İnternette gezinirken, İnternet kullanıcıları tarafından çok önemli ve çok değer verilen bir şey güvenliktir. Ancak, ağların ağına göz attığımızda, ziyaret ettiğimiz tüm sayfalar aynı değildir. Bu açıdan, kişisel bilgilerimizin sızmasına neden olabilecek modern ve güvenli güvenlik protokolleri kullanmayan web siteleri bulabiliriz. Web'de güvenlikten bahsettiğimizde genellikle TLS ve HTTPS gibi isimler karşımıza çıkıyor. Çok sayıda web sayfasının analiz edildiği bir rapor sayesinde mevcut durumu öğreneceğiz. Bu yazıda İnternet'in nasıl daha güvenli hale geldiğini göreceğiz, ancak ziyaret ettiğimiz web sitelerini bazen güvensiz hale getiren eski şifreleme teknikleri var.
TLS protokolü
Bir web sayfası, kullanılan şifrelemeye bağlı olarak az çok güvenlidir. Örneğin, farklı web siteleri şifreleme için TLS protokolünü kullanır. Ayrıca, zamanla bu protokolün geçersiz hale geldiği ve artık güvenliğimizi garanti etmediği de belirtilmelidir.
TLS protokolünden bahsedecek olursak 1.0 ve 1.1 sürümlerinin eski olduğunu ve kullanılmaması gerektiğini söyleyebiliriz. Bu nedenle, bazı tarayıcılar artık varsayılan olarak bu web sayfalarına erişime izin vermemektedir. Bu açıdan, eski bir şifreleme bizi düzgün bir şekilde korumayacaktır ve 1.3 veya 1.2 sürümünde TLS'yi tercih etmeliyiz. Bazıları daha sonra bahsedeceğimiz SSL, TLS ve HTTPS protokollerini bilmek ilginizi çekebilir.
Eski şifreler hala kullanılıyor
Venafi'den 2021 olarak adlandırılan yeni bir raporda TLS İzleyici Raporu , son 1 ayda dünyanın en iyi 18 milyon web sitesinin derinlemesine bir güvenlik analizi yapıldı. Sonuçlar, İnternet'in daha güvenli hale geldiğini gösteriyor. Olumlu bir şey, şifreleme kullanımının artması ve daha modern TLS protokollerinin benimsenmesinin artmasıdır. Bununla birlikte, ECDSA gibi daha güçlü şifreleme algoritmaları mevcut olmasına rağmen, birçok şirket anahtar oluşturmak için hala eski RSA şifreleme algoritmalarını kullanmaktadır.
Raporda ayrıca, büyüme hızının yavaşladığı belirtilmelidir, ancak yıllar içinde HTTPS kullanımının muazzam bir şekilde arttığını da belirtiyor. Ancak, HTTPS'nin her zamankinden daha fazla kullanıldığını görmeye devam ediyoruz. Bu rapor, şu tabloda görüldüğü gibi, sitelerin %72'sinin trafiği HTTPS kullanmaya aktif olarak yönlendirdiğini ortaya koymaktadır:
Ayrıca HSTS (HTTP Strict Transport Güvenlik) önemli ölçüde artmıştır. Bu durumda, %44'lük bir artış görülebilir, Mart 191,025'de sahip olduğumuz 132,466'ya kıyasla şu anda 2020 web sitesi var.
TLS'nin RSA ve ECDSA ile birlikte kullanımı
Dikkate değer bir gerçek, HTTPS kullanan milyonlarca sitenin yarısından fazlasının TLS'nin en son sürümü olan TLSv1.3'ü kullanmasıdır. Bu yönüyle TLSv1.2'yi geçerek bu protokolün en popüler versiyonu haline geldiğini belirtmek gerekir. Bir web sitesinin hangi TLS protokol sürümünü kullandığını nasıl öğreneceğiniz ilginizi çekebilir. Bu, Nisan 2020 ile Kasım 2021 arasındaki karşılaştırmalı TLS tablosu olacaktır.
Öte yandan, kimlik doğrulama için RSA anahtarları şu anda açık ara en yaygın kullanılanlardır. TLSv1.3 kullanımının benimsenmesinin ECDSA'ların sayısını büyük ölçüde artırması bekleniyordu. Kimlik doğrulama için RSA'yı tutmanın ana nedenlerinden biri, henüz ECDSA'yı desteklemeyen eski istemcilerdir, ancak bu, sahip olduğunuz çok düşük sayıları haklı çıkarmaz.
Güvenlik nedeniyle daha büyük RSA anahtarlarının kullanılması durumunda ECDSA kullanmalıyız. Bunun nedeni, daha güçlü bir anahtar algoritması olması ve daha iyi performans sunmasıdır.
Son olarak, Let's Encrypt'in artık sertifika pazarında lider olduğunu belirtmek gerekir. Analiz edilen bir milyon web sitesinden 240,461 site Let's Encrypt kullanıyordu. Bir sonraki en büyük sertifika veren, Cloudflare'ın yarısı kadar siteye sahip olan Cloudflare'dir. Son olarak, Let's Encrypt ve Cloudflare'ı eklersek, bunlar tüm sertifikaların %50'sinden fazlasını temsil edeceklerdir.
