HTTPS Neden Kullanılmalı?

HTTPS, temel olarak, tarayıcınız tarafından web siteleriyle iletişim kurmak için kullanılan Hypertext Transfer Protocol’ün (HTTP) güvenli bir sürümüdür. HTTPS'nin sonundaki S, güvenli anlamına gelir. HTTPS ile standart HTTP protokolü bir SSL/TLS protokolü ile güncellenmiştir. Secure Sockets Layer anlamına gelen SSL, web sunucusu ile web tarayıcısı arasında veri aktarımı için güvenli bir katman oluşturur. WordPress veya Joomla gibi İçerik Yönetim Sistemi (CMS) kullanıyorsanız HTTPS gereklidir.

Yakın zamana kadar HTTPS güvenlik şifrelemesi yalnızca e-ticaret siteleri tarafından, ödeme ve oturum açma sayfaları gibi kullanıcıların kimlik bilgilerini girmelerini gerektiren web sayfaları için kullanılıyordu. Ancak günümüzde çok daha yaygındır. Kendi web siteniz varsa, muhtemelen HTTPS şifrelemesi almanız önerilir.

Çoğu zaman, insanlar sitelerinin Google sıralaması onsuz olumsuz etkilendiği için HTTPS'ye geçer. Ancak, HTTPS'nin güvenlik avantajlarının farkında değillerdir. Aslında, HTTPS'nin Google sıralamanızı iyileştirmesinin nedeni, Google'ın eşdeğer içeriğe sahip web sitelerini karşılaştırırken bir web sitesinin güvenini ve gerçekliğini kontrol etmesidir.

Güvenliğin Google için bir öncelik olduğu gerçeği, Haziran 2014'teki Google I/O konferansında HTTPS'yi tamamen dahil etme ve internet üzerinden tüm iletişimleri varsayılan olarak güvenli hale getirme hedefinin belirlenmiş olmasından görülebilir.

Google sıralamalarının ötesinde HTTPS kullanmak web sitenize olan kullanıcı güvenini de artırabilir. Örneğin, GlobalSign'a göre, kullanıcıların yaklaşık %80'i web sitesinde HTTPS yoksa, satın alma işlemine devam etmemeyi tercih etmektedir.

Ayrıca, yukarıda bahsettiğimiz gibi HTTPS davetsiz misafirlerin bir kullanıcının tarayıcısı ile bir web sitesi arasındaki iletişim hattına saldırmasını engeller. Davetsiz misafirler bazen, web sayfalarında reklam görüntülemek için ağı atlamaya çalışan ISP'ler gibi yasal taraflar olabilir. Ancak, bir kullanıcının bilgisayarına kötü amaçlı yazılım yüklemeye çalışan kötü niyetli saldırganlar da olabilir. Bu kötü amaçlı yazılım, bilgisayar korsanının hedeflenen kişinin faaliyetlerine sürekli erişimini sağlayan arka kapılar gibi kullanıcı deneyimini kurcalayan ve güvenlik boşlukları oluşturan istenmeyen reklamlarla bilgisayarı doldurabilir.

Bilgisayar korsanları, sahte bir isteği gerçekmiş gibi göstererek kullanıcıyı kandırmaya çalışabilir. Örneğin, bir banka hesabından diğerine 100 dolar transfer etmeye yönelik klasik bir GET isteği aşağıdaki şekilde görünebilir:

GET http://www.somebank.com/transfer.do?acct=SomePerson&amount=$100 HTTP/1.1

Ancak, bir bilgisayar korsanı bağlantıyı, tutarın kendi hesabına aktarılacağı şekilde değiştirebilir. Ardından GET isteği aşağıdaki şekilde görünecektir:

GET http://www.somebank.com/transfer.do?acct=Attacker&amount=$100 HTTP/1.1

Bilgisayar korsanı daha sonra bu isteği aşağıdaki gibi masum görünen bir köprüye yerleştirebilir:

Ayrıca, kötü amaçlı komut dosyasını aşağıdaki gibi genişliği ve yüksekliği olmayan bir görüntüde bile gizleyebilir:

Artık bilgisayar korsanının tek yapması gereken, bağlantıyı çok sayıda kullanıcıya yaymak ve banka hesaplarında oturum açmış durumdayken URL'yi tıklamalarını ummaktır. Bunu yaparlarsa, yanlışlıkla banka hesaplarından bilgisayar korsanının banka hesabına 100$ aktarmalarına neden olur.

Bu, Cross-Site Request Forgery kullanılarak bir siber saldırının nasıl gerçekleşebileceğinin basit bir örneğidir. XSRF, Sea Surf veya Session Riding olarak da bilinen Cross-Site Request Forgery, kullanıcıyı bir uygulamada oturum açmışken istenmeyen bir eylem gerçekleştirmeye zorlayan bir siber saldırı vektörüdür.

Bilgisayar korsanları, kullanıcıları istismar etmek için genellikle resimler, tanımlama bilgileri, komut dosyaları ve HTML kullanır. Genellikle, bir bilgisayar korsanının kimliği doğrulanmış kullanıcılardan birinin kimliğine bürünerek iki düğüm arasındaki aktif bir iletişime komutlar eklemesine izin veren bir ortadaki adam saldırısı olan oturum ele geçirmeyi (bazen çerez ele geçirme olarak da anılır) kullanır. Veriler iletişim hattı üzerinden aktarılırken genellikle sniffer'ları kullanır.

TLS Sertifikaları ve HTTPS

HTTPS, verileri gerçekten şifreleyen bir Transfer Layer Security (TLS) sertifikası ile ortak çalışır. Daha önce Secure Socket Layer (SSL) olarak bilinen TLS sertifikaları, Sertifika Yetkilileri (CA) olarak bilinen incelenmiş işletmeler tarafından verilir ve doğrulanır.

Kimliği doğrulanmış sitelerde genellikle çoğu tarayıcı adres çubuğunda bir asma kilit simgesi bulunur. Ziyaretçiler kilide tıkladıklarında sertifikanın ne zaman düzenlendiğini, kime verildiğini ve sertifikanın hangi site için geçerli olduğunu öğrenebilir. Bu, ek bir şeffaflık katmanı sağlar. Bu, web sitesinin ziyaretçi bilgilerini korumak için en güncel yöntemleri kullandığının kanıtıdır.

Bir TLS sertifikası satın alabilir veya birçok hosting veya CDN planı aracılığıyla sunulan ücretsiz bir sürümü kullanabilirsiniz. Bununla birlikte, ücretsiz sertifikalar genellikle yalnızca Domain Validation (DV) sunar; bu, sertifikanın kime verildiği alanı veya herhangi bir işletme doğrulaması içermeyeceği anlamına gelir.

DV, çok fazla hassas kişisel bilgi toplamayan blog ve siteler için uygun olsa da, e-ticaret siteleri için kime verildiği alanına sahip olmak çok önemlidir. Bu durumda, Organizational Validation (OV) veya Extended Validation (EV) sunan bir TLS sertifikası için yılda 100 dolar harcamanız daha iyi olur. İki tür benzer olsa da EV, en sağlam korumayı ve en derin iş doğrulama hizmetlerini sağlar.

HTTPS Nasıl Çalışır?

HTTPS'nin nasıl çalıştığını aşağıda birkaç anahtar kelime ile tanımlayabiliriz:

• Dijital sertifika: Açık anahtar sertifikası veya kimlik sertifikası olarak da bilinen bir dijital sertifika, gönderenin kimliğini doğrulamak ve alıcıya yanıtlarını kodlamak için bir yol sağlamak için kullanılan bir elektronik mesajın ekidir. Bu sertifika, başvuranın genel anahtarını ve diğer kimlik bilgilerini tutan bir Sertifika Yetkilisi (CA) tarafından verilir. CA'nın genel anahtarı internette açık bir şekilde mevcuttur.
• Dijital imza: Dijital imza, çevrimiçi bir belgenin mesaj içeriğinin iletim sırasında kurcalanmamasını sağlamanın bir yoludur.
• Simetrik şifreleme: Simetrik şifrelemede, verilerin hem şifrelenmesi hem de şifresinin çözülmesi için aynı anahtar kullanılır. Hem gönderici hem de alıcı, aralarında değiş tokuş edilen mesajları şifrelemek ve şifresini çözmek için paylaşılan anahtara sahip olmalıdır.
• Asimetrik şifreleme: Asimetrik şifrelemede, bir çift anahtar (biri verileri şifrelemek için, diğeri şifrelenmiş verilerin şifresini çözmek için) kullanılır. Verileri şifrelemek için kullanılana genel anahtar, verilerin şifresini çözmek için kullanılana da özel anahtar denir.

HTTPS Kullanma Nedenleri

Aşağıda HTTPS kullanmanız için önemli nedenleri bulabilirsiniz:

1. Gizlilik

Bu, kimsenin mesajlarınızı dinleyemeyeceği anlamına gelir. Sunucu, tarayıcıya şifrelenmemiş bir mesaj gönderdiğinde, yani HTTPS'siz bir web sitesine göz attığınızda, birisi şifrenizi veya özel bilgilerinizi dinleyebilir.

Tarayıcınızın URL çubuğundaki yeşil asma kilit, mesajınızı/verilerinizi izleyen kimsenin olmadığını söyler.

2. Bütünlük

Bu, mesajın amacına ulaşma yolunda manipüle edilmediği anlamına gelir.

Mesaj şifrelenmediğinde, istemciye ulaşmadan önce birisi mesajı kesebilir.

Buna genellikle ortadaki adam saldırısı denir. Yeşil asma kilit, iletişiminizin kurcalanmadığından emin olmanızı sağlar.

3. Tanılama

Bu mesajın gerçek sunucudan/kaynaktan gelip gelmediğini kontrol edebileceğiniz anlamına gelir.

Bir mesaja eklenmiş bir dijital imza, göndereni tanımlayabilir.

Web'de gezinirken tanımlama, ziyaret ettiğiniz sitenin gerçekten de düşündüğünüz site olduğu anlamına gelir.

SSL sertifikaları aracılığıyla HTTPS, tam olarak beklediğiniz alıcıya bağlanmanızı sağlar.

Bu SSL sertifikası geçerlidir ve yasal bir Sertifika Yetkilisi tarafından verilmiştir.

4. Arama Motoru Optimizasyonu (SEO)

Arama motorları, kullanıcıları için en iyi web sitelerini, yani iyi tasarıma, sorunsuz bir kullanıcı deneyimine ve kullanıcı verilerinin korunmasına sahip siteler sağlamaya çalışır.

HTTPS kullanmak, kullanıcı verilerinizin güvenliğini sağlamak için uygun adımları attığınızı arama motorlarına bildirir. Bu, arama motorlarının, özellikle de 2014'te artık HTTPS'yi sıralama faktörlerine dahil edeceklerini açıklayan Google'ın artmasına neden olabilir. Önemli bir faktör olmasa da, sitelerini HTTPS ile güvence altına almayan rakip işletmeler karşısında size avantaj sağlayacaktır.

5. Uyumluluk

Daha önce belirtildiğimiz gibi, web'in geleceği hem güvenlik hem de bu ek güvenlikten kaynaklanan teknolojik sıçramalar için HTTPS'ye dayanmaktadır. Bundan sonra, HTTPS için optimize edilmemiş siteler, yenilikçi, web tabanlı platformları dahil etme konusunda zorluklarla karşılaşacaktır. HTTPS kullanmıyorsanız, internet geliştikçe gerilemeniz muhtemeldir.

İlk olarak, Google'ın AMP projesinin 2016'da piyasaya sürülmesinden bu yana popülaritesi artan Hızlandırılmış Mobil Sayfaları (AMP) çalıştırmak için HTTPS gereklidir. Basitleştirilmiş format, daha hızlı yükleme süreleriyle sonuçlanır; bir çalışma, yükleme hızları için önemli bir faktör olan sunucu isteklerinde %77'lik bir azalma bulur.

Aşamalı Web Uygulamaları (PWA), HTTPS gerektiren başka bir gelişmekte olan web biçimidir. AMP'ler gibi Progresif Web Uygulamaları da, kullanıcının herhangi bir şey indirmesine gerek kalmadan bir uygulamanın aynı yeteneklerini ve kullanıcı deneyimini sunmasını amaçlar. İyileştirilmiş performans, daha hızlı yükleme süreleri, daha az kullanıcı verisi kullanımı sunar ve dönüşümleri önemli ölçüde artırır. Pinterest, PWA'sını başlattıktan sonra etkileşimde %60'lık bir artışın yanı sıra reklam tıklama oranlarında da %50'lik bir artış keşfetti.

Önümüzdeki yıllarda AMP ve PWA daha yaygın hale geldikçe, çağın önüne geçmek ve sitenizi bu ortaya çıkan biçimler için optimize etmek önemlidir. Bunları kullanmaya karar verseniz de vermeseniz de, bunu hızlı bir şekilde gerçekleştirmek için yerinde HTTPS altyapısına sahip olacaksınız.

6. İtibar

Belki de hepsinden önemlisi, HTTPS'yi benimsemek, özellikle güvenli olmayan sitelere kıyasla ziyaretçileriniz arasında bir güven itibarı oluşturmaya yardımcı olur. Hiçbir ziyaretçi "Güvenli Değil" uyarısının kırmızı X işareti gibi web siteleri görmek istemez. Güvenli olmayan sitelere karşı uyarıda bulunan Chrome ve Firefox gibi çoğu modern tarayıcıda, ziyaretçiler sizinle ilk kez karşılaştıklarında kırmızı bir harfle markalanmak istemezsiniz.

HTTPS, kullanıcılarınızın gizliliğini ve güvenliğini koruyarak web sitenizin bütünlüğünü korur. TLS sertifikasını bir restoranın gıda denetimi gibi düşünün. Restoranlar, işletmenin meşruiyet kazanmak için uygun kanallardan geçtiğini gösterdiği için bu sertifikaları halka açık bir şekilde yayınlar. Aynı şekilde, bir TLS sertifikası, güvenilmeye değer yasal bir işletme olduğunuzu gösterir.

Özetle diyebiliriz ki, HTTPS gibi en son güvenlik protokollerini takip etmek, kullanıcılarınızla güvene dayalı bir ilişki geliştirmenin önemli bir parçasıdır. Adres çubuğunda bu kilitli kutuyu görmek ziyaretçilerinize rahatlık verir ve işletmenize bir sonraki adıma geçecek kadar güvenip güvenmeyeceklerini etkiler.