TLS 1.3 Artık Yeni Nesil Değil, Varsayılan
Bir protokolün operasyonel temel çizgi haline gelmesi yıllar alır. IETF, RFC 8446 ile TLS 1.3'ü 2018'de yayınladı. O günden bu yana protokol tarayıcılarda yayıldı, kütüphanelere yerleşti, denetim çerçevelerine girdi. 2026'ya gelindiğinde bir eşik geçildi: daha eski protokolleri desteklemek artık onları bırakmaktan daha pahalı.
TLS 1.2'ye ihtiyaç duyan istemciler ya güncellendi, ya alakasız hale geldi, ya da sürekli hizmetin maliyetini haklı çıkaramayan bir popülasyona daraldı. TLS 1.3 gerektiren müşteriler — uyumluluk, performans veya modernizasyon gerekçesiyle — "hâlâ varsayılan olarak TLS 1.2'yi destekliyor" ifadesini giderek bir satın alma kırmızı bayrağı olarak okuyor.
Bu trend yeni değildir. Tarayıcılar TLS 1.0 ve 1.1'i 2020'de emekli etti. PCI-DSS 4.0 (2024-2025'te yürürlüğe girdi), konseyin TLS 1.2 veya üstü olarak yorumladığı "güçlü kriptografi" gerektiriyor; ileriye dönük beklenti açıkça TLS 1.3. FIPS 140-3 giderek TLS 1.3'ü temel çizgi olarak varsayıyor. 2026'da değişen şey uzun kuyruk TLS 1.2 istemcilerinin yeterince incelmesidir: "sadece 1.2'yi kapatın" kararı çoğu kurumsal dağıtım için artık operasyonel olarak uygulanabilir; yalnızca teorik değil.
Bu yazı üç şeyi kapsar: TLS 1.2'yi desteklemenin 2026'da gerçekte size ne kadara mal olduğunu, yalnızca TLS 1.3 için uyumluluk ve performans argümanlarını ve donanım SSL hızlandırmasının göç matematiğini nasıl değiştirdiğini. Kriptograflar için değil, operasyonel kararı veren ekipler için yazıldı; protokol detayları özetlenmiştir, kapsamlı değildir.
TLS 1.2'yi Desteklemenin 2026'da Size Gerçek Maliyeti
TLS 1.3 ile birlikte TLS 1.2'yi desteklemenin maliyetleri tek tek felaket değildir; ama ölçekte birikir ve hiçbiri yalnızca eskiyle birlikte gelmez. Hiçbiri tek başına büyük görünmez — ama hepsi aynı anda mevcut olduğunda, eski protokolü desteklemek bırakmaktan daha pahalı hale gelir.
Daha Yavaş Handshake'ler
TLS 1.2 taze handshake için iki gidiş-dönüş gerektirir; TLS 1.3 bir tane. Yüksek gecikmeli istemciler için — mobil, uluslararası — fark algılanabilir: taze bağlantı başına 100-300 ms tasarruf. Milyonlarca bağlantı boyunca çarpıldığında kullanıcı deneyimi ve dönüşüm etkisi ölçülebilir hale gelir.
Daha Geniş Cipher Suite Yüzeyi
TLS 1.2'yi desteklemek daha geniş bir cipher listesini kabul etmek demektir — bilinen zayıflıkları veya zayıf forward secrecy özellikleri olan eski yapılar dahil. Dikkatli yapılandırılsa bile yüzey alanı daha büyüktür; yapılandırma sapma riski daha yüksektir.
Kritik Yolda Eski Kod
Bağlantı yolundaki her TLS kütüphanesi TLS 1.2 uygulamasını içerir. Bu kod nadiren yeni güvenlik araştırmasının odağıdır; ama tarihsel olarak açıkların kaynağı olmuştur (BEAST, Lucky13, ROBOT). 1.2'yi kaldırmak bu kritik yol yüzeyini de kaldırır.
Forward Secrecy Tutarsızlığı
TLS 1.3 forward secrecy'yi zorunlu kılar — her oturumun geçici anahtarları vardır. TLS 1.2 onu opsiyonel ve cipher seçimine bağımlı bırakır. Karışık dağıtımlar bazı oturumların forward güvenli, bazılarının olmadığı anlamına gelir — uzun süreli gizlilik için risk değerlendirmesini karmaşıklaştırır.
Denetim Baskısı
2025-2026'da PCI-DSS 4.0 denetimleri, 1.2 teknik olarak uyumlu olsa bile TLS 1.3'ü giderek best practice olarak atıfta bulunuyor. FIPS 140-3 1.3'ü varsayar. SOC 2 raporları sürüm karışımını bir kontrol endişesi olarak not eder. Uyumluluk baskısı tek yönlüdür ve artmaktadır.
Operasyonel Karmaşıklık
İki protokol ailesi iki cipher suite politikası, iki hata ayıklama kod yolu, iki izleme görünümü ve iki hata modu demektir. Her ek boyut operasyonel maliyeti çoğaltır. 1.2'yi bırakmak bu boyutu basitleştirir.
Sayılarla TLS 1.3 (Donanım Hızlandırmasıyla)
Tekrar bağlantılar için ilk pakette uygulama verisi gönderilebilir; handshake gecikmesi yoktur.
IETF RFC 8446TR7 donanım hızlandırmasının yalnızca yazılım temel çizgisine kıyaslı azaltma oranı; handshake başına CPU maliyeti çöker.
TR7 SSL HızlandırmaHer TLS 1.3 oturumunun geçici anahtarları vardır; uzun süreli sırların geriye dönük çözülmesi imkânsız hale gelir.
IETF RFC 8446Uyumluluk Resmi: Baskı Tek Yönlü
Altı farklı çerçeve, TLS 1.3'ü farklı dillerle de olsa aynı yöne işaret ediyor. Hiçbiri "1.2'ye dönün" demiyor; hepsi 1.3'ü ya doğrudan ya da dolaylı olarak işaret ediyor. Ortak mesaj: TLS 1.3 best practice değil, varsayılan haline geliyor.
PCI-DSS 4.0
Mart 2024'te yürürlüğe girdi ve Mart 2025'te tam geçiş tamamlandı. Kart sahibi verisi için "güçlü kriptografi" gerektirir; TLS 1.0/1.1 açıkça yasaktır, TLS 1.2 kabul edilebilirdir ve ileriye dönük olarak TLS 1.3 beklenir. 2025-2026 boyunca denetim geri bildirimi 1.3'ü giderek best practice olarak gösteriyor.
FIPS 140-3
Kriptografik modül doğrulama standardı. 2025-2026'daki doğrulama laboratuvarları dağıtım bağlamı olarak TLS 1.3'ü varsayar. Yalnızca TLS 1.2 için doğrulanmış modüller, düzenlenmiş sektörlerde yeni satın almalar için giderek konumlandırılması zor hale geliyor.
SOC 2 ve ISO 27001
İkisi de "sektör standardı kriptografi" bekler. 2026'daki denetçi yorumu TLS 1.3 dağıtımını mevcut uygulamanın kanıtı olarak ele alır; yalnızca TLS 1.2 dağıtımı teknik olarak uyumlu olsa bile giderek denetim notları çekiyor.
DORA (AB Finansal Dayanıklılık)
AB finansal kuruluşları için operasyonel dayanıklılık gereksinimleri getirir. Kriptografik çeviklik — protokolleri hızlıca güncelleyebilme yeteneği — operasyonel risk resminin parçasıdır. TLS 1.3 dağıtımı pozitif sinyaldir; TLS 1.2 kilidi negatiftir.
CNSA 2.0 / PQC Yolu
ABD ulusal güvenlik kriptografik paketi olarak 2030'a kadar PQC'ye doğru ilerliyor. PQC göçü altında yatan protokol olarak TLS 1.3'ü varsayar — ML-KEM hibrit anahtar değişimi TLS 1.3 için tanımlandı, 1.2 için tanımlanmadı. TLS 1.3'ü atlamak, sonra daha zor bir PQC göçü bırakır.
Tarayıcı Zorunlulukları
Chrome, Firefox, Safari, Edge — hepsi varsayılan olarak TLS 1.3 destekler ve TLS 1.2 için emeklilik zaman çizelgelerine sahiptir. Tarayıcı DevTools'taki bağlantı düşürme göstergeleri TLS 1.2'yi kullanıcı yüzlü testlerde giderek damgalamaya başladı.
Önemli Bir Şeyi Kırmadan Nasıl Göç Edilir?
TLS 1.2 Trafiğini Envantere Alın
ADC'nizde TLS sürümünün bağlantı başına loglamasını etkinleştirin. User-agent, kaynak IP aralığı ve uç noktaya göre toplayın. Sonuç: TLS 1.2'yi kapatırsanız erişimini kaybedecek istemci popülasyonu. Çoğu kurum popülasyonu korktuğundan daha küçük bulur.
TLS 1.2 Popülasyonunu Sınıflandırın
Envanteri kategoriye göre gruplayın: müşteri yüzlü tarayıcılar (2026'da sıfıra yakın olmalı), partner API entegrasyonları, iç servisler, gömülü cihazlar. Her kategorinin farklı bir iyileştirme yolu vardır.
Uç Nokta Başına Politika Belirleyin
Yalnızca TLS 1.3 hep ya da hiç değildir. Uç nokta başına yapılandırın: kamu yüzlü müşteri uç noktaları yalnızca TLS 1.3 alır; 1.2'ye ihtiyaç duyduğu belgelenmiş iç servisler geçici olarak tutar; partner entegrasyonları son tarihi belgelenmiş bir emeklilik yolu alır.
Partnerlerle İletişim Kurun
TLS 1.2 gerektiren B2B entegrasyonları için partnere gerçek bir son tarihi olan belgelenmiş bir emeklilik planı gönderin. Çoğu partner istenirse "TLS 1.2 batışı"ndan daha hızlı güncelleyecektir; birçoğu zorlayıcı bir fonksiyon bekliyor olabilir.
Varsayılan TLS 1.3'ü Zorunlu Kılın
Yeni uç noktalar için varsayılanı yalnızca TLS 1.3'e çevirin. Belgelenmiş 1.2 ihtiyaçları olan mevcut uç noktalar geçersiz kılma alır; her şey modern temel çizgiye varsayılır. Bu yeni teknik borç birikmesini durdurur.
Buradayken PQC'yi de Planlayın
TLS yapılandırmasına zaten dokunuyorsanız, TLS 1.3'te hibrit ML-KEM anahtar değişimini etkinleştirin. Değişiklik muhafazakar (hibrit mod klasik güvenliğe geri düşer) ve trafiği "şimdi topla, sonra çöz"e karşı korumaya başlar. PQC ve TLS 1.3 göçleri aynı projedir; aynı yapılandırma geçişinde yürütülür.
Donanım SSL Hızlandırma Nerede Yer Alıyor?
TLS 1.3'ün performans avantajları en çok kriptografik operasyonlar darboğaz olmadığında görünür. Yüksek hacimde yalnızca yazılım TLS, genel amaçlı çekirdeklere belirgin CPU baskısı uygular; zirvede yalnızca TLS handshake'leri yoğun yük dengeleyicilerde mevcut CPU'nun yüzde 20-30'unu tüketebilir. Donanım SSL hızlandırma bu operasyonları özel kripto ünitelerine yükler ve bağlantı başına CPU maliyetini dramatik şekilde azaltır.
TR7'nin donanım SSL hızlandırması, SSL işleme yükünü yalnızca yazılıma kıyasla yaklaşık yüzde 95 azaltır. Pratik etki: aynı donanım çok daha fazla eşzamanlı TLS oturumunu işler, gecikme daha tutarlı olur (özel donanım CPU için rekabet etmez) ve handshake başına maliyet, TLS protokol seçiminin ölçülebilir uygulama etkisi olduğu eşiğin altına düşer.
PQC yolu için ML-KEM ve AEAD cipher'ların donanım hızlandırması, yüksek hacimli PQC dağıtımının yoludur. Handshake boyutu büyür (ML-KEM, X25519 için yaklaşık 100 bayta karşı yaklaşık 1,1 KB); ama operasyon başına CPU maliyeti RSA-2048 ile rekabet edebilir. PQC primitif'lerini içeren donanım, göç ilerlerken handshake başına maliyeti sabit tutar. TR7'nin yol haritası donanım hızlandırmayı PQC göç zaman çizelgesiyle hizalar; göç etmek için donanım değiştirmek gerekmez.
Ana fikir bu noktada bir kez daha geri döner: TLS 1.3 göçü ve 2030 için PQC göçü aynı yapılandırma yoludur. Donanım hızlandırma her ikisinin maliyetini operasyonel olarak görünmez hale getiren bileşendir.
Referanslar ve Kaynaklar
1-RTT handshake tasarımı, 0-RTT veri, zorunlu forward secrecy ve kaldırılan eski cipher suite'lerini içeren protokol belirtimi. https://datatracker.ietf.org/doc/html/rfc8446
Payment Card Industry Data Security Standard'ın mevcut sürümü. Tam geçiş Mart 2025'te tamamlandı. https://www.pcisecuritystandards.org/document_library/
Kriptografik modül doğrulama için Federal Bilgi İşleme Standardı. https://csrc.nist.gov/projects/cryptographic-module-validation-program
Finansal kuruluşlar için kriptografik çeviklik dahil operasyonel dayanıklılık gereksinimlerini getiren Regulation (EU) 2022/2554. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
Commercial National Security Algorithm Suite 2.0 — PQC göç zaman çizelgesi altında varsayılan protokol olarak TLS 1.3. https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3148990/
Modern TLS, Modern Donanım
TR7'nin donanım hızlandırmalı SSL işlemesi; 0-RTT, hibrit ML-KEM anahtar değişimi ve yalnızca yazılıma kıyasla yaklaşık yüzde 95 CPU yüklemesi ile TLS 1.3'ü taşır. TLS 1.3 göçü ile 2030 için PQC hikâyesi aynı yapılandırma yoludur.
TR7 SSL Hızlandırmayı Keşfet