Web Sunucusunda SSL/TLS Versiyonlarını (TLS 1.3) Zorunlu Kılma

Web sunucularında SSL/TLS protokollerinin doğru yapılandırılması, modern internet güvenliğinin temel taşlarından biridir. Özellikle TLS 1.3 versiyonu, önceki sürümlere kıyasla daha yüksek şifreleme gücü, daha hızlı el sıkışma süreci ve azaltılmış saldırı vektörleri sunar. Eski protokoller gibi SSL 2.0, SSL 3.0, TLS 1.0 ve TLS 1.1, ciddi güvenlik açıkları içerdiği için artık kullanımdan kaldırılmıştır. TLS 1.2 bile bazı zayıflıklar barındırırken, TLS 1.3 yalnızca en güvenli algoritmaları zorunlu kılar ve bağlantı kurulumunu saniyenin onda biri kadar kısaltır. Bu makalede, popüler web sunucularında TLS 1.3’ü zorunlu kılacak pratik adımları inceleyeceğiz. Bu işlem, sunucunuzun hem uyumluluğunu sağlar hem de kullanıcı verilerini maksimum düzeyde korur. Yapılandırma sırasında dikkatli olunmalı, çünkü yanlış ayarlar erişim sorunlarına yol açabilir.

TLS 1.3’ün Avantajları ve Zorunlu Kılma Gerekliliği

TLS 1.3, 2018 yılında standartlaşmış olup, kriptografik olarak en güncel standartları benimser. Bu versiyon, 0-RTT (Zero Round Trip Time) gibi yeniliklerle bağlantı hızını artırırken, Perfect Forward Secrecy’yi her zaman garanti eder. Eski TLS sürümleri, POODLE, BEAST ve Logjam gibi saldırılardan etkilenirken, TLS 1.3 bu riskleri ortadan kaldırır. Zorunlu kılmak, PCI DSS gibi uyumluluk standartlarını karşılamanıza yardımcı olur ve arama motoru optimizasyonunda güven puanı kazandırır.

Sunucunuzda TLS 1.3’ü etkinleştirmeden önce, istemci uyumluluğunu değerlendirin. Modern tarayıcılar (Chrome 70+, Firefox 63+, Safari 12.1+) tam desteklerken, eski sistemler için yedek planlar düşünün. Zorunlu kılma, yalnızca TLS 1.3’ü kabul ederek fallback protokolleri devre dışı bırakır. Bu, yapılandırma dosyalarında protokol listesini tek bir girişe indirgemekle sağlanır. Sonuç olarak, bağlantı güvenliği artar ve performans optimize edilir.

Apache HTTP Sunucusunda TLS 1.3 Zorunlu Kılma

SSL Modülünü ve OpenSSL’i Güncelleme

Apache’de TLS 1.3 için öncelikle OpenSSL 1.1.1 veya üstü yüklü olmalıdır. Ubuntu/Debian tabanlı sistemlerde sudo apt update && sudo apt install openssl libapache2-mod-ssl komutunu çalıştırın. CentOS/RHEL için sudo yum install mod_ssl openssl11 kullanın. mod_ssl modülünü etkinleştirin: sudo a2enmod ssl. OpenSSL versiyonunu openssl version ile doğrulayın; TLS 1.3 desteği yoksa derlenmiş sürümü yükleyin. Bu adım, sunucunun TLS 1.3 cipher suite’lerini desteklemesini sağlar ve eski modülleri temizler.

Yapılandırma Dosyasını Düzenleme ve Yeniden Başlatma

/etc/apache2/sites-available/default-ssl.conf veya ana httpd.conf dosyasını düzenleyin. SSLProtocol direktifini SSLProtocol TLSv1.3 olarak ayarlayın. SSLCipherSuite’i SSLCipherSuite TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 ile sınırlayın. SSLHonorCipherOrder on yapın. Değişiklikleri test edin: apachectl configtest. Sorunsuzsa sudo systemctl restart apache2 ile yeniden başlatın. Bu konfigürasyon, yalnızca TLS 1.3 bağlantılarını kabul eder ve eski istemcileri reddeder.

Örnek konfigürasyon bloğu şöyle olabilir:

• VirtualHost *:443 içinde SSLProtocol ve SSLCipherSuite tanımları.
• LogLevel ssl:debug için hata ayıklama.

Nginx Sunucusunda TLS 1.3 Zorunlu Kılma

OpenSSL ve Nginx Derleme Kontrolü

Nginx’te TLS 1.3 için OpenSSL 1.1.1+ şarttır. Paket yöneticisiyle güncelleyin: Ubuntu için sudo apt install nginx libnginx-mod-http-ssl. Nginx’in dinamik modülleri desteklemesi idealdir. nginx -V ile TLS 1.3 desteğini kontrol edin; yoksa kaynak koddan derleyin. Bu, sunucunun en yeni şifreleme algoritmalarını (AES-GCM, ChaCha20) etkinleştirmek için zorunludur ve güvenlik yamalarını entegre eder.

Server Bloğunda Protokol ve Cipher Ayarları

/etc/nginx/sites-available/default dosyasındaki server bloğuna ssl_protocols TLSv1.3; ekleyin. ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 olsun. ssl_prefer_server_ciphers on; direktifini ekleyin. Syntax kontrolü için nginx -t, ardından sudo systemctl reload nginx. Bu ayarlar, yalnızca TLS 1.3 el sıkışmalarını kabul eder ve QUIC protokolü için temel hazırlar.

Uygulama sonrası, SSL Labs gibi araçlarla (bağlantısız olarak düşünün) A+ derecesi hedefleyin. Hata durumunda logları inceleyin: /var/log/nginx/error.log.

Sonuç olarak, TLS 1.3’ü zorunlu kılmak, web sunucunuzu geleceğe hazırlar ve kullanıcı güvenini pekiştirir. Bu adımları uygulayarak, hem performans hem de güvenlikte somut kazanımlar elde edersiniz. Düzenli güncellemelerle protokolleri takip edin ve yedekleme alın. Bu strateji, kurumsal siteler için vazgeçilmez bir adımdır.