Bu flood’da HTTP’nin güvenli hali olan HTTPS protokolünün nasıl çalıştığını anlatacağım.
HTTPS, HTTP’nin iletim (Transport) katmanının güvenli hale getirilerek gizliliğin (Confidentiality) sağlanması ve önceki flood’da anlatılan dijital sertifikalarla istemcinin sunucunun kimliğini doğrulaması (Authenticity) ile çalışır.
Gizlilik, iletim katmanı (TCP) şifrelenerek sağlandığı için protokol seviyesinde (GET, PUT, POST, vb) HTTP ve HTTPS arasında herhangi bir farklılık yoktur. İstemci, sunucu ile HTTP bağlantısını kurmadan önce ve TCP bağlantısını kurduktan sonra SSL/TLS Handshake adlı akışı başlatır. Bu akışta istemci ve sunucu iletim katmanının şifrelenmesi için gerekli olan kripto parametrelerini konuşur. Mekanizmanın nasıl çalıştığına flood'un sonlarına doğru detaylı olarak değineceğiz.
SSL/TLS Handshake mekanizması protokol bağımsız çalıştığı için HTTP dışında TCP üzerinde çalışan herhangi bir protokolde (Kazım adındaki kendi özel protokolünüz de olabilir) iletim katmanında gizlilik sağlamak için de kullanılabilir. Uygulama (örneğin HTTP veya Kazım) katmanında hazırlanan veri TCP katmanına iletilirken SSL/TLS katmanında şifrelenir ve karşı tarafa gönderilir. Karşı tarafın TCP katmanından uygulama katmanına iletilirken verinin şifresi yine SSL/TLS katmanında çözülür, böylece uygulamanın şifreleme mantığından haberdar olması gerekmez. Aşağıdaki şekilde bu mekanizma görselleştirilmeye çalışılmıştır.
HTTPS, HTTP’nin iletim (Transport) katmanının güvenli hale getirilerek gizliliğin (Confidentiality) sağlanması ve önceki flood’da anlatılan dijital sertifikalarla istemcinin sunucunun kimliğini doğrulaması (Authenticity) ile çalışır.
Gizlilik, iletim katmanı (TCP) şifrelenerek sağlandığı için protokol seviyesinde (GET, PUT, POST, vb) HTTP ve HTTPS arasında herhangi bir farklılık yoktur. İstemci, sunucu ile HTTP bağlantısını kurmadan önce ve TCP bağlantısını kurduktan sonra SSL/TLS Handshake adlı akışı başlatır. Bu akışta istemci ve sunucu iletim katmanının şifrelenmesi için gerekli olan kripto parametrelerini konuşur. Mekanizmanın nasıl çalıştığına flood'un sonlarına doğru detaylı olarak değineceğiz.
SSL/TLS Handshake mekanizması protokol bağımsız çalıştığı için HTTP dışında TCP üzerinde çalışan herhangi bir protokolde (Kazım adındaki kendi özel protokolünüz de olabilir) iletim katmanında gizlilik sağlamak için de kullanılabilir. Uygulama (örneğin HTTP veya Kazım) katmanında hazırlanan veri TCP katmanına iletilirken SSL/TLS katmanında şifrelenir ve karşı tarafa gönderilir. Karşı tarafın TCP katmanından uygulama katmanına iletilirken verinin şifresi yine SSL/TLS katmanında çözülür, böylece uygulamanın şifreleme mantığından haberdar olması gerekmez. Aşağıdaki şekilde bu mekanizma görselleştirilmeye çalışılmıştır.