SSL Offloading Nedir? SSL Termination ve SSL Bridging Rehberi
Secure Sockets Layer (SSL), tarayıcı ile sunucu arasındaki HTTP istek ve cevaplarını şifreleyerek HTTPS güvenliği sağlayan bir protokoldür. 1990’lardan günümüze gelişen bu yapı, artık tek başına yeterli görülmemekte; yüksek trafiğe sahip kurumsal yapılarda SSL offloading, SSL termination ve SSL bridging gibi tekniklerle ölçeklenebilirlik ve güvenlik birlikte ele alınmaktadır.
Bu rehber; SSL protokolünün temel mantığını, load balancer üzerinde SSL offloading mimarisini, SSL termination ve SSL bridging farklarını, hangi senaryoda hangi yöntemin tercih edilmesi gerektiğini Türkiye’deki kurumlar için sade ve teknik bir dille özetler.
- SSL (Secure Sockets Layer)
- İstemci–sunucu iletişimini şifreleyen güvenlik protokolü. Güncelde yerini TLS almıştır.
- HTTPS
- SSL/TLS ile şifrelenmiş HTTP trafiği.
- Load Balancer
- Gelen trafiği arka uç sunucular arasında dağıtan yük dengeleyici cihaz/yazılım.
- SSL Offloading
- SSL şifreleme/şifre çözme işlemlerinin sunucu yerine load balancer üzerinde yapılması.
Secure Sockets Layer ve HTTP/HTTPS Temeli
Secure Sockets Layer (SSL), HTTP istekleri ve cevapları sırasında verinin gizlilik, bütünlük ve doğrulama ilkelerine uygun biçimde aktarılmasını hedefleyen bir güvenlik protokolüdür. HTTP’nin Türkçe karşılığı Hiper Metin Transfer Protokolü olup, verinin istemciden sunucuya ne şekilde ve nasıl aktarılacağını belirleyen temel internet protokolüdür.
1990’lı yıllarda web trafiğinin en güvenli ve doğru şekilde iletilebilmesi için SSL üzerinde geniş çaplı çalışmalar yapılmış, ilk sürümler günümüz standartlarına göre oldukça basit kalsa da zaman içinde geliştirilmiş ve bugünkü HTTPS modeline evrilmiştir. Günümüzde bir web sitesinin HTTPS bağlantısına sahip olabilmesi için geçerli bir SSL/TLS sertifikasına sahip olması gerekir.
SSL, anahtar ile şifrelenmiş bir protokoldür. Amaç; ağ üzerinde sunucuya giden istek ve gelen cevapların, ağdaki üçüncü kişiler tarafından okunamaz veya değiştirilemez olmasını sağlamaktır. Kısaca: SSL, HTTP’yi daha güvenli bir protokol olan HTTPS’e dönüştürür.
Not: SSL’in ilk sürümlerinde tespit edilen ciddi güvenlik açıkları nedeniyle, bu sürümler üretim ortamlarında kullanılmamış; daha sonra yayınlanan 2. ve 3. sürümlerle birlikte TLS’e geçiş yapılmıştır. Kurumsal yapılarda eski SSL sürümleri devre dışı bırakılmalı, güncel TLS sürümleri tercih edilmelidir.
SSL Offloading Nedir?
SSL Offloading, SSL şifreleme ve şifre çözme (encryption/decryption) işlemlerinin doğrudan web sunucusu üzerinde değil, araya konumlandırılan bir Load Balancer (yük dengeleyici) üzerinden yapılmasıdır. Böylece:
- Tarayıcı ile load balancer arasındaki trafik HTTPS olarak şifrelenir.
- Load balancer, gelen veriyi çözer; gerektiğinde inceler ve sonrasında arka uç sunucuya iletir.
- Şifreleme yükü uygulama sunucusundan alınarak, bu iş için optimize edilmiş cihaza aktarılır.
SSL offloading, özellikle yüksek HTTPS trafiğine sahip, kritik veriler işleyen kurumlarda hem performans hem de güvenlik açısından önemli avantajlar sağlar.
Neden SSL Offloading Hizmeti Alınmalıdır?
SSL anahtarlama ve şifre çözme işlemleri yoğun CPU kullanan operasyonlardır. Bu yük doğrudan web veya uygulama sunucusu üzerinde taşındığında:
- Uygulama performansı düşer,
- Gecikmeler artar, kullanıcı deneyimi olumsuz etkilenir,
- Aynı donanımla daha az istek karşılanabilir hale gelir.
SSL offloading hizmeti, sunucu üzerindeki bu şifreleme yükünün load balancer gibi özel cihazlara aktarılmasını sağlar. Böylece:
Kimler SSL Offloading Hizmeti Almalı?
SSL offloading özellikle aşağıdaki profiller için kritik bir ihtiyaç olarak ortaya çıkar:
- İnternet üzerinden servis sunan tüm kurumlar,
- İnternet üzerinde kritik servisler ve uygulamalar çalıştıran yapılar,
- Bankacılık, e-ticaret, sağlık, kamu gibi hassas veri işleyen sektörler,
- Kullanıcılarına güvenli internet hizmeti sunmak isteyen her ölçekte işletme.
Yüksek hacimli HTTPS trafiğinde, SSL işlemlerini load balancer üzerinden yönetmek; hem kapasite planlaması hem de saldırı tespit ve engelleme açısından ciddi avantaj sağlar.
SSL Termination (SSL Sonlandırma)
SSL Termination; SSL offloading kapsamında en sık kullanılan yöntemlerden biridir ve ana hedefi anahtar çözme süreçlerini hızlandırmaktır. Çalışma mantığı özetle şöyledir:
- İstemciden gelen talep, bağlantı sırasında HTTPS olarak load balancer’a ulaşır.
- Load balancer, SSL oturumunu kendisi sonlandırır ve şifreli veriyi çözer.
- Load balancer ile web sunucusu arasındaki iletişim artık HTTP (clear text) şeklindedir.
Böylece istemci ile load balancer arasındaki bağlantı şifreli tutulurken, load balancer ile sunucu arasındaki veri alışverişi anahtarsız ve şifrelenmemiş olarak gerçekleşir. Bu da sunucu üzerindeki şifre çözme yükünü tamamen ortadan kaldırır.
SSL Termination Adımları
Genel çalışma akışı şu şekildedir:
- Tarayıcı ile sunucu arasına bir Load Balancer (yük dengeleyici) cihaz yerleştirilir.
- Sunucu verileri clear text (düz metin) olarak alır; şifre çözmesi gerekmez.
- Tarayıcı tarafından anahtarlanan tüm veriler ilk önce load balancer’a ulaşır.
- Load balancer, simetrik oturum anahtarını kullanarak verilerin şifresini çözer.
- Çözülen (şifrelenmemiş) veriler web sunucusuna iletilir.
- Tarayıcı SSL bağlantısı kurarken Public ve Private Key’ler, tarayıcı ile load balancer arasında oluşur.
- Sunucu cevabını clear text olarak load balancer’a iletir.
- Load balancer bu verileri oturum anahtarını kullanarak yeniden şifreler ve istemciye gönderir.
- İstemci aynı oturum anahtarıyla verilerin şifresini çözer.
Özetle: SSL termination senaryosunda şifreleme uçtan uca değil; istemci ile load balancer arasında sağlanır. Load balancer ile sunucu arasındaki segmentin kapalı ve güvenli bir ağ olması bu nedenle kritik önemdedir.
SSL Bridging (SSL Köprüleme)
SSL Bridging, özellikle sağlık verileri, banka kartı verileri, T.C. kimlik numaraları gibi hassas verilerin bulunduğu web sitelerinde kullanılan, termination’a göre daha güvenli bir yaklaşımdır. Bu yöntemde:
- İstemci ile load balancer arasındaki trafik şifreli (HTTPS),
- Load balancer ile sunucu arasındaki trafik de yeniden şifrelenmiş HTTPS olarak akar.
Böylece özellikle yüksek hacimli HTTPS trafiğinde, istemci tarafından yapılan kötü amaçlı işlemler sırasında oluşan yük load balancer üzerinde incelenebilir; ancak veri akışı her adımda şifrelenmiş halde kalır.
SSL Bridging Çalışma Mantığı
Genel çalışma yöntemi şu şekildedir:
- İstemci, şifreli verileri HTTPS üzerinden load balancer’a gönderir.
- Load balancer; bu trafiğin içindeki paketleri incelemek için verilerin şifresini çözer.
- Şüpheli veya kötü amaçlı bir durum tespit ederse engelleme gerçekleştirir.
- Bu işlem, teknik olarak bir MitM (Ortadaki Adam) senaryosuna benzer; ancak amaç istismar değil, kontrol ve güvenliktir.
- Load balancer; elde ettiği clear text verileri doğrudan sunucuya göndermek yerine tekrar şifreler.
- Şifrelenmiş yeni HTTPS oturumu üzerinden verileri sunucuya iletir.
- Sunucu da kendisiyle load balancer arasında kurulu oturum anahtarını kullanarak verileri çözer.
Sonuç: Her iki segmentte de (istemci–LB ve LB–sunucu) trafik şifreli kalır; aradaki denetim noktası ise güvenlik amacıyla kontrollü bir şekilde şifre çözme ve yeniden şifreleme işlemi yapar.
SSL Termination vs SSL Bridging: Hangisi Ne Zaman?
Her iki yöntem de SSL offloading altında değerlendirilir; ancak risk profili ve kullanım senaryoları farklıdır:
Kurumsal mimari tasarlanırken iş yükü, veri türü, regülasyon gereksinimleri (KVKK, PCI-DSS vb.) ve mevcut ağ topolojisi birlikte değerlendirilmelidir.
Kaynaklar & Bağlantılar
- Daha fazla blog yazısı için tıklayın
- İngilizce Secure Sockets Layer protokol metnine ulaşmak için tıklayın
Türkiye’de faaliyet gösteren kurumlar için SSL/TLS mimarisi; yalnızca güvenli bağlantı sağlamakla kalmaz, aynı zamanda KVKK, 5651 ve ISO/IEC 27001 gibi regülasyonları destekleyen kritik bir teknik tedbirdir.
Category: Blog Bilgi Güvenliği
By Aydın Uygar
Tags:
