TLS Protokolü Nedir? Powershell İle TLS 1.0 ve 1.1 Kapatma 1.2 Aktif Etme
TLS (Transport Layer Security), internet üzerinde güvenli iletişim sağlamak için kullanılan bir güvenlik protokolüdür. TLS, verilerin iletimi sırasında şifreleme, kimlik doğrulama ve veri bütünlüğü gibi güvenlik özelliklerini sağlar. Bu protokol, genellikle web tarayıcıları ve sunucular arasındaki iletişimde kullanılır, ancak e-posta, anlık mesajlaşma ve diğer uygulamalarda da kullanılabilir.
TLS’nin önceki sürümleri SSL (Secure Sockets Layer) olarak bilinir ve genellikle SSL 3.0’dan sonra geliştirilmiş ve standardize edilmiştir. TLS, kullanıcıların ve sunucuların birbirlerini doğrulamalarına, verilerin şifrelenmesine ve iletilen verilerin bütünlüğünü sağlamak için çeşitli şifreleme algoritmalarını destekler.
TLS’nin temel amacı, verilerin internet üzerinden güvenli bir şekilde iletilmesini sağlamaktır. Özellikle web tarayıcıları ve sunucular arasında kullanıldığında, kullanıcıların kişisel bilgileri, şifreleri ve finansal verileri gibi hassas bilgilerin güvenli bir şekilde iletilmesini sağlar. Bu, çevrimiçi alışveriş, bankacılık ve diğer güvenlik gerektiren çevrimiçi işlemler için önemlidir.
TLS 1.0 – 1.1 ve 1.2 Karşılaştırması
- Güvenlik Seviyeleri:
- TLS 1.0: Zayıf şifreleme algoritmalarını içerir ve bazı güvenlik zafiyetlerine sahiptir. Özellikle BEAST ve POODLE saldırılarına karşı savunmasızdır.
- TLS 1.1: TLS 1.0’daki bazı güvenlik sorunlarını giderir, ancak daha modern şifreleme algoritmalarını içerir.
- TLS 1.2: Daha güçlü şifreleme algoritmalarını destekler ve önceki sürümlerdeki birçok zayıflığı düzeltir.
- Şifreleme Algoritmaları:
- TLS 1.0: DES ve 3DES gibi eski algoritmaları içerir.
- TLS 1.1: TLS 1.0’dan daha güvenli şifreleme algoritmalarını içerir.
- TLS 1.2: AES (Advanced Encryption Standard) ve GCM (Galois/Counter Mode) gibi daha güçlü ve modern şifreleme algoritmalarını destekler.
- Doğrulama ve Anahtar Değişimi:
- TLS 1.0: Zayıf anahtar değişim algoritmalarını kullanabilir.
- TLS 1.1: Daha güvenli anahtar değişim algoritmalarını içerir.
- TLS 1.2: RSA ve Diffie-Hellman gibi daha güçlü anahtar değişim mekanizmalarını destekler.
- Önceki Mesajlardan Kaynaklanan Saldırılar:
- TLS 1.0: BEAST (Browser Exploit Against SSL/TLS) saldırısına karşı savunmasızdır.
- TLS 1.1 ve 1.2: BEAST saldırısını önlemek için tedbirler içerir.
- Perfect Forward Secrecy (Mükemmel İleri Gizlilik):
- TLS 1.0: Genellikle Perfect Forward Secrecy’yi desteklemez.
- TLS 1.1 ve 1.2: Perfect Forward Secrecy’yi destekleme konusunda daha ileri düzeyde özelliklere sahiptir.
- Uyumlu Olduğu Protokoller:
- TLS 1.0: SSL 3.0’ın bir devamıdır.
- TLS 1.1 ve 1.2: SSL 3.0 ve TLS 1.0’a benzer, ancak daha güvenli ve gelişmiş sürümleridir.
Özetle, TLS 1.2, önceki sürümlere göre daha güvenli ve gelişmiş özelliklere sahiptir. TLS 1.0 ve 1.1’in kullanımı artık önerilmez ve birçok güvenlik uzmanı ve kuruluş, mümkünse TLS 1.2 veya daha yeni sürümleri kullanmayı tavsiye eder.
TLS 1.0 ve 1.1’den dolayı yaşanabilecek saldırılar
- BEAST (Browser Exploit Against SSL/TLS):
- TLS 1.0 ve SSL 3.0’da kullanılan şifreleme yöntemleri üzerine kurulan bir saldırıdır. Bu saldırı, özellikle web tarayıcılarından elde edilen çerezler üzerinden şifreli iletişimi çözebilir ve bu şekilde hassas bilgilere erişebilir.
- POODLE (Padding Oracle On Downgraded Legacy Encryption):
- TLS 1.0 ve SSL 3.0’ın zayıf şifreleme algoritmalarından kaynaklanan bir açığı kullanır. Saldırgan, önceki sürümlere (TLS 1.0 ve SSL 3.0) geçişi teşvik eder ve ardından şifreli trafiği çözebilir.
- CRIME (Compression Ratio Info-leak Made Easy):
- Bu saldırı, TLS 1.0 ve 1.1’de kullanılan sıkıştırma algoritması ile ilgili bir açığı hedefler. Saldırgan, sıkıştırma oranındaki değişiklikleri kullanarak hassas bilgileri çalabilir.
- Lucky Thirteen (CBC Padding Oracle Attack):
- Bu saldırı, Cipher Block Chaining (CBC) modu ile çalışan şifreleme algoritmalarında bulunan bir açığı hedefler. Saldırgan, CBC’nin hata mesajlarından bilgi elde edebilir ve şifreli veriyi çözebilir.
Powershell Script ile Tls 1.0 ve 1.1 Kapatıp 1.2 Nasıl Aktif Edilir ?
# TLS 1.0 Devre Dışı Bırak
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Name 'Enabled' -Value 0
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Name 'DisabledByDefault' -Value 1
# TLS 1.1 Devre Dışı Bırak
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Name 'Enabled' -Value 0
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Name 'DisabledByDefault' -Value 1
# TLS 1.2 Etkinleştir
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value 1
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value 0Bu işlemleri gerçekleştirmeden önce, sistemlerinizin ve uygulamalarınızın TLS 1.2’yi desteklediğinden emin olun. Bazı eski uygulamalar ve sistemler, TLS 1.2’yi desteklemeyebilir ve bu değişiklikler uygulandıktan sonra bağlantı sorunları yaşayabilir.
Not: Bu işlemleri gerçekleştirirken dikkatli olun. Yanlış yapılandırma sistem üzerinde bağlantı sorunlarına yol açabilir. Yapılandırmayı gerçekleştirmeden önce, sisteminizin yedeğini almayı ve değişiklikleri önce bir test ortamında denemeyi unutmayın.
Ayrıca bu script’i ortamınızda sccm var ise scriptleri dağıtabilme özelliğini kullanarak aynı anda bir sürü makineye dapıtabilirsiniz. Sccm üzerinden script dağıtma konusunada yakın zamanda bakıyor olacağız iyi okumalar.
