TLS Şifrelemesi ile İmzalı Belgelerinizi Güvenli Hale Getirin

İmzalı Belgeleriniz İçin Neden TLS Şifrelemesi Zorunlu?

2026'da elektronik olarak imzalanan belgelerin güvenliği artık bir seçenek değil: Avrupa dijital alanında faaliyet gösteren her işletme için yasal ve stratejik bir zorunluluktur. TLS (Transport Layer Security) şifrelemesi, istemci ve sunucu arasında iletilen verilerin gizli, bütünlüklü ve kimliklendirilmiş kalmasını garantileyerek bu korumanın temel taşını oluşturur. ANSSI'ye göre, Avrupa'da belgelenen siber saldırıların %74'ünden fazlası şifreli olmayan veya yetersiz güvenliği olan veri akışlarını hedeflemektedir. Bu bağlamda, belgelerinizi TLS şifrelemesi, HTTPS ve eIDAS yönetmeliği çerçevesinde nasıl güvenli hale getireceğini anlamak, Fransız ve Avrupa işletmelerinin CIO'ları, hukuk müşavitleri ve uyum sorumluları için zorunlu hale gelmiştir.

Bu makale, TLS'nin teknik mekanizmalarını, nitelikli elektronik imza ile ilişkisini, SaaS platformlarına dayatılan düzenleme gerekliliklerini ve belge varlıklarınızı bugün koruması için dağıtılması gereken en iyi uygulamaları araştırır.

---

TLS Şifrelemesini Anlamak ve Elektronik İmzadaki Rolü

TLS 1.3: Günümüzün İletişim Güvenliği Standardı

TLS (Transport Layer Security) protokolü, artık kullanılmayan SSL (Secure Sockets Layer) sürümünün geliştirilmiş halidir. IETF tarafından 2018'de yayımlanan TLS 1.3 (RFC 8446), günümüzde tüm güvenli veri alışverişi için referanstır. BEAST, POODLE ve DROWN saldırıları dahil olmak üzere öncülleri arasında birkaç kritik güvenlik açığını ortadan kaldırırken, tek yönlü el sıkışma sayesinde bağlantı gecikmesini azaltır.

Somut olarak, TLS 1.3 şunları garantir eder:

• Gizlilik: İletilen veriler uçtan uca şifreli olup, yakalanması işe yaramaz.
• Bütünlük: Aktarım sırasında değiştirilen herhangi bir ileti hemen tespit edilir.
• Kimlik Doğrulama: Sunucu (ve isteğe bağlı olarak istemci) X.509 sertifikası tarafından kimliklendirilir.

eIDAS uyumlu bir elektronik imza platformu için, TLS 1.3'ün münhasır kullanımı — veya en azından ANSSI tarafından onaylanan şifreleme paketleri ile TLS 1.2 — temel bir gereksinimdir. TLS 1.0 veya 1.1 kullanımı, 2022'den beri ENISA önerileri tarafından resmi olarak yasaklanmıştır.

HTTPS: TLS Şifrelemesinin Görünür Katmanı

HTTPS, TLS bağlantısı üzerinde sunulan HTTP'den başka bir şey değildir. Kullanıcılar için, tarayıcı adres çubuğunda görünen asma kilit, iletişim kanalının şifreli olduğu anlamına gelir. İşletmeler için, bu, indirilen, imzalanan veya paylaşılan belgelerin kullanıcı tarayıcısı ile platform sunucuları arasında güvenli bir şekilde iletildiği anlamına gelir.

Ancak HTTPS, belgenin istirahat halindeki güvenliğini (yani sunucuda depolanan) garantilemez. Bu nedenle TLS şifrelemesi, istirahat halindeki veri şifrelemesi (örneğin AES-256) ve güçlü erişim kontrol mekanizmaları ile tamamlanmalıdır. elektronik imza hakkında kapsamlı rehber çerçevesinde, bu tamamlayıcı güvenlik katmanları tutarlı bir bütün olarak ele alınır.

TLS Sertifikaları ve Güven Zinciri

Bir TLS sertifikası, tanınan bir Sertifika Otoritesi (CA) tarafından verilir. Sunucunun genel anahtarını, kuruluşun kimliğini içerir ve CA tarafından dijital olarak imzalanır. Güven zinciri — kök sertifikadan ara sertifikalara — kullanıcının tasavvur ettiği kuruluşla gerçekten iletişim kurmasını garantiedir.

eIDAS yönetmeliği kapsamında güven hizmeti sağlayıcıları (PSC) için kullanılan TLS sertifikaları, özellikle imza ve kimlik doğrulamada kullanılan sertifikalar için ETSI EN 319 411 tarafından tanımlanan profillere uymalıdır.

---

TLS Şifrelemesi ve eIDAS Uyumluluğu: Yönetmelik Ne Diyor?

eIDAS İmza Seviyeleri ve Güvenlik Gereksinimleri

eIDAS No 910/2014 yönetmeliği, dağıtımı devam eden eIDAS 2.0 ile güçlendirilmiş, elektronik imza konusunda üç seviyeyi ayırt eder: basit, gelişmiş ve nitelikli. Her seviye, artan güvenlik gerekliliklerini içerir:

• Basit imza: Dayatılan hiçbir teknik standart yoktur, ancak TLS şifrelemesi aktarım için güçlü bir şekilde önerilir.
• Gelişmiş imza: Platform, belgenin bütünlüğünü ve imza ile imza sahibi arasındaki benzersiz bağlantıyı garantilemek zorundadır. TLS 1.3, burada aktarım akışları için neredeyse gereklidir.
• Nitelikli imza: Sağlayıcı, üye devletinin güven listesine (Trust List) kayıtlı nitelikli bir PSC olmalıdır. Şifreleme gereksinimleri ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ve EN 319 142 (PAdES) normaları tarafından tanımlanır. İletişim kanallarının şifrelemesi ANSSI veya ENISA önerilerine uymalıdır.

elektronik imza çözümlerini karşılaştıran işletmeler için TLS alışverişlerinin güvenlik seviyesi, sıklıkla hafife alınan kritik bir seçim kriteri olduğundan emin olmalıdırlar.

eIDAS 2.0'ın İletişim Güvenliği Üzerindeki Katkısı

2026-2027'ye kadar aşamalı olarak yürürlüğe giren eIDAS 2.0 yönetmeliği, Avrupa dijital kimlik cüzdanını (EUDIW) tanıtır ve güven hizmeti sağlayıcıları üzerinde gereksinimleri güçlendirir. Özellikle şunları zorunlu kılar:

• EN ISO/IEC 27001 normlarına ve ENISA'nın özel gerekliliklerine uygun güvenlik denetimleri.
• Kullanılan şifreleme mekanizmaları hakkında artan şeffaflık.
• Ulusal kontrol mercileri tarafından denetlenebilir güvenlik politikalarının yayınlanması.

Bu gelişmeler, imza platformları kullanan şirketlerin sağlayıcısının güncellenmiş ve denetlenmiş bir TLS altyapısı tutmasını sağlaması gerekliliğini anlamına gelir. Bu tam olarak Certyneo'nun ANSSI referans çerçeveleri uyumluluğu ile düzenli güvenlik denetimleri ile altyapısında garantilediğidir.

---

İşletmede İmzalı Belgelerinizi Güvenli Hale Getirmek için En İyi Uygulamalar

Mevcut TLS Altyapınızın Denetimi

Bir elektronik imza çözümü dağıtmadan veya güvenli bir çözüme geçmeden önce, TLS denetimi zorunludur. SSL Labs (Qualys) veya testssl.sh gibi araçlar, mevcut platform TLS yapılandırmanızı değerlendirmenize ve güvenlik açıklarını belirlemenize olanak sağlar: eski şifreleme paketleri, süresi dolan sertifikalar, kötü HSTS (HTTP Strict Transport Security) yönetimi, Certificate Transparency (CT logs) eksikliği.

Gerekli kontrol noktaları şunlardır:

• TLS 1.2 veya 1.3'ün münhasır kullanımı (SSLv3, TLS 1.0 ve 1.1'in devre dışı bırakılması).
• Önerilen şifreleme paketleri: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS, minimum 6 ay süresi ve `includeSubDomains` seçeneği ile etkinleştirildi.
• OCSP Stapling, hızlı sertifika iptalı için etkinleştirildi.
• Perfect Forward Secrecy (PFS), anahtar uzlaşmasının etkisini sınırlamak için etkinleştirildi.

Şifreleme Aktarımda ve İstirahatta: Tamamlayıcı Bir Yaklaşım

TLS şifrelemesi aktarımdaki verileri korur. Ancak kapsamlı bir belge güvenliği stratejisi de istirahattaki verileri kaplamalıdır. İmzalanan belgeler için bu şunlar anlamına gelir:

• AES-256 şifrelemesi dosyaların veritabanında veya dosya sistemlerinde depolanması.
• Şifreleme anahtarı yönetimi HSM (Hardware Security Module) veya FIPS 140-2 sertifikalı KMS (Key Management Service) aracılığıyla.
• Ortamların ayrılması: Üretim verileri geliştirme veya test ortamları ile hiçbir zaman bulunmamalıdır.
• Güvenli günlüğe kaydetme: Her belge erişimi RGPD önerilerine uygun olarak değiştirilemeyen bir şekilde kaydedilmelidir.

Yüksek hacimde belge yöneten işletmeler için, Certyneo'nun ROI hesaplayıcısı güçlendirilmiş güvenliğin finansal etkisini veri sızıntısı maliyetlerine karşı değerlendirmek için kullanılabilir.

Eğitim ve Belge Yönetişimi

Teknoloji tek başına yeterli değildir. Etkili bir belge güvenliği politikası üç sütuna dayanır:

1. Çalışan eğitimi: Kimlik avı risklerine, güvenli olmayan belge paylaşımına ve erişim yönetimi konusundaki en iyi uygulamalara karşı farkındalık.
2. Erişim yönetişimi: En az ayrıcalık ilkesi, imza platformlarına erişmek için çok faktörlü kimlik doğrulama (MFA), erişim hakları düzenli incelemesi.
3. Olay yönetimi: Güvenliği ihlal edilen imzalı belgeler içeren olaylara yanıt planı, RGPD (72 saat) ve NIS2 altında bildirim yükümlülüklerine uygun olarak.

İnsan kaynakları ve hukuki ekipler, en hassas belgeleri işleten ekipler ilk sırada yer alır. İK için elektronik imza veya hukuk büroları için bu koruma katmanları doğal olarak entegre edilen özel çözümler mevcuttur.

---

NIS2 Yönelgesi ve İmza SaaS Platformlarının Güvenliği

NIS2'nin Kullanıcı İşletmelere Dayattığı Şeyler

NIS2 Yönelgesi (Network and Information Security 2), 26 Temmuz 2023 tarihli yasa tarafından Fransız hukuku kapsamına alındı ve Ekim 2024'ten beri uygulanmaktadır; siber güvenlik yükümlülüklerinin kapsamını önemli ölçüde genişletmiştir. Artık kritik sektörlerdeki orta ölçekli işletmeler (sağlık, finans, enerji, yönetim) SaaS sağlayıcılarının yüksek güvenlik standartlarına uymasını sağlamalıdır.

Somut olarak, NIS2 şunları zorunlu kılar:

• Dijital tedarik zinciri güvenliğini, SaaS imza platformları da dahil olmak üzere, değerlendirme.
• Sağlayıcılardan sözleşmeli güvenlik garantileri talep etme (güvenlik SLA, ISO 27001 sertifikaları, denetim raporları).
• Kritik dijital hizmetleri etkileyen önemli bir olay durumunda ANSSI'ye bildirim.

Elektronik İmza Sağlayıcısı Seçme ve NIS2 Uyumluluğu

NIS2'ye tabi işletmeler için, bir imza platformu seçimi artık işletme işlevleriyle sınırlı tutulamaz. Güvenlik kriterleri şunları içermelidir: Desteklenen TLS sürümü, anahtar yönetimi politikası, veri konumu (tercihen Avrupa Birliği), talep üzerine denetim raporları sağlama kapasitesi.

Certyneo, tüm müşteri verilerini Fransa'da bulunan ISO 27001 sertifikalı veri merkezlerinde depolar, tüm alışverişlerde TLS 1.3 şifrelemesi ve istirahat halinde AES-256 ile. DocuSign veya YouSign'dan geçiş yapan işletmeler için, NIS2 uyumluluğu sıklıkla değişim girişiminin ana tetikleyicisidir.

İmzalı Belgelerinizin Güvenliğine Uygulanabilir Yasal Çerçeve

Elektronik olarak imzalanan belgelerin güvenliğinin sağlanması, 2026'da uyumlu olmayı isteyen her işletme için zorunlu olan bir dizi normatif metnin kapsamına girer.

Fransız Medeni Kanunu: Madde 1366 ve 1367

Medeni Kanunun 1366. maddesi, elektronik yazının kağıt yazı ile eşdeğerliği ilkesini ortaya koymaktadır; kaynağının düzgün bir şekilde tanımlanması ve belgenin bütünlüğünü garantileyecek koşullarda hazırlanması ve saklanması şartıyla. Madde 1367, elektronik imzayı, kimliği bağlayan ve bütünlüğünü sağlayan güvenilir bir kimlik tanımlama işlemi kullanımı olarak tanımlar. TLS şifrelemesi, aktarım sırasında bu bütünlük garantisine doğrudan katkı sağlar.

eIDAS No 910/2014 Yönetmeliği ve eIDAS 2.0

Avrupa Parlamentosu eIDAS No 910/2014 yönetmeliği, Avrupa'da elektronik imzanın düzenleme tabanı oluşturur. İmzanın üç seviyesini (basit, gelişmiş, nitelikli) ve nitelikli güven hizmeti sağlayıcılarına (PSC) uygulanabilir gereksinimleri tanımlar. Yönetmeliğin Ek I-IV, nitelikli sertifikalar için teknik gereksinimleri ayrıntılandırır. ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ve EN 319 142 (PAdES) normaları, kabul edilebilir imza biçimlerini açıklar. Dağıtımı devam eden eIDAS 2.0, Avrupa dijital kimlik cüzdanı (EUDIW) ile bu gereksinimleri güçlendirir ve PSC'ler için siber güvenlik yükümlülükleri artırır.

GDPR No 2016/679

Genel Veri Koruma Yönetmeliği, işletmelere kişisel verilerin güvenliğini garantilemek için uygun teknik ve örgütsel önlemleri uygulama yükümlülüğü yükler (32. madde). Kişisel veri içeren imzalı belgeler aktarımda (TLS aracılığıyla) ve istirahatte (AES-256 veya eşdeğeri aracılığıyla) şifrelenmelidir. Veri ihlali durumunda, CNIL'e ve ilgili kişilere bildirim 72 saat içinde gerçekleşmelidir (33. madde). CNIL, şifrelemeyi her veri sorumlusundan beklenen temel bir ölçü olarak görür.

NIS2 Yönelgesi (2022/2555/UE)

Fransa'da Ekim 2024'ten beri uygulanmakta olan NIS2, kritik ve önemli kuruluşlara güçlendirilmiş siber güvenlik yükümlülükleri yükler. İletişim kanallarının güvenliğini (TLS dahil), olay yönetimini ve dijital tedarik zinciri güvenliğini açıkça kapsar. Elektronik imza SaaS sağlayıcıları, NIS2'ye tabi müşterileri için kritik tedarikçi olarak nitelendirilme olasılığı vardır.

ANSSI Başvuru Çerçeveleri ve ETSI Normaları

ANSSI, şifreleme parametrelerine ilişkin öneriler yayımlamaktadır (ANSSI-PB-078 rehberi), izin verilen algoritmalar ve anahtar uzunluklarını açıklamaktadır. TLS için ANSSI, TLS 1.3'ü öncelik olarak, kesin olarak tanımlanmış şifreleme paketleri ile TLS 1.2'yi tavsiye eder ve SSLv3, TLS 1.0 ve TLS 1.1'i resmi olarak yasaklar. Bu öneriler, etkili bir şekilde hassas bilgi işlem sistemlerine uygulanır ve nitelikli eIDAS sağlayıcılarının değerlendirilme kriterlerine entegre edilir.

Kullanım Senaryoları: Gerçek Bağlamda TLS Şifrelemesi

Senaryo 1: Dematerialize Edilmiş Özel İmza Belgelerini Yöneten Bir Hukuk Bürosu

On beş ortakla bir hukuk bürosu her ay yüzlerce yetki, anlaşma protokolü ve iş akdinin feshi anlaşmasını işlemektedir. eIDAS uyumlu TLS 1.3 ve istirahat halinde AES-256 şifrelemesi ile bir SaaS çözümüne geçmeden önce, belgeler şifreli olmayan e-posta aracılığıyla değiştiriliyordu; bu, büronun belgelerin orijinalliğinin sorgulanması riskine ve kontrol edememe riskine maruz bırakıyordu.

Tüm alışverişlerde TLS 1.3 ve istirahat halinde AES-256 şifrelemesi, imzalayan kişiler için çok faktörlü kimlik doğrulama ile birleştirilen bir SaaS platformu dağıtım sonrasında, büro belge işleme sürelerini %68 azalttı (ortalama 4,2 günden 1,3 güne) ve güvenli olmayan belge aktarımı ile ilgili olayları ortadan kaldırdı. İşlemin her adımının damga tarihli izlenebilirliği, artık bir anlaşmazlık durumunda kabul edilebilir kanıt oluşturur.

Senaryo 2: Tedarikçi Sözleşmelerini Yöneten Bir KOBİ Imalatçı

Yıllık yaklaşık 300 tedarikçi sözleşmesi işlemekte olan bir imalat sektörü KOBİ'si belge dağılımı sorunuyla karşı karşıyaydı: Manuel olarak imzalanan sözleşmeler taranıp, şifreleme olmadan iç sunucularda depolanmakta, tüm iç ağa erişilebilmektedir. ISO 27001 sertifikasyonu hazırlığı kapsamında yapılan bir güvenlik denetimi, sözleşme belgelerinin %40'ının istirahat halinde şifrelenmiş olmadığını ortaya koymaktadır.

TLS 1.3 ve istirahat halinde AES-256 şifrelemesi, rol tabanlı erişim kontrol politikası ile birlikte SaaS imza çözümüne geçiş, bu güvenlik açıklarını düzeltmek için yapıldı. NIST hesaplama yöntemleri ile değerlendirilen belge sızıntısı riskinin azaltılmasında tahmin edilen kazanç, yıllık birkaç on bin euro'ya tekabül etmektedir. Tedarikçi sözleşmelerinin imza süresi 5 günden 24 saatten az ortalamaya indirilmiştir.

Senaryo 3: Özel Kliniklerin Bir Gruplaşması ve RGPD/NIS2 Uyumluluğu

Yaklaşık 600 yatak sayılı birkaç kurum üzerine yayılmış özel klinikler gruplaşması, iş sözleşmeleri, staj anlaşmaları ve hasta onam formlarının elektronik imzasını güvenli hale getirmek zorundaydı. Sağlık sektörü NIS2 altında kritik varlık olarak sınıflandırıldığından, aktarım kanallarının güvenlik gereksinimleri özellikle katıdır.

TLS 1.3, anahtar yönetimi için HSM ve her belge erişiminin değiştirilemeyen kaydı entegre eden sağlık alanında elektronik imza çözümü benimsenmesi, gruplaşmanın NIS2 denetim gereksinimlerini karşılamasını ve RGPD etkinlik kaydı yükümlülüğünü yerine getirmesini sağladı. Uyumlaştırma maliyeti, İK dosyaları için kağıt devrinin ortadan kaldırılması sayesinde 8 aydan kısa sürede geri ödenmiştir; bu, sektör kıyaslamalarına göre işlenen belge başına 15 ila 25 euro arasında tahmini bir tasarruf temsil eder.

Sonuç

Elektronik olarak imzalanan belgeleri TLS şifrelemesi ile güvenli hale getirmek artık teknolojik konfor meselesi değildir: Bu, eIDAS yönetmeliği, RGPD, NIS2 yönelgesi ve ANSSI önerilerinden kaynaklanan yasal bir zorunluluktur. 2026'da, belge akışlarının güvenliğini göz ardı eden işletmeler, idari yaptırımlara, eylemlerinin iptal edilme riskine ve ortaklarının güvenini kaybetmeye maruz kalırlar.

TLS 1.3'ün dağıtılması, istirahat halinde AES-256 şifrelemesi, çok faktörlü kimlik doğrulama ve katı belge yönetişimi ile birleştirildiğinde, uyumlu bir belge güvenliği stratejisinin asgari tabanını oluşturur.

Certyneo, bu korumaların tümünü denetlenmiş ve bağımsız bir SaaS platformunda doğal olarak entegre eder. Belgelerinizin güvenliğini bugün kontrol altına alın — Fiyatlandırma sayfasındaki tekliflerimizi keşfedin veya Kişiselleştirilmiş bir denetim için uzmanlarımızla iletişim kurun.