Kelimenin tam anlamıyla, TLS Transport Layer Security demek (aktarım katman güvenliği). Bu standart web bağlantılarının şifrelenmesinin nasıl devam edeceğini tarif ediyor, örneğin HTTPS kullanarak. Aramalar, maile ulaşım, online alışveriş, PayPal‘la para aktarma aynı derecede güvenli, fakat güncel 1.2 versiyonu uzun süredir eleştiriliyor ve prensipte buna ulaşmak mümkün. Daha da kötüsü: Bir çok sunucu eski SSL 3.0 gibi çoktan eskimiş versiyonlar kullanıyor.
Web şifrelemelerine yapılan saldırılar için oldukça fazla kaynak ve teknik bilgi gerekiyor – Snowden‘dan beri bunların NSA gibi istihbarat servislerinde bolca olduğunu biliyoruz. Bu saldırıların merkezinde, her zaman biri „ortadaki adam“ oluyor, yani şifrelenmiş bağlantı paketlerini dinleyebilen, onları ele geçirip manipüle edebilen biri var. Aslında, web şifrelemesi bunlara dayanabilmeli fakat TLS‘nin sorunu 1.3 versiyonunda çıkarılan bir çok kalıtımsal güvensiz kalıntı var.
Eski şeyleri çöpe atmak Bu tür bir kalıtımsal sistemin en iyi örneği Downgrade mekanizması: İlk irtibatta, tarayıcı desteklenen maksimum TLS versiyonu ve muhtemel şifreleme metodları ile ilgili bilgiyi gönderiyor. Eğer bu talep „ortadaki adam“ ile manipüle edilirse, o zaman SSL 3.0‘lı eski versiyonlara geçiliyor ve bunlar güvensiz şifreleme ile kırılabiliyor. Aynı şekilde, son gelişmeler ile saniyeler içinde sunucuyu kısa yollar kullanarak kırmak da mümkün oluyor. Bu kısayollar 1990‘ların Amerikan ithalat kısıtlamalarına ait, ki bunların amacı gelişmiş teknolojiyi eyalet sınırlarının ötesine geçirmeyi engellemekti.
TLS 1.3 sizi manipüle edilmiş downgrade‘den haberdar ediyor: TLS 1.3 kullanan bir server, bu mesajı tarayıcı için böylesi bir downgrade talebi gelince saklıyor. Eğer tarayıcı bu mesajı okursa, o zaman anlıyor ki gerçekten TLS 1.3 kullanıcı tehlikeli downgrade‘e maruz kalmış. Güvensiz şifreleme metodları, RC4, 3DES ve AES-CBC gibi, da 1.3 versiyonunda reddediliyor. Fakat en büyük kesik anahtar çifti ile asimetrik şifreleme prosedürü RSA‘nın olmaması, genel ve özel anahtarı dahil olmak üzere. Bu bağlantıyı şifrelemek için irtibat kurulduğunda kullanılıyordu. RSA‘nın sorunu sunucunun özel şifresinin daima tutulması. Eğer bir saldırgan yaklaşırsa, o zaman sunucunun tüm şifrelenmiş bağlantısını okuyabiliyor zira oturuma ilişkin anahtarları kullanabiliyor. Bu geçmişe dönük olarak yapılabiliyor eğer bağlantıyı önceden okumuşsa – ki bu durum NSA için rutin bir iş. Bunun yerine, RSA TLS 1.3‘i Diffie-Hellman‘da kullanıyor (DHE). Bu matematik prosedür tarayıcı ve sunucunun oturum anahtarını birbirinden bağımsız olarak hesaplanmasını mümkün kılıyor, büyük sayıların aktarılması ile. İkisi de bu nedenle artık oturum anahtarına ihtiyaç duymayacak, böylece bağlantı araya giren önlemlerden korunmuş olur. DHE TLS 1.2de opsiyoneldi fakat artık zorunlu.
Daha hızlı ve güvenli bağlantı
TLS 1.3 şifrelenmiş bağlantının kurulumunu hızlandırıyor zira bir tek yön seyahatini gereksiz hale getiriyor (tarayıcıdan sunucuya ve geri). Tarayıcı zaten irtibat sırasında sunucuya oturum anahtarlarının hesaplanması için tüm bilgiyi gönderiyor. Ve sunucu DHE numarasını gönderdiği anda, tarayıcı da hesaplamayı başlatabiliyor. Şifreleme metodu hakkındaki bilgi kısmı atlanıyor zira sadece bir kısım izin verilen metod temizliğin sonucu olarak bırakılıyor. Tarayıcı ardından sunucunun önerilen şifrelemeyi kontrol edeceğini tahmin edebiliyor.
Eğer tarayıcılar ve sunucular zaten bağlanmışsa, TLS 1.3 irtibatı gidiş dönüş olmadan kurmaya izin veriyor. Bu tarayıcının sunucu ile ilk irtibatında elde ettiği bir devam etme anahtarı ile sağlanıyor. Tarayıcının başlattığı ve devam etme anahtarı ile şifrelenen ikinci bağlantı başlatılıyor. Talebin yanında, ikinci bağlantıdaki DHE rakamı da içerdiği için, artık güvenlik nedeniyle bağlantı devam etme anahtarı ile devam etmiyor artık yeniden hesaplanmış bir oturum anahtarı ile devam ediyor.
Bir çok kullanıcı Firefox veya Chrome‘da TLS 1.3‘e sahipse de bu aktive edilmemiş halde. Firefox‘ta bunu „about:config“ ve Chrome‘da „chrome://flags“ ile devreye sokabiliyor. Sunucu tarafında ise uygulama daha uzun sürebilir. TLS 1.3 şimdiden sık kullanılan kripto kütüphane OpenSSL‘i yeni versiyonunda kullanıyor. Bu nedenle bankacılık, alışveriş, mailler ve genel olarak sörf çok daha güvenli hale gelecek.