SSL Sertifikalarımızı 256 Bit AES Şifreleme (AES256-GCM) ile Nasıl Kullanırız?

Teknik Kas 11, 2018

Merhaba dostlar,

Bu ara peşpeşe teknik makalelerle gidiyoruz ama faydalı da olduğu için vize haftam olsa bile her fırsatta yazmaya çalışıyorum. Yazdıkça kendim de bir şeyler öğreniyorum. "Acaba şunu da yapsam makalesini yazabilir miyim?" diyorum çoğu zaman. Yüksek güvenlik gerektiren bir iş yapmıyor olsak da güvenlik açısından "AES'i nasıl kullanabilirim?" diye düşünmek beni bu makaleyi yazmaya itti. Hadi başlayalım.

Anlatımları Apache üzerinden yapacağımı da başta belirtmiş olayım. :)

1) Sertifikayı Kontrol Etme

Esasında ben bu şifreleme yöntemlerini direk sertifikamız belirliyor zannediyordum. Let's Encrypt böyle yapmış falan diyordum yani. Ama ana sayfam için 1 senelik alternatif bir yerden sertifika aldığımda onun da "CHACHA20-POLY1305" şifrelemesiyle şifrelendiğini gördüm. O zaman bu işin içinde başka bir iş var deyip araştırmaya koyuldum.

Her tarayıcıda farklı gözükebilir. Genelde şifreleme yöntemlerini masaüstü tarayıcılar göstermiyor
Android görünümü de bu şekilde
SSL/TLS Strong Encryption: How-To

Apache ile çalıştığım için en güzel kaynağın da kendi sitesi olduğunu düşünüp bu siteye girdim ve esasında buradaki adımları takip ettim.

2) Konfigürasyon Dosyalarını Düzenleme

Hemen Apache yapılandırma dosyamıza gidiyoruz ve aşağıda eklediğim kodları ekliyoruz.

cd /etc/apache2/sites-available
ls -al
nano konfigürasyondosyamız-ssl.conf

SSLProtocol         all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite      ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression      off
SSLSessionTickets   off

systemctl reload apache2.service
  • SSLHonorCipherOrder'ı etkinleştirmek, istemcinin yerine sunucunun şifre tercihlerinin izlenmesini sağlar.
  • SSLCompression'un devre dışı bırakılması TLS sıkıştırma saldırılarını önler. (örneğin CRIME)
  • SSLSessionTickets'in devre dışı bırakılması, sunucunun düzenli olarak yeniden başlatılmaması durumunda Perfect Forward Secrecy(İleri Güvenlik)'nin güvenliği ihlal etmemesini sağlar.

Ve Mutlu Sondayız :)

Evet dostlar, bu yazımızda da sizlerle SSL bağlantımızı daha güçlü bir şifrelemeyle nasıl konfigüre edeceğimizi görmüş olduk. Umarım işinize yaramıştır. Makaleyi aşağıdaki emojilerle puanlamayı ve aklınıza takılan yerleri yorum olarak yazmayı unutmayın. Herkese iyi çalışmalar. :)

Anıl

Java Developer | @Turkcell

Önerilen

Aramanla eşleşen sonuç bulunamadı, farklı şeyler dene.

Great! You've successfully subscribed.
Great! Next, complete checkout for full access.
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.