Fexyn
Fexyn

Sözlük

TLS nedir

Transport Layer Security — HTTPS'teki S'yi koyan, istemciler ve sunucular arasındaki bağlantıları şifreleyen protokol.

Transport Layer Security — TLS — açık metin ağ bağlantılarını şifreli olanlara dönüştüren protokol. HTTPS'teki S. Aynı zamanda OpenVPN'in kontrol kanallarını saran, VLESS Reality'in tam olarak taklit ettiği ve her güvenli email istemcisinin mail sunucularıyla konuşmak için kullandığı şey.

Mevcut modern versiyon 2018'de yayınlanan TLS 1.3. TLS 1.2 hala uyumluluk için doğada var ama aşamalı olarak kalkıyor. TLS 1.0 ve 1.1 deprecated; bir sistem onları gerektiriyorsa kırık olarak kabul et.

TLS ne yapar

Sırayla üç şey:

  1. Kimlik doğrulama. Düşündüğün kişiyle gerçekten konuştuğunu doğrula. Güvenilir authority'ler tarafından imzalanmış sertifikalar üzerinden yapılır.
  2. Anahtar değişimi. Bir paylaşılan sırrı asla açık metinde göndermeden anlaş. TLS 1.3 eliptik eğriler üzerinde Diffie-Hellman kullanır (genellikle X25519).
  3. Şifreleme. O paylaşılan sırrı kullan takip eden her byte'ı şifrelemek ve doğrulamak için. Modern TLS AEAD cipher'ları kullanır (AES-256-GCM veya ChaCha20-Poly1305).

Handshake TLS 1.3'te bir round-trip alır, bazen sıfır (0-RTT) yenilenmiş oturumlar için. Bu TLS 1.2'nin iki round-trip'ine karşı büyük bir kazanç.

TLS'in gizlemediği

Bağlantının içeriği: şifreli. Kiminle konuştuğun: görünür.

Spesifik olarak:

  • Hedef IP. Yönlendirme bunu gerektirir.
  • SNI üzerinden hedef domain. İlk handshake mesajında şifrelenmemiş gönderilir.
  • Trafik timing'i ve boyutu. İçerik şifreli olsa da pattern'ler görünür. 100-byte istek ardından 5 MB yanıt sabit ses akışından farklı görünür.

Bu yüzden "her yerde HTTPS" tam gizliliğe eşit değil. ISP'n ne gönderdiğini okuyamaz ama hangi siteye gönderdiğini bilir.

TLS 1.3 vs TLS 1.2

1.3'teki en büyük değişiklikler:

  • Forward secrecy zorunlu. Forward secrecy olmayan eski TLS 1.2 cipher'ları kaldırıldı. Bir sunucunun private key'i daha sonra sızarsa geçmiş oturumlardan kaydedilen trafik geriye dönük olarak çözülemez.
  • Cipher suite listesi kısaltıldı. TLS 1.2'de düzinelerce cipher suite var, çoğu zayıf. TLS 1.3'te beş tane. Yanlış yapılandırma için daha az yer, daha az downgrade yolu.
  • Daha hızlı handshake. İki yerine bir round-trip. Her sayfa yüklemesinde görünür.
  • Şifrelenmiş handshake. 1.2'den daha fazla handshake metaverisi şifrelenmiş. Sunucular artık müzakere sırasında sertifikalarını açık metinde sızdırmıyor.

TLS 1.3 her modern sitenin çalıştırması gereken şey. SSL Labs gibi araçlar bir sitenin TLS versiyonunu ve yapılandırmasını doğrulamana izin verir.

VPN bağlamında TLS

OpenVPN bir TLS-tabanlı kontrol kanalı sarar. Kontrol kanalı kimlik doğrulama ve anahtar değişimini halleder; veri kanalı o handshake'ten türetilen anahtarları kullanır. Modern bir OpenVPN config TLS 1.3 + ECDSA + AES-256-GCM kullanır.

VLESS Reality sadece TLS kullanmaz — gerçek bir public siteye gerçek bir TLS 1.3 handshake yapar, sonra kurulan oturumun içinde VPN verisi taşır. TLS bir wrapper değil; gerçek sertifikalar ve gerçek sunucular kullanan kamuflaj.

WireGuard TLS'i hiç kullanmaz — sabit kriptografisi olan kendi protokolü var. Farklı tasarım felsefesi.

Kısa ömürlü sertifikalar hakkında daha fazlası sertifika tarafının VPN güvenliğini nasıl etkilediği için, veya daha geniş resim için güvenlik genel bakışı.

Fexyn'i 7 gün ücretsiz dene — üç protokol, uygulanabildiği yerde modern TLS, olmadığı yerde sabit kriptografi.

İlgili terimler

Fexyn'i 7 gün ücretsiz dene

Windows uygulaması Beta'da mevcut. WireGuard, VLESS Reality ve OpenVPN — tarama geçmişi, DNS sorgusu veya trafik içeriği logları tutulmaz.

Fiyatlandırma
TLS nedir | Fexyn VPN