Birçok ortamda TLS terminasyonu hâlâ sertifika dosyası, private key ve cipher listesi yönetimi gibi ele alınır. Oysa modern uygulama tesliminde TLS; SNI, ALPN, TLS 1.3, HTTP/2, HTTP/3, legacy istemci uyumu, session ticket politikası, mTLS, sertifika yenileme ve detaylı log görünürlüğüyle birlikte düşünülmelidir. Bu parçalar ayrı ayrı yönetildiğinde hem güvenlik hem operasyon karmaşası artar.
Kurumsal yapılarda eski sistemler ile modern uygulamalar aynı ADC üzerinde yan yana çalışır. Bir servis TLS 1.0 veya 1.1 uyumu isterken, başka bir servis TLS 1.3, HTTP/2 veya HTTP/3 davranışı gerektirebilir. Bu gereksinimler cihaz genelinde tek ayara bağlanırsa ya eski servisler kırılır ya da modern servislerin güvenlik seviyesi gereksiz yere düşürülür.
Sertifika operasyonu da sık tekrarlanan bir risk alanıdır. Sertifika sahibi ekip ile ADC yöneten ekip farklı olduğunda her yenileme bir değişiklik talebine, her zincir hatası bir kesinti ihtimaline dönüşür. PFX, PEM, passphrase, key tipi, CN, DNS adları ve geçerlilik tarihleri merkezi doğrulanmazsa yenileme süreci kırılgan hale gelir.
Yeni risk katmanı ise uzun vadeli gizliliktir. Bugün şifreli görünen trafik kayıt altına alınıp ileride daha güçlü çözme kapasitesiyle hedef alınabilir. Bu yüzden modern TLS katmanı yalnızca bugünkü cipher uyumluluğunu değil, post-quantum hibrit anahtar değişimi gibi geleceğe dönük savunma seçeneklerini de servis profili içinde taşımalıdır.
TR7 SSL/TLS Hızlandırma bu ihtiyacı karşılar: TLS'i dosya tabanlı bir ayar olmaktan çıkarır; servis bazlı güvenlik profili, sertifika yaşam döngüsü ve modern kriptografi hazırlığına dönüştürür.
TR7, TLS terminasyonunu sertifika havuzu, servis profili, SNI seçimi ve fark bazlı konfigürasyon üretimiyle birlikte yönetir.
TLS minimum ve maksimum sürüm, cipher şablonu, manuel cipher listesi ve TLS ticket politikası aynı servis profili içinde tanımlanır. Frontend ve kurum servisi tarafında farklı TLS politikaları uygulanabilir.
Birden fazla sertifika aynı servis girişinde konumlandırılabilir. SNI bilgisine göre doğru sertifika seçilir; wildcard, farklı domain ve dual ECDSA/RSA senaryoları aynı port üzerinde yönetilebilir.
CSR, sertifika parse, key tipi tespiti, passphrase işlemleri ve PFX↔PEM dönüşümleri TR7 içinde yönetilir. Geçerlilik tarihi, CN, DNS adları, algoritma ve key uzunluğu sertifika objesinin metadata'sı olarak takip edilir.
TR7; TLS 1.3, HTTP/3 over QUIC ve ML-KEM tabanlı hibrit anahtar değişimi gibi modern TLS yeteneklerini servis politikasıyla birlikte ele alır. Bu yapı, hem bugünkü performans beklentilerini hem uzun vadeli gizlilik risklerini aynı katmanda yönetmeye yardımcı olur.
SSL/TLS Hızlandırma, servis bazlı TLS güvenliğini sertifika operasyonu, kurum servisi tarafı şifreleme ve modern protokol desteğiyle birleştirir.
TR7, minimum ve maksimum TLS sürümünü servis profili içinde yönetir. Legacy servisler için daha geniş uyumluluk, modern API ve web uygulamaları için daha sıkı TLS 1.2+ veya TLS 1.3 politikası ayrı servislerde uygulanabilir. Bu sayede cihaz genelinde "ya hep eski ya hep yeni" yaklaşımına zorlanılmaz. Her servis kendi risk, uyumluluk ve istemci gereksinimine göre yapılandırılır.
Aynı port ve servis üzerinde birden fazla sertifika tanımlanabilir. İstemcinin gönderdiği SNI bilgisine göre doğru sertifika seçilir. Farklı domainler, wildcard sertifikalar veya aynı domain için ECDSA ve RSA sertifikaları yan yana kullanılabilir. Bu yapı, çoklu domain yayınını ayrı VIP veya ayrı port tasarımına mecbur bırakmadan sadeleştirir.
TR7, ALPN üzerinden HTTP/2 ve HTTP/1.1 davranışını servis profili içinde yönetebilir. HTTP/3 over QUIC desteğiyle özellikle mobil ve kayıplı ağlarda bağlantı kurulum gecikmesi ve head-of-line blocking etkisi azaltılabilir. HTTP/2 fallback ile geriye dönük uyumluluk korunur. Böylece servis, farklı istemci kuşaklarını aynı yayın modeli içinde karşılayabilir.
TR7; onlySecure, tls13, old, general, strictSecure, strictOld, strictHardware ve hardware şablonlarına ek olarak manuel cipher listesi tanımlamayı destekler. Güvenlik ekipleri standart uyumluluk profillerini seçebilir, operasyon ekipleri istisnai durumlarda belirli cipher davranışını manuel düzenleyebilir. Bu model, cipher yönetimini uzun ve kırılgan metin listeleri yerine profil seçimine yaklaştırır. Manuel mod gerektiğinde kontrol yine operatörde kalır.
TR7, ML-KEM tabanlı hibrit anahtar değişimi desteğiyle kuantum-sonrası döneme hazırlık sağlar. Bu yaklaşım, klasik anahtar değişimini post-quantum KEM ile birleştirerek istemci uyumluluğu ve uzun vadeli gizlilik arasında geçiş modeli sunar. "Şimdi topla, sonra çöz" riskine karşı hassas kurum trafiği bugünden daha güçlü bir kriptografik zemine taşınabilir. Özellikle finans, kamu ve sağlık gibi uzun süre gizli kalması gereken veri taşıyan yapılarda bu hazırlık önemlidir.
TR7, istemci ile ADC arasında TLS'i sonlandırırken ADC ile kurum servisi arasını yeniden TLS ile şifreleyebilir. Kurum servisi tarafında verify required, CA dosyası ve istemci sertifikası gibi mTLS ayarları servis profiline bağlanabilir. Bu model, edge seviyesinde inceleme yapılırken iç ağda da şifreli iletişimi sürdürür. Frontend ve kurum servisi tarafında farklı TLS sürüm ve cipher politikaları uygulanabilir.
TLS protokol sürümü, ALPN durumu ve istemci handshake davranışı yalnızca bağlantı detayı olarak kalmaz. Eski TLS sürümü veya ALPN eksikliği gibi işaretler bot ve risk analizinde ek sinyal olarak değerlendirilebilir. TLS katmanı böylece yalnızca şifreleme değil, istemci kalitesi ve otomasyon davranışı hakkında da veri üretir. Bu sinyaller güvenlik kararlarını daha zengin hale getirir.
TR7, sertifikadan DNS adları, CN, issuer, geçerlilik tarihleri, algoritma ve key uzunluğu gibi bilgileri çıkarabilir. RSA ve EC key tipleri ayırt edilir; passphrase ekleme veya çıkarma gibi işlemler desteklenir. PFX/P12 dosyaları PEM yapısına ayrıştırılabilir veya ters yönde paketlenebilir. Bu özellikler sertifika operasyonunu harici araçlara bağımlı olmaktan çıkarır.
TLS operasyonu; sertifika parse süreci, key dönüşümü, PFX/PEM işleme, fark bazlı reload, curve uyumluluk kontrolü ve bitiş uyarılarıyla birlikte yönetilir.
Sertifika yüklendiğinde DNS adları, CN, issuer, geçerlilik başlangıcı, bitiş tarihi, algoritma ve key uzunluğu çıkarılır. Bir parse yöntemi başarısız olursa alternatif parse yolu devreye alınabilir. Bu sayede sertifika metadata'sı yalnızca dosya adıyla değil, gerçek içerikle yönetilir.
Private key'in RSA veya EC olduğu tespit edilir. EC ve RSA key işlemleri kendi gereksinimlerine göre ele alınır. Passphrase ekleme, kaldırma ve format uyumluluğu sertifika operasyonunun parçası olarak yönetilir.
PFX/P12 paketleri key ve sertifika bileşenlerine ayrıştırılabilir. Gerekirse ters yönde PEM içerikleri yeniden PFX formatına dönüştürülebilir. Bu, farklı kurumların farklı sertifika teslim formatlarını TR7 içinde standartlaştırmayı kolaylaştırır.
Aynı girdi aynı konfigürasyonu üretir; yalnızca gerçek fark oluştuğunda yeniden yükleme yapılır. Sertifika veya TLS profil değişikliklerinde gereksiz servis hareketi azaltılır. Mevcut bağlantılar korunurken yeni bağlantılar güncel TLS davranışıyla karşılanabilir.
Curve isimleri normalize edilerek uyumluluk farkları azaltılır. Destek dışı veya kaldırılmış curve kullanımları engellenebilir. Bu kontrol, sertifika ve TLS profilinin modern kriptografi beklentileriyle daha uyumlu kalmasına yardımcı olur.
Sertifika bitiş tarihi metadata olarak takip edilir. Varsayılan olarak bitişten 30 gün önce uyarı üretilecek şekilde planlama yapılabilir. Bu, sertifika süresinin dolması kaynaklı servis kesintilerini önlemeye yardımcı olur.
E-ticaret ekipleri TLS 1.2+ politika, güvenli cipher şablonu, kapalı ticket davranışı ve düzenli sertifika takibini tek servis profilinde uygulayabilir. Uyum denetimi için hangi servislerde hangi TLS profilinin kullanıldığı merkezi olarak görülebilir.
Bankacılık ortamlarında eski istemci gerektiren bir servis ile modern TLS 1.3 kullanan internet bankacılığı aynı TR7 ADC üzerinde farklı profillerle yayınlanabilir. Böylece legacy uyumluluk modern servis güvenliğini düşürmez.
Finans, kamu ve sağlık kurumları ML-KEM hibrit anahtar değişimiyle hassas trafiği gelecekteki çözme risklerine karşı daha güçlü bir zemine taşıyabilir. Bu senaryo, yıllarca gizli kalması gereken veriler için bugünden kriptografik hazırlık sağlar.
Güvenlik ekipleri istemci ile TR7 arasında TLS'i sonlandırırken TR7 ile kurum servisi arasını yeniden TLS ile şifreleyebilir. mTLS ve CA doğrulamasıyla iç ağ trafiği de güvenlik politikasına dahil edilir.
Servis bazlı TLS profili, SNI tabanlı çoklu sertifika, post-quantum hibrit anahtar değişimi ve kurum servisi tarafı mTLS. Kendi ortamınızla birlikte canlı bir kurulumda gezdirelim.