Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
BT uzmanlarına yönelik bu konu, Aktarım Katmanı Güvenliği (TLS) protokolünün nasıl çalıştığını açıklar ve TLS 1.0, TLS 1.1 ve TLS 1.2 için IETF RFC'lerine bağlantılar sağlar.
Note
Windows Server'ın gelecek bir sürümünde TLS 1.0 ve 1.1 varsayılan olarak devre dışı bırakılacaktır. Daha fazla bilgi için bkz. TLS sürüm 1.0 ve 1.1 devre dışı bırakma ile ilgili kaynaklar.
TLS (ve SSL) protokolleri, uygulama protokol katmanı ile TCP/IP katmanı arasında bulunur; burada uygulama verilerinin güvenliğini sağlayabilir ve aktarım katmanına gönderebilirler. Protokoller uygulama katmanı ile aktarım katmanı arasında çalıştığından TLS ve SSL birden çok uygulama katmanı protokollerini destekleyebilir.
TLS ve SSL, genellikle TCP olan bağlantı odaklı bir aktarımın kullanımda olduğunu varsayar. Protokol, istemci ve sunucu uygulamalarının aşağıdaki güvenlik risklerini algılamasına olanak tanır:
İleti üzerinde değişiklik
İleti kesme
İleti sahteciliği
TLS ve SSL protokolleri iki katmana ayrılabilir. İlk katman uygulama protokolünden ve üç el sıkışma protokolünden oluşur: el sıkışma protokolü, değişiklik şifreleme belirtimi protokolü ve uyarı protokolü. İkinci katman, kayıt protokolüdür.
TLS ve SSL protokol katmanları
Schannel SSP, TLS ve SSL protokollerini değişiklik yapmadan uygular. SSL protokolü özeldir, ancak İnternet Mühendisliği Görev Gücü genel TLS belirtimlerini üretir. Windows sürümlerinde hangi TLS veya SSL sürümünün desteklendiği hakkında bilgi için bkz. TLS/SSL (Schannel SSP) protokolleri. Her belirtim aşağıdakiler hakkında bilgi içerir:
TLS Kayıt Protokolü
TLS El Sıkışma Protokolleri: - Şifre Belirtim Protokolünü Değiştirme - Uyarı Protokolü
Şifreleme Hesaplamaları
Zorunlu Şifreleme Paketleri
Uygulama Veri Protokolü
RFC 5246 - Aktarım Katmanı Güvenliği (TLS) Protokolü Sürüm 1.2
RFC 4346 - Aktarım Katmanı Güvenliği (TLS) Protokolü Sürüm 1.1
RFC 2246 - TLS Protokolü Sürüm 1.0
TLS oturumu yeniden başlatma
Windows Server 2012 R2'de kullanıma sunulan Schannel SSP, TLS oturumunun sunucu tarafı bölümünü uyguladı. RFC 5077'nin istemci tarafı uygulaması Windows 8'e eklendi.
TLS'yi sunuculara bağlayan cihazların sık sık yeniden bağlanması gerekir. TLS oturumunun yeniden başlatılması TLS bağlantılarını kurma maliyetini azaltır çünkü yeniden başlatma işlemi kısaltılmış bir TLS el sıkışması içerir. Bu, bir grup TLS sunucusuna birbirlerinin TLS oturumlarını sürdürme izni vererek daha fazla yeniden başlatma girişimini kolaylaştırır. Bu değişiklik, Windows Phone ve Windows RT cihazları da dahil olmak üzere RFC 5077'yi destekleyen tüm TLS istemcilerinde aşağıdaki tasarrufları sağlar:
Sunucuda daha az kaynak kullanımı
İstemci bağlantılarının verimliliğini artıran azaltılmış bant genişliği
Bağlantının yeniden devam ettirilmesi nedeniyle TLS el sıkışması için harcanan süre azaldı
Durum bilgisi olmayan TLS oturumunun yeniden başlatılması hakkında bilgi için RFC 5077 IETF belgesine bakın.
Uygulama protokolü anlaşması
Windows Server 2012 R2 ve Windows 8.1, istemci tarafı TLS uygulama protokolü anlaşmasına olanak tanıyan bir destek sunar. Uygulamalar HTTP 2.0 standart geliştirmesinin bir parçası olarak protokollerden yararlanabilir ve kullanıcılar SPDY protokolünün çalıştırdığı uygulamaları kullanarak Google ve Twitter gibi çevrimiçi hizmetlere erişebilir.
Uygulama protokolü anlaşması nasıl çalıştığı hakkında bilgi için bkz . Aktarım Katmanı Güvenliği (TLS) Uygulama Katmanı Protokolü Anlaşma Uzantısı.
Sunucu Adı Göstergesi uzantıları için TLS desteği
Sunucu Adı Göstergesi (SNI) özelliği, tek bir sunucuda çok sayıda sanal görüntü çalışırken sunucunun düzgün tanımlanmasına izin vermek için SSL ve TLS protokollerini genişletir. Bir sanal barındırma senaryosunda, bir sunucuda birkaç etki alanı (her biri kendi muhtemel ayrı sertifikasına sahip) barındırılır. Bu durumda, sunucunun istemciye hangi sertifikayı gönderdiğini önceden bilmesi mümkün değildir. SNI, istemcinin protokolde daha önce hedef etki alanını bilgilendirmesine olanak tanır ve bu da sunucunun doğru sertifikayı seçmesine olanak tanır.
Bu, aşağıdaki ek işlevleri sağlar:
Tek bir İnternet Protokolü ve bağlantı noktası bileşiminde birden çok SSL web sitesi barındırmanıza olanak tanır
Tek bir web sunucusunda birden çok SSL web sitesi barındırıldığında bellek kullanımını azaltır
Daha fazla kullanıcının SSL web sitelerine aynı anda bağlanmasına izin verir