Merhaba dostlar,

Bu ara peşpeşe teknik makalelerle gidiyoruz ama faydalı da olduğu için vize haftam olsa bile her fırsatta yazmaya çalışıyorum. Yazdıkça kendim de bir şeyler öğreniyorum. "Acaba şunu da yapsam makalesini yazabilir miyim?" diyorum çoğu zaman. Yüksek güvenlik gerektiren bir iş yapmıyor olsak da güvenlik açısından "AES'i nasıl kullanabilirim?" diye düşünmek beni bu makaleyi yazmaya itti. Hadi başlayalım.

Anlatımları Apache üzerinden yapacağımı da başta belirtmiş olayım. :)


1) Sertifikayı Kontrol Etme

Esasında ben bu şifreleme yöntemlerini direk sertifikamız belirliyor zannediyordum. Let's Encrypt böyle yapmış falan diyordum yani. Ama ana sayfam için 1 senelik alternatif bir yerden sertifika aldığımda onun da "CHACHA20-POLY1305" şifrelemesiyle şifrelendiğini gördüm. O zaman bu işin içinde başka bir iş var deyip araştırmaya koyuldum.

Her tarayıcıda farklı gözükebilir. Genelde şifreleme yöntemlerini masaüstü tarayıcılar göstermiyor
Android görünümü de bu şekilde
SSL/TLS Strong Encryption: How-To

Apache ile çalıştığım için en güzel kaynağın da kendi sitesi olduğunu düşünüp bu siteye girdim ve esasında buradaki adımları takip ettim.


2) Konfigürasyon Dosyalarını Düzenleme

Hemen Apache yapılandırma dosyamıza gidiyoruz ve aşağıda eklediğim kodları ekliyoruz.

cd /etc/apache2/sites-available
ls -al
nano konfigürasyondosyamız-ssl.conf
SSLProtocol         all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite      ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
SSLHonorCipherOrder on
SSLCompression      off
SSLSessionTickets   off
systemctl reload apache2.service
  • SSLHonorCipherOrder'ı etkinleştirmek, istemcinin yerine sunucunun şifre tercihlerinin izlenmesini sağlar.
  • SSLCompression'un devre dışı bırakılması TLS sıkıştırma saldırılarını önler. (örneğin CRIME)
  • SSLSessionTickets'in devre dışı bırakılması, sunucunun düzenli olarak yeniden başlatılmaması durumunda Perfect Forward Secrecy(İleri Güvenlik)'nin güvenliği ihlal etmemesini sağlar.

Ve Mutlu Sondayız :)


Evet dostlar, bu yazımızda da sizlerle SSL bağlantımızı daha güçlü bir şifrelemeyle nasıl konfigüre edeceğimizi görmüş olduk. Umarım işinize yaramıştır. Makaleyi aşağıdaki emojilerle puanlamayı ve aklınıza takılan yerleri yorum olarak yazmayı unutmayın. Herkese iyi çalışmalar. :)