Mozilla'nın SSL Yapılandırma Oluşturucusu

 (ssl-config.mozilla.org)
2 puan yazan GN⁺ 2025-11-16 | 1 yorum | WhatsApp'ta paylaş
  • Farklı sunucu yazılımları için SSL/TLS ayarlarını otomatik olarak oluşturan bir araç
  • Apache, nginx, HAProxy, Tomcat gibi 20'den fazla sunucu ortamını destekler
  • Modern, Intermediate, Old olmak üzere üç Mozilla yapılandırma profili sunarak güvenlik seviyesi ve uyumluluk arasında seçim yapma olanağı sağlar
  • OpenSSL sürümü ve sunucu sürümü girilerek ortama özel yapılandırma oluşturulur; HTTPS yönlendirme seçeneği de dahildir
  • Mozilla'nın güvenlik yönergeleri ile bağlantılı olarak güvenli sunucu ayarlarının kolayca uygulanmasını sağlayan kullanışlı bir araç

Genel Bakış

  • Mozilla SSL Configuration Generator, sunucu yöneticilerinin güvenli SSL/TLS yapılandırmalarını kolayca oluşturmasına yardımcı olan web tabanlı bir araçtır
  • Mozilla'nın güvenlik politikaları ve TLS önerilen ayarları temel alınarak, her sunucu ortamına uygun yapılandırma betikleri otomatik olarak üretilir

Desteklenen sunucu yazılımları

  • Desteklenenler arasında Apache, AWS ALB/ELB, Caddy, Coturn, Dovecot, Exim, Go, HAProxy, Jetty, lighttpd, MySQL, nginx, Oracle HTTP, Postfix, PostgreSQL, ProFTPD, Redis, Squid, stunnel, Tomcat, Traefik ve diğerleri yer alır
  • Her sunucu için optimize edilmiş SSL yapılandırma şablonları sunar

Mozilla yapılandırma profilleri

  • Modern: TLS 1.3'ü destekler ve geriye dönük uyumluluğa ihtiyaç duymayan modern hizmetler içindir
  • Intermediate: Farklı istemcilerle uyumluluk gözetilen genel amaçlı sunucular içindir; çoğu sistem için önerilir
  • Old: Yalnızca çok eski istemcilerle uyumluluğun korunması gerektiğinde kullanılmalıdır

Yapılandırma seçenekleri

  • Server Version ve OpenSSL Version girilerek ilgili ortama uygun yapılandırma oluşturulur
  • HTTPS yönlendirme özelliğini içerir ve JavaScript'in etkinleştirilmesi gerekir

Referanslar ve kaynaklar

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-16
Hacker News yorumu

  • Benzer bağlamda, bir web sitesinin güvenlik başlıklarını tarayabilen SecurityHeaders, TLS yapılandırmasını doğrulayan SSL Labs Test ve siteleri komut satırından tarayabilen testssl.sh gibi araçlar da var
    İnternete erişemeyen ortamlarda veya otomatik HTML raporu üretirken kullanışlılar

    • İç ağda tarama yapmam gerekiyordu ama testssl.sh çok yavaştı, bu yüzden kendi yaptığım tarayıcı hello_tls'yi kullandım
      Paralelleştirme ve seçenekleri devre dışı bırakmaya rağmen en az 20 saniye sürüyordu, yeni araç ise 60~100 kat daha hızlı
      Zafiyet analizi yok ama amaç yapılandırmayı çıkarmaktı
    • Ama security headers sitesine katılmıyorum
      Her başlığın işlevi farklıdır ve sitenin amacına göre uygulanmaması gereken durumlar da olabilir
      Örneğin CSP başlığı olsa bile pratikte anlamsız şekilde ayarlanmış olduğu durumlar çok sık görülüyor

  • Neden hâlâ "SSL" terimi kullanılıyor bilmiyorum
    Sanki son 10 yıldaki teknik gelişmeler unutulmuş gibi geliyor

    • Ben de "TLS" kullanıyorum ama kolay değil
      Müşteriye TLS sertifikası ayarlayacağımı söylediğimde, sık sık "bizim SSL'e ihtiyacımız var" diye endişeleniyorlar
      Sonuçta mesele bilinirlik sorunu. Genel kullanıcı TLS'yi bilmiyor, şirketler de kafa karışıklığını önlemek için SSL kullanmayı sürdürüyor
      Cloudflare'ın SSL sayfası da yolunda SSL kullanıyor ama içerik TLS odaklı olduğu için kafa karıştırıcı
    • SSL, 90'larda Netscape tarafından geliştirildi ve sonrasında TLS'ye evrildi
      Netscape Navigator'ın Mozilla'ya uzanan bir devamlılığı olduğu için, Mozilla'nın hâlâ SSL terimini çok kullanmasını da anlayabiliyorum
    • Son 10 yılın teknolojileri şişkin ve karmaşık kodlar üretti
      Şu anda var olan yazılımların %75'i ortadan kalksa dünya daha iyi bir yer olurdu gibi geliyor
    • Eskiden SSL diye bir şey yoktu ve ilk çıktığında pahalı, ilginç bir teknolojiydi
      Sonrasında şifreli HTTP için genel ad haline geldi ve protokolün adı TLS olarak değişse de hâlâ SSL deniyor
    • Ben de hâlâ sık sık SSL diyorum

  • Şifre takımı yapılandırması uygulama geliştiricilerine ya da operatörlere bırakılmamalı
    Go blogundaki TLS Cipher Suites yazısına bakmaya değer
    Mozilla SSL Configuration Generator harika, ama aslında var olmaması gereken bir araç

    • Şifre takımı yapılandırmasının bakım maliyeti yüksektir ve zaman geçtikçe giderek verimsizleşir
      OpenSSL gibi kütüphanelerde zaten cipher preset'ler vardı ama üreticinin bunu genişletmemiş olması garip
      Örneğin "HIGH:!kRSA:!kEDH:!SHA1:!CAMELLIA:!ARIA" gibi bir birleşim, güvenliği korurken modern algoritmaların kullanılmasını sağlayabilir
      Böyle ayarlar ECC anahtarı veya ChaCha20 gibi güçlü cipher suite'lerin yanlışlıkla devre dışı bırakılmasını önler
      EdDSA ya da post-quantum hybrid algoritmalarını destekleyemeyen sunucular da bu yüzden ortaya çıkıyor

  • Bugünlerde OCSP stapling'in dahil edilmesi ironik
    Çünkü tarayıcılar ve Let's Encrypt zaten OCSP'yi fiilen terk etti

  • Mozilla, SSH yapılandırma rehberi de sunuyor
    OpenSSH güvenlik yönergelerine bakılabilir

  • Sunucu geliştiricisinin sadece yıl veya güvenlik düzeyi (secure, medium, loose) seçmesiyle çalışan anahtar teslim yapılandırmalar sağlanmasını isterdim
    SSL cipher seçmek neredeyse cargo cult seviyesinde, ne yaptığımı bilmiyorum

  • Neden SSLHonorCipherOrder'ı Off olarak ayarlamayı önerdiklerini merak etmiştim

    • nginx de aynı nedenle Off öneriyor
      Modern ve Intermediate düzeyindeki cipher'ların hepsi güvenli, bu yüzden istemcinin donanımına uygun cipher'ı seçmesine izin vermek daha verimli
      İlgili bilgiler issue comment ve Mozilla wiki üzerinde derlenmiş

  • Yapılandırma üreticisinde mTLS (karşılıklı TLS) seçeneğinin olmaması üzücü
    İstemci sertifikasının gerektiği durumlarda çok faydalı olurdu ama muhtemelen fazla niş bir özellik olduğu için yok

    • Araç, web sunucusunun ilk iletişim yapılandırmasına odaklandığı için kimlik doğrulama mekanizması kapsam dışında
    • İstemci sertifikalarını ele almak için CA kurulumu gibi ileri düzey bilgi gerektiğinden, kesinlikle sınırlı bir alan

  • "AWS ELB" öğesi Classic Load Balancer'ı ifade ediyor gibi görünüyor
    Artık "AWS ALB", Application Load Balancer anlamına geldiği için terim kafa karıştırıyor

    • Muhtemelen ALB ortaya çıkmadan önce vardı, bu yüzden pek güncellenmemiş gibi duruyor

  • OpenSSL yapılandırması için benzer bir araç olsa iyi olurdu