Çevrimiçi güvenlik nasıl çalışır?
Son zamanlarda haberlerde çok büyük veri ihlalleriyle, çevrimiçi olduğunuzda verilerinizin nasıl korunduğunu merak ediyor olabilirsiniz. Biliyorsunuz, alışveriş yapmak için bir web sitesine gidersiniz, kredi kartı numaranızı girin ve umarım birkaç gün içinde bir paket kapınıza gelir. Ama o sırada Sipariş'i tıklatmadan önce, çevrimiçi güvenliğin nasıl çalıştığını hiç merak ettiniz mi?
Çevrimiçi Güvenliğin Temelleri
En temel haliyle, çevrimiçi güvenlik - bu, bilgisayarınız ve ziyaret ettiğiniz bir web sitesi arasında gerçekleşen güvenliktir - bir dizi soru ve yanıtla gerçekleştirilir. Tarayıcınıza bir web adresi yazarsınız , ardından tarayıcınız sitenin orijinalliğini doğrulamasını ister, site uygun bilgilerle tekrar yanıt verir ve her ikisi de kabul ettiğinde, site web tarayıcınızda açılır.
Sorulan sorular ve değiştirilen bilgiler arasında, tarayıcınız ile web sitesi arasında tarayıcı bilgilerinizi, bilgisayar bilgilerini ve kişisel bilgilerinizi iletmek için kullanılan şifreleme türü hakkında veriler bulunur. Bu sorular ve cevaplar bir el sıkışma olarak adlandırılır . Bu el sıkışma gerçekleşmezse, ziyaret etmeye çalıştığınız web sitesi güvensiz kabul edilecektir.
HTTP ve HTTPS
Web'deki siteleri ziyaret ettiğinizde farkedebileceğiniz bir şey, bazılarının http ile başlayan ve bir kısmı https ile başlayan bir adrese sahip olmasıdır . HTTP Köprü Metni Aktarım Protokolü anlamına gelir ; İnternet üzerinden güvenli iletişimi belirleyen bir protokol veya kurallar kümesidir. Hatta bazı sitelerin, özellikle de hassas veya kişisel olarak tanımlayıcı bilgiler sağlamanız istenen sitelerin, https'yi yeşil veya kırmızı renkte bir çizgi ile gösterebileceğini fark edebilirsiniz. HTTPS Köprü Metni Aktarım Protokolü Güvenli anlamına gelir ve yeşil alanın doğrulanabilir bir güvenlik sertifikası olduğu anlamına gelir. Üzerindeki bir çizgi ile kırmızı, sitenin bir güvenlik sertifikası olmadığı veya sertifikanın yanlış veya süresi dolduğu anlamına gelir.
İşte işler biraz kafa karıştırıcı. HTTP, bilgisayarınız ile bir web sitesi arasında aktarılan veriler şifrelenmiş anlamına gelmez. Sadece tarayıcınızla iletişim kuran web sitesinin aktif güvenlik sertifikasına sahip olduğu anlamına gelir. Yalnızca bir S (HTTP S'de olduğu gibi) dahil edildiğinde, güvenli bir şekilde aktarılan veriler kullanılır ve bu güvenli atama işlemini mümkün kılan başka bir teknoloji kullanılır.
SSL Protokolünü Anlama
Bir el sıkışmasını biriyle paylaşmayı düşündüğünüzde, bunun anlamı ikinci bir tarafın söz konusu olduğu anlamına gelir. Çevrimiçi güvenlik aynı şekilde. Çevrimiçi güvenliğin sağlanmasını sağlayan el sıkışması için, ikinci bir tarafın bulunması gerekir. HTTPS, web tarayıcısının güvenlik olduğundan emin olmak için kullandığı protokol ise, bu el sıkışmasının ikinci yarısı şifrelemeyi sağlayan protokoldür.
Şifreleme , bir ağdaki iki cihaz arasında aktarılan verileri gizlemek için kullanılan teknolojidir. Tanınabilir karakterleri, bir şifreleme anahtarı kullanarak orijinal durumuna döndürülebilen tanınmaz anlamlara dönüştürerek başarılır . Bu başlangıçta Güvenli Yuva Katmanı (SSL) güvenliği adı verilen bir teknoloji ile gerçekleştirildi.
Özünde, SSL, bir web sitesi ile tarayıcı arasında hareket eden verileri anlamsız hale getiren ve tekrar veriye dönüşen teknolojiydi. İşte nasıl çalışır:
- Tarayıcınızı açın ve bankanızın adresini girin.
- Web tarayıcınız bankanın kapısına çarpıyor ve sizi tanıtıyor.
- Kapıcı sizin kim olduğunuzu söylediğinizi doğrular ve bir dizi şartın altında kalmanızı kabul eder.
- Web tarayıcınız bu koşulları kabul eder ve daha sonra bankanın web sitesine erişme izniniz vardır.
Bazı ek adımlar ile kullanıcı adı ve şifrenizi girdiğinizde süreç kendini tekrar eder.
- Hesabınıza erişmek için kullanıcı adınızı ve şifrenizi girersiniz.
- Web tarayıcılarınız, bankanın hesap yöneticisine hesabınıza erişmek istediğinizi bildirir.
- Doğru kimlik bilgilerini sağlayabiliyorsanız, size erişim izni verileceğini kabul ederler. Ancak, bu kimliklerin özel bir dil kullanılarak sunulması gerekmektedir.
- Web tarayıcısı ve bankanın hesap yöneticisi kullanılacak dili kabul eder.
- Web tarayıcısı, kullanıcı adınızı ve şifrenizi o özel dile dönüştürür ve bunu banka hesap yöneticisine iletir.
- Hesap yöneticisi verileri alır, çözer ve kayıtları ile karşılaştırır.
- Kimlik bilgileriniz eşleşirse, hesabınıza erişim izni verilir.
Süreç nano saniyede gerçekleşir, bu nedenle web tarayıcısı ve web sitesi arasında tüm bu konuşma ve el sıkışmasının gerçekleşmesi için gereken süreyi fark etmezsiniz.
SSL vs TLS
SSL, web sitelerinin ve aralarından geçen verilerin güvenliğini sağlamak için kullanılan orijinal güvenlik protokolüdür. GlobalSign'a göre, SSL 1995 yılında sürüm 2.0 olarak tanıtıldı. İlk versiyon (1.0) hiçbir zaman kamusal alana girmedi. Sürüm 2.0, protokoldeki güvenlik açıklarını gidermek için bir yıl içinde sürüm 3.0 ile değiştirildi. 1999 yılında, el sıkışmalarının konuşma ve güvenliğini hızlandırmak için Transport Layer Security (TLS) adlı bir başka SSL sürümü tanıtıldı. TLS şu anda kullanımda olan bir versiyondur, ancak yine de sadelik için hala SSL olarak geçmektedir.
TLS Şifreleme
Veri güvenliğini iyileştirmek için TLS şifreleme başlatıldı. SSL iyi bir teknoloji iken, güvenlik hızla değişiyor ve bu da daha iyi ve daha güncel bir güvenlik ihtiyacını doğurdu. TLS, SSL çerçevesinde, iletişim ve el sıkışma sürecini yöneten algoritmalarda önemli gelişmeler sağladı.
En Çok Hangi TLS Sürümü?
SSL'de olduğu gibi TLS şifreleme gelişmeye devam etti. Mevcut TLS versiyonu 1.2, ancak TLSv1.3 taslağı hazırlandı ve bazı şirketler ve tarayıcılar güvenliği kısa süreler boyunca kullandılar. Çoğu durumda, sürüm 1.3 hala mükemmel olduğu için TLSv1.2'ye dönerler.
Sonlandırıldığında, TLSv1.3, daha güncel şifreleme türleri için geliştirilmiş destek de dahil olmak üzere çok sayıda güvenlik iyileştirmesi getirecektir. Ancak TLSv1.3, kişisel verilerinizin güvenliğini ve şifrelenmesini sağlamak için artık yeterince sağlam olmayan SSL protokollerinin ve diğer güvenlik teknolojilerinin daha eski sürümleri için destek de bırakacaktır.