TLS Transport Layer Security — HTTPS'nin altındaki şifreleme
Modern internetin büyük bölümünün altındaki kabloda sunucuların kimliğini doğrulayan ve şifreleyen protokol.
HTTPS, SMTP, IMAP, MQTT ve çoğu modern uygulama protokolünün altında sunucuların kimliğini doğrulayan ve istemci ile sunucu arasındaki kanalı şifreleyen kriptografik protokol. SSL'nin halefi — TLS 1.0, 1999'da SSL 3.0'ın yerini aldı; güncel sürüm TLS 1.3'tür (RFC 8446, 2018). Kimlik doğrulama, kamuya güvenilir bir sertifika yetkilisine bağlı X.509 sertifika zincirine dayanır.
TLS, yayımladığımız her şeyde varsayılandır.
NordBastion tarafından işletilen her yüzey — pazarlama sitesi, müşteri paneli, JSON API, ajanlar uç noktaları, durum sayfası, .well-known kaydı — modern bir şifre paketiyle TLS 1.2 veya TLS 1.3 üzerinden yanıt verir; HSTS önceden yüklenmiş ve 80 numaralı porttaki HTTP koşulsuz olarak HTTPS'ye yönlendirilmiştir. Hizmetlerimizin hiçbirine düz metin yolu yoktur ve başlangıçtan bu yana hiç olmamıştır.
Müşteri iş yükleri için TLS sizin elinizde: VPS size bir Linux kutusu verir ve siz uygulamaya uygun sertifika mekanizmasını getirirsiniz — neredeyse her şey için Let's Encrypt, uyumluluk denetçiniz talep ederse ücretli EV sertifikası, dahili servisler için özel bir CA. Altta yatan CPU'lardaki 1 Gbps uplink'ler ve modern AES-NI / VAES desteği, sürekli hat hızında bile TLS sonlandırma maliyetinin temelde gürültü olduğu anlamına gelir.
Vurgulamaya değer iki bitişik nokta. Birincisi, TLS uçtan uca şifreleme değildir: bir sohbet istemcisi ile sohbet sunucusu arasındaki TLS bağlantısı kabloya koruma sağlar, ancak sunucu operatörü mesajı yine de okuyabilir. E2EE sözlük girişi bu çizgiyi kesin olarak çizmektedir. İkincisi, TLS sunucuların kimliğini sertifikayla doğrular; sunucuyu kuran kişinin kimliğini doğrulamaz. PGP parmak izi düzeyinde kimlik için bu ikinci rolü üstlenir.
Bu terimi kullanan sayfalar.
İnsanların gerçekten sorduğu sorular.
SSL ile TLS arasındaki fark nedir?
TLS, başlangıçta SSL olarak bilinen protokolün modern adıdır. Netscape dönemine ait SSL 2.0 ve SSL 3.0 protokolleri 1999 yılında yeniden adlandırılarak TLS 1.0'a dönüştürüldü; ardından TLS 1.1, 1.2 ve 1.3 sürümleri geldi. "SSL sertifikası", "SSL/TLS" gibi terimler pazarlama materyallerinde kullanılmaya devam etse de günümüzde sağlıklı her dağıtım arka planda TLS 1.2 veya TLS 1.3 çalıştırmaktadır. SSL 2.0 ve SSL 3.0 resmi olarak kullanımdan kaldırılmıştır ve hiçbir ortamda etkinleştirilmemelidir.
VPS'imdeki bir alan adı için TLS sertifikasını nasıl alırım?
Kolay yanıt Let's Encrypt'tir: ACME protokolü üzerinden 90 günlük alan adı doğrulamalı sertifikalar veren ücretsiz, otomatik bir sertifika yetkilisi. Certbot istemcisi (veya caddy, traefik, nginx-acme, acme.sh'den herhangi biri) tek bir komutla sertifika verme, yenileme ve web sunucusu bağlantısını yönetir. NordBastion markalı bir CA işletmiyoruz — Let's Encrypt doğru yanıttır ve herhangi bir değişiklik yapmadan bunu işaret ediyoruz.
TLS ile uçtan uca şifreleme aynı şey midir?
Hayır. TLS, istemci ile sunucu arasındaki bağlantıyı korur. Sunucu bir sohbet arka ucu veya e-posta sağlayıcısıysa, o sunucunun operatörü mesajı hâlâ okuyabilir; TLS şifrelemesi kendi ağ geçitlerinde sona erer. Uçtan uca şifreleme, yalnızca iletişim kuran uç noktaların anahtarları tuttuğu ayrı bir özelliktir; ara sunucular yalnızca şifreli metni görür. Uçtan uca şifrelemeye ayrılmış sözlük girişi bu ayrımı derinlemesine ele almaktadır.
NordBastion API'si TLS gerektiriyor mu?
Evet — api.nordbastion.com üzerindeki her uç nokta, modern şifrelerle TLS 1.2 veya TLS 1.3 gerektirir; port 80 üzerindeki HTTP istekleri istisnasız HTTPS'e yönlendirilir. Aynı durum pazarlama sitesi, müşteri paneli, durum sayfası ve .well-known yüzeyleri için de geçerlidir.