HTTPS Nedir? HTTP ve HTTPS Arasındaki Farklar

Çevrimiçi güvenlik, hem bireyler hem de işletmeler için büyük bir endişe kaynağıdır. Bu yüzden internette gezinirken, yaygın olarak kullanılan iki protokol olan HTTP ve HTTPS arasındaki temel farkı anlamak çok önemlidir. 

HTTP Nedir?

HTTP veya Hypertext Transfer Protocol, World Wide Web'deki veri iletişiminin temelidir. Bir web tarayıcısı ile bir web sunucusu arasında bilgi aktarımını sağlar. Bir web sitesinin URL'sini tarayıcınıza girdiğinizde, istenen web sayfasını almak için bir HTTP isteği başlatır.

HTTP, köprü metni belgeleri, resimler, videolar ve diğer medya kaynakları dahil olmak üzere çeşitli veri türlerinin değiş tokuşuna izin verir. Bir istemcinin bir sunucuya istek başlattığı ve sunucunun istenen verilerle yanıt verdiği bir istemci-sunucu modelinde çalışır.

HTTP, durum bilgisiz bir yaklaşım izler, yani her istek, önceki etkileşimler hakkında herhangi bir bilgi tutulmadan bağımsız olarak ele alınır. GET, POST, PUT, DELETE ve diğerleri gibi standartlaştırılmış yöntemlerle HTTP, web üzerindeki kaynakların alınmasını, sunulmasını, değiştirilmesini ve kaldırılmasını kolaylaştırır. Bu protokol, World Wide Web'de kesintisiz tarama ve verimli bilgi iletişimini sağlamada temel bir rol oynar.

HTTPS Nedir?

HTTPS veya Hypertext Transfer Protocol Secure, HTTP'nin geliştirilmiş ve güvenli bir sürümüdür. Bir kullanıcının tarayıcısı ile bir web sitesinin sunucusu arasında iletilen hassas verileri korumak için ek bir şifreleme katmanı kullanır. Bu şifreleme, şifreli bir bağlantı kuran ve verilerin gizli ve kurcalamaya karşı korumalı kalmasını sağlayan Transport Layer Security (TLS) veya Secure Sockets Layer (SSL) protokolleri kullanılarak elde edilir.

HTTPS’in birincil amacı, istemci ile sunucu arasında değiş tokuş edilen verilerin gizliliğini, bütünlüğünü ve gerçekliğini sağlamaktır. Bu, iletilen verileri şifreleyen ve yetkisiz varlıklar tarafından okunamaz hale getiren kriptografik algoritmaların kullanılmasıyla elde edilir. Ayrıca HTTPS, sunucunun kimliğini doğrulamak ve güvenilir bir bağlantı kurmak için Atak Domain gibi güvenilir sertifika yetkilileri tarafından verilen dijital sertifikalardan yararlanır.

Oturum açma kimlik bilgileri, finansal işlemler veya kişisel veriler gibi hassas bilgiler aktarılırken HTTPS özellikle çok önemlidir. Sağlam şifreleme mekanizmaları kullanarak HTTPS, ortadaki adam saldırıları, veri kurcalama ve kimliğe bürünme ile ilişkili riskleri azaltır. Bu gelişmiş güvenlik, hassas verilerin aktarım sırasında özel ve değiştirilmeden kalmasını sağlayarak kullanıcı güvenini artırır ve çevrimiçi iletişim kanallarının bütünlüğünü korur.

HTTPS Kullanmanın Avantajları

Aşağıdakiler, web sitenizde HTTPS kullanmaya başlarsanız veya bir SSL sertifikası kullanırsanız elde edeceğiniz avantajlardır.

1. Kullanıcılar ve Web Tarayıcıları Tarafından Güvenilir

HTTPS, bilgisayar korsanlarının veri çalma girişimlerini en aza indirecek şekilde iletişimleri şifrelemek için SSL veya TLS sertifikaları kullanan bir protokoldür.

SSL (Secure Socket Layer) veya TLS, kullanıcılara bağlı oldukları ve verilerinin web sitesi sunucunuzda korunduğu konusunda bilgi verecektir.

Bu şekilde, bir web sahibi olarak çeşitli siber saldırı türlerini önleyebilirsiniz.

Bazı kullanıcılar SSL veya TLS'nin faydalarını fark etmese de, modern web tarayıcıları bir web sitesinin güven faktörünü önemseyecektir.

2. Web Sitesi İletişimi Daha Güvenlidir

HTTPS protokolü, çevrimiçi iletişimleri ve etkileşimleri güvenli tutar. Böylece bilgisayar korsanları, sunucu tarafından gönderilen hiçbir veriyi çalamaz.

Örneğin, bir kullanıcı bir hesaba giriş formu doldururken kullanıcının kullanıcı adı ve şifresi çalınamaz.

Bir web sitesi veya web uygulamasının kullanıcılara hassas veya kişisel veriler (örneğin, banka hesabı bilgileri) iletmesi gerekiyorsa, şifreleme işlemi bu verileri de korur.

HTTP Sınırlamaları

• Herkes içeriği görebileceği için gizlilik yoktur
• Birisi içeriği değiştirebileceğinden veri bütünlüğü büyük bir sorundur. Bu nedenle HTTP protokolü, herhangi bir şifreleme yöntemi kullanılmadığından güvenli olmayan bir yöntemdir.
• İsteği kesen herkes kullanıcı adını ve şifreyi alabilir.

HTTPS Sınırlamaları

• HTTPS protokolü, tarayıcıda önbelleğe alınan sayfalardan gizli bilgilerin çalınmasını durduramaz
• SSL verileri yalnızca ağdaki iletim sırasında şifrelenebilir. Böylece tarayıcı belleğindeki metni temizleyemez.
• HTTPS, hesaplama yükünü ve ayrıca işletmenin ağ yükünü artırabilir.

HTTP ve HTTPS Arasındaki Fark

Aşağıdaki tabloda HTTP ve HTTPS arasındaki farkları bulabilirsiniz:

HTTP	HTTPS
HTTP, Hypertext Transfer Protocol anlamına gelir.	HTTPS, Hypertext Transfer Protocol Secure anlamına gelir.
HTTP verileri düz metin olarak gönderir.	HTTPS, SSL/TLS protokollerini kullanarak verileri şifreler.
HTTP, varsayılan olarak 80 numaralı bağlantı noktası üzerinden çalışır.	HTTPS, 443 numaralı bağlantı noktası üzerinden çalışır.
HTTP yoluyla iletilen verilere şifreleme uygulanmaz.	HTTPS, veri iletimini güvenli hale getirmek için şifreleme kullanır.
HTTP, sunucunun kimliğini doğrulamaz.	HTTPS, dijital sertifikalar kullanarak sunucunun kimliğini doğrular.
HTTP genellikle genel web sitesi taraması için kullanılır.	Parolalar veya kredi kartı bilgileri gibi hassas bilgilerin iletilmesi için HTTPS tercih edilir.
HTTP daha az kaynak yoğundur.	HTTPS, şifreleme ve şifre çözme işlemleri nedeniyle biraz daha fazladır.
HTTP URL'leri "http://" ile başlar.	HTTPS URL'leri "https://" ile başlar.

SSL Sertifikası Nedir?

SSL (Secure Sockets Layer) sertifikası, web siteleri için şifreleme ve kimlik doğrulama sağlayan çok önemli bir dijital güvenlik kimlik bilgisidir. HTTPS'nin bir web sitesinde uygulanması, geçerli bir SSL sertifikasına sahip olmayı gerektirir. Bir web sitesinde bir SSL sertifikası olduğunda, kullanıcının tarayıcısı ile web sunucusu arasında güvenli bir bağlantı kurarak verileri yetkisiz erişime veya müdahaleye karşı korur. Bu sertifika, bilgisayarınız ile hosting sunucusu arasındaki aktarım sırasında verileri şifreler. Hem bir genel anahtardan hem de bir özel anahtardan oluşan bu anahtar, birincisini şifreleme için kullanırken, ikincisi bilginin şifresini çözer.

SSL sertifikalarının verilmesi, Atak Domain gibi saygın kuruluşlar tarafından gerçekleştirilir. Sertifika yetkilileri, bir sertifika vermeden önce bir web sitesinin kimliğini titizlikle doğrulama görevini üstlenir. 

Sonuç olarak, bir kullanıcı bir web sitesine eriştiğinde, tarayıcıları sitenin SSL sertifikasının meşruiyetini özenle inceler. Geçerli bir sertifikanın güven verici bir göstergesi, adres çubuğunda yeşil bir asma kilit simgesinin bulunması, olmaması ise bir uyarı mesajının görüntülenmesini sağlar. Bu nedenle SSL sertifikası, çevrimiçi etkileşimlerin güvenliğini ve gerçekliğini sağlamada çok önemli bir rol oynar.

TLS Sertifikası Nedir?

TLS (Transport Layer Security) sertifikaları, SSL sertifikalarının halefidir ve çevrimiçi iletişimler için gelişmiş güvenlik sunar. TLS, sunucular arasında iletilen verilerin şifrelenmesini ve doğrulanmasını sağlayarak gizliliği ve bütünlüğü sağlar. Gizli dinleme, kurcalama ve veri ihlallerine karşı koruma sağlar. SSL ve TLS sıklıkla birbirinin yerine kullanılsa da, TLS gelişmiş güvenlik sunar ve SSL'ye kıyasla daha dayanıklı şifreleme algoritmaları kullanır.

SSL/TLS Sertifikaları Neden Önemlidir?

Secure Sockets Layer/Transport Layer Güvenliği, SSL/TLS olarak kısaltılır. Bilgisayar sistemleri arasında güvenli çevrimiçi iletişimi sağlayan bir protokol veya iletişim kılavuzudur. Web tarayıcıları, SSL/TLS protokolünü kullanan web sitelerini algılayabilir ve SSL/TLS sertifikalarının kullanımıyla bunlara güvenli ağ bağlantıları oluşturabilir.

SSL/ TLS handshake

TLS/SSL handshake, bir istemci ile sunucu arasında güvenli bir bağlantı kurmak için kritik bir süreçtir. Transport Layer Security (TLS) veya Secure Sockets Layer (SSL) protokollerine dayalı olarak, iletilen verilerin gizliliğini, bütünlüğünü ve gerçekliğini sağlar.

TLS/SSL anlaşması sırasında, güvenli bağlantıyı başlatmak ve müzakere etmek için bir dizi adım gerçekleştirilir. İlk olarak, istemci, sunucuya desteklenen şifreleme algoritmalarını ve diğer parametreleri belirten bir "ClientHello" mesajı gönderir. Sunucu, şifreleme algoritmasını seçerek ve genel anahtarını içeren dijital sertifikasını sağlayarak bir "ServerHello" mesajıyla yanıt verir. İstemci, devam etmeden önce sertifikanın geçerliliğini ve gerçekliğini doğrular.

Ardından, verileri şifrelemek ve şifresini çözmek için yalnızca istemci ve sunucu tarafından bilinen simetrik bir oturum anahtarı oluşturulur. Bu anahtar, asimetrik şifreleme teknikleri kullanılarak güvenli bir şekilde değiştirilir. El sıkışma işlemi, sunucunun kimliğinin doğrulanması, desteklenen şifreleme parametrelerinin belirlenmesi ve paylaşılan bir şifreleme algoritması üzerinde anlaşmaya varılması gibi ek adımları da içerir.

TLS/SSL el sıkışması, güvenli bağlantının başarıyla kurulduğunu gösteren "Finished" mesajıyla sona erer. Bu noktadan itibaren, istemci ve sunucu, üzerinde anlaşmaya varılan şifreleme algoritmasını ve paylaşılan oturum anahtarını kullanarak iletişim kurar.

HTTP'yi HTTPS'le Değiştirme

HTTPS üzerinde değişiklik yapmak istiyorsanız öncelikle SSL sertifikanızın olması gerekmektedir.

HTTP protokolünü HTTPS'den ayıran şey SSL sertifikasıdır.

HTTP protokolü bir SSL sertifikası gerektirmezken, HTTPS bir SSL sertifikası gerektirir.

SSL sertifikasının türü, her SSL için güvenlik düzeyi algoritmasına bağlı olarak değişir.

EV tipi, en yüksek güvenlik seviyesine sahip olan tiptir.

Genellikle bu tür, yüksek düzeyde güvenlik gerektiren banka web siteleri için kullanılır.

SSL sertifikanızı aldıktan sonra sıradaki adım hostinginize veya web sitenize SSL kurulumu yapmaktır.

SSL'yi kurmadan önce yapmanız gereken birkaç hazırlık vardır, yani SSL sertifikasının etkinleştirilebilmesi için bir CSR, Özel ANAHTAR, CRT ve CABUNDLE edinmelisiniz.

Aldıktan sonra cPanel'e giriş yapıp SSL'e giderek SSL kurulumuna başlayabilirsiniz.

Daha sonra tüm bileşenler, CA (Sertifika Yetkilisi) ve web tarayıcıları tarafından doğrulanabilmeleri için SSL menüsüne girilecektir.