygulamaların haberleşmelerine olanak sağlar. İstemcinin TLS bağlantısını kullanabilmesi için TLS bağlantısının kurulup kurulmaması hakkındaki isteğini dile getirmesi şarttır. Bu isteğin dile getirilebilmesi için de ana iki yol vardır.
Bu yollardan ilki; TLS uzantıları için farklı port numarası kullanılmasıdır. Örneğin; HTTPS için kullanılan 443. port numarası. İkinci yol ise; sıradan bir port numarasını kullanılır. Bu durumda istemci, TLS protokolünün istemciler adına özelleştirilmiş mekanizması ile sunucunun, bağlantıyı TLS protokolüne iletmesi gerektiğini belirtir. Ardından istemci, etkin hale gelen sunucudan güvenli bir bağlantı istediği ve bu isteği de gerçekleştiği zaman, “el sıkışma” olarak da adlandırdığımız bağlantı işlemi gerçekleşme başlar.
Gün geçtikçe SSL ve TLS protokolleri de gelişmekte ve daha güvenli versiyonları ortaya çıkmaktadır. Bu durum aynı zamanda eski kalmış protokollerde güvenlik açıklarına neden olmakta olup kullanılası zafiyet doğurmaktadır. Bu nedenle sunucu ve istemcilerde zayıf kripto protokolleri kapatılmalıdır.
IIS Crypto, Nartac firması tarafından geliştirilen ve ücretsiz sunulan bir yazılım olup tıkla çalıştır mantığında çalışmaktadır. Windows sunucular üzerinde SSL 2.0 SSL 3.0 TLS 1.0 ve TLS 1.1 gibi zayıf kripto protokollerini bu yazılım ile kapatabilir IIS suncularınızdaki best practise sıkılaştırmaları kolaylıkla uygulayabilrsiniz. Yazılımı bu linkten indirerek kullanabilirsiniz.
- İndirilen IIS Crypto yazılımını yönetici olarak çalıştırıyoruz.
- Gelen lisans sözleşmesini kabul ediyoruz.
- Uygulamayı çalıştırdığımız sunucu üzerinde açık olan protokoler aşağıdaki gibidir. Kapatmak istediğimiz protokolün yanındaki kutucuğu boş bırakarak Apply demeniz yeterli. Ayarların uygulanması için sunucunun yeniden başlatılacağını unutmayınız.
- Ayarları uygulamadan önce Advanced sekmesinden Backup Registry yaparak mevcut durumunu yedeğini alabilirsiniz. Herhangi bir sorun ile karşılaşılması durumunda ise bu yedekten geri dönebilirsiniz. Alınan yedek Regedit dosyası olduğu için kolaylıkla yedekten geri dönülebilir.
- Templates sekmesinde ön tanımlı ayarlar gelmektedir. FIPS 140-2, Strict veya PCI 3.2 Best Practiselerinden birini seçebilirsiniz. Seçtiğiniz template üzerindeki tüm zayıf protokoller sunucu veya istemci üzerinde kapatılacaktır.
- Gördüğünüz üzere seçmiş olduğunuz best practise göre bir çok zayıf kriptoloma protokolü devre dışı bırakılmıştır. Bu değişikliklerin uygulanması için sistemi yeniden başlatmak gerekmektedir.
IIS Cryto, SSL ve TLS gibi protokollerin yanı sıra Cipher Suites sıkılaştırsını yapmanıza da olanak sağlar. Peki nedir bu Cipher Suite ?
Ciphers, kısaca algoritmalardır. Daha spesifik olarak bir kriptografik işlevi gerçekleştirmek için şifreleme, şifre çözme, karma ve dijital imzalardan oluşan bir dizi adımdır. Bir ağın SSL veya TLS aracılığıyla nasıl güvenli hale getirileceğine ilişkin talimatların dizisidir. HTTPS, FTPS, SMTP ve diğer ağ protokollerini kullanırken güvenli bir şekilde nasıl iletişim kuracağımıza dair önemli bilgiler sağlar. Bu bilgiler, bir web sunucusunun istemcinin web trafiğini nasıl güvence altına aldığını belirlemeye yardımcı olan algoritmalar ve protokollerdir.
IIS Crypto uygulaması ile internete açık olan web sitelerinizi tarayabilir ve sunucunuz üzerindeki zaafiyetleri öğrenebilirsiniz. Site Scanner sekmesinde yapılan örnek incelemeye dair rapor aşağıdaki gibidir.
