Https Nedir?
HTTPs (Secure Hypertext Transfer Protocol), HTTP’nin SSL ve TLS protokolleri ile daha güvenli hale getirilmiş bir versiyonudur. SSL ve TLS protokolleri sayesinde web trafiği şifrelenerek bilgi ve veri hırsızlığının önüne geçilmesi hedeflendi. HTTPs’in başka bir artısı ise authentication (kimlik doğrulama) sunmasındır.
HTTP ön tanımlı olarak genellikle 80 portunu kullanırken HTTPs ise ön tanımlı olarak çoğunlukla 443 portunu kullanır.
SEO konusunda rakiplerinden geri kalmak istemeyen web tasarımların yanında son yıllarda popülerliğini iyiden iyiye arttıran e-ticaret web siteleri ve çevrimiçi banka işlemleri HTTPs’in standart web güvenliği haline getirilmesine öncülük etmektedir.
HTTP ve HTTPs’i Kıyaslayalım
Tabii ki de HTTPs denildiğinde akla en başta şifrenlenen web trafiği geliyor. Pekii HTTP bağlantısının bu konu özelinde dezavantajı neydi? Siber güvenlik dünyasında veri hırsızlığından bahsedildiğinde bilindik en etkili yöntemlerden bir tanesi MITM (Man In The Middle) yani başka bir deyişle “Ortadaki Adam” saldırısıdır. Bir siber saldırgan iki bağlantı arasında MITM konumuna gelmiş ise şifrelenmeyen tüm ağ trafiğin açık bir şekilde izleyebilir ve önemli verileri çalabilir. Ayrıca HTTP bağlantısı ile ziyaret edilen web sitelere gidişleri engelleyerek kendisinin zararlı web sitesine çekebilir ve bu web site aracılığıyla kullanıcının zararlı yazılım indirmesini sağlayabilir. Fakat HTTPs bağlantısı kullanıldığı zaman web trafiği şifreli bir yolla gerçekleştiği için MITM konumundaki siber saldırgan veri hırsızlığı gerçekleştiremez ya da gerçekleştirmesi imkansıza çok yaklaşır. Bunun en büyük sebebi ise ilgili web sitenin SSL sertifikasının çeşitli otoriteler aracılığıyla imzalanmasıdır. Bir kullanıcı ilgili web siteye gitmek istediğinde web tarayıcı web sitenin sunucusundan gelen SSL sertifikasının imzasına bakar ve o sertifikanın gerçekten de ilgili web siteye ait olup olmadığını inceler. Eğer sertifika web tarayıcı tarafından doğrulanamaz ise kullanıcının o web siteye erişimi web tarayıcı tarafından engellenir. Buna göre bir saldırganın gerçek bir imzalı SSL sertifikası yaratması imkanlar doğrultusundadır fakat o sertifika web tarayıcının doğrulamasından geçemez.
Avoiding Attack
HTTPs’in diğer bir artısı ise web sunucu tarafından gönderilen dosyaların, imajların vs. 3. parti bir kişi ya da kişiler tarafından bütünlüğünün yani içeriğinin değiştirilmemiş olduğunun kontrol edilebiliyor olduğudur. Bu işlem şöyle gerçekleşir: HTTPs kullanan web sunucuları herhangi bir doküman göndermeden önce o dokümanı dijital olarak imzalar. Daha fazla detaya girmek gerekirse web sunucu dokümanın içeriğinin ve web sitenin dijital sertifikasının kriptografik değerini hesaplar ve bu sayede web sunucusundan gelen dokümanı inceleyen web tarayıcı verilerin bütünlüğünü kontrol eder ve “dokümanın içeriği değiştirilmiş mi?” sorusunu sorar.
Neden HTTPs Kullanmalıyız?
1. Web site içeriğinin bütünlüğü
Eğer bir web site içeriği 3. parti bir kişi ya da kişiler tarafından değiştirilebiliyorsa zararlı bir içeriğin enjekte edilmesi en mümkün olan senaryodur. İşte HTTPs web site içeriklerinin kriptografik olarak değerlerini hesaplayarak web tarayıcıların içerik hakkında doğrulama yapmasını sağlar.
(
2. Kullanıcı verilerinin gizlilik
HTTP bağlantısı kullanıldığında web trafiğinin şifrelenmediğini ve bu sebeple MITM (Man In The Middle) konumundaki siber saldırganların web trafiğini açık açık izleyebildiğinden bahsettik. HTTPs sayesinde şifreli olarak gerçekleşen web trafiği sayesinde artık kullanıcıların verilerinin gizliliği büyük oranda arttı.
3. Kullanıcıların web site hakkında iyi izlenimlere sahip olması
Günümüzdeki web tarayıcılar eğer ziyaret edilmek istenen web site HTTPs bağlantısı kullanımıyorsa “bu web site güvenli değildir” diyerek kullanıcıları bilgilendirmektedir. Tabii ki bu durumun kullanıcıların gözünden bakıldığında sempatik gelmeyen ve endişe verici olduğunu görürüz. Web sitenizi ziyaret eden kullanıcıların bu konudaki negatif düşüncelerini bir kenara atmak için HTTPs bağlantısı tercih etmelisiniz.
4. SEO (Search Engine Optimization)
HTTPs bağlantısı desteği olan web siteler arama motorlarının indekslerinde daha üst sıralara çıkmaktadır. Böylelikle web siteniz arama sonuçlarında daha üstlerde görülmeye başlar. Bu da demek oluyor ki “daha fazla ziyaretçi”.
HTTPs (Secure Hypertext Transfer Protocol), HTTP’nin SSL ve TLS protokolleri ile daha güvenli hale getirilmiş bir versiyonudur. SSL ve TLS protokolleri sayesinde web trafiği şifrelenerek bilgi ve veri hırsızlığının önüne geçilmesi hedeflendi. HTTPs’in başka bir artısı ise authentication (kimlik doğrulama) sunmasındır.
HTTP ön tanımlı olarak genellikle 80 portunu kullanırken HTTPs ise ön tanımlı olarak çoğunlukla 443 portunu kullanır.
SEO konusunda rakiplerinden geri kalmak istemeyen web tasarımların yanında son yıllarda popülerliğini iyiden iyiye arttıran e-ticaret web siteleri ve çevrimiçi banka işlemleri HTTPs’in standart web güvenliği haline getirilmesine öncülük etmektedir.
HTTP ve HTTPs’i Kıyaslayalım
Tabii ki de HTTPs denildiğinde akla en başta şifrenlenen web trafiği geliyor. Pekii HTTP bağlantısının bu konu özelinde dezavantajı neydi? Siber güvenlik dünyasında veri hırsızlığından bahsedildiğinde bilindik en etkili yöntemlerden bir tanesi MITM (Man In The Middle) yani başka bir deyişle “Ortadaki Adam” saldırısıdır. Bir siber saldırgan iki bağlantı arasında MITM konumuna gelmiş ise şifrelenmeyen tüm ağ trafiğin açık bir şekilde izleyebilir ve önemli verileri çalabilir. Ayrıca HTTP bağlantısı ile ziyaret edilen web sitelere gidişleri engelleyerek kendisinin zararlı web sitesine çekebilir ve bu web site aracılığıyla kullanıcının zararlı yazılım indirmesini sağlayabilir. Fakat HTTPs bağlantısı kullanıldığı zaman web trafiği şifreli bir yolla gerçekleştiği için MITM konumundaki siber saldırgan veri hırsızlığı gerçekleştiremez ya da gerçekleştirmesi imkansıza çok yaklaşır. Bunun en büyük sebebi ise ilgili web sitenin SSL sertifikasının çeşitli otoriteler aracılığıyla imzalanmasıdır. Bir kullanıcı ilgili web siteye gitmek istediğinde web tarayıcı web sitenin sunucusundan gelen SSL sertifikasının imzasına bakar ve o sertifikanın gerçekten de ilgili web siteye ait olup olmadığını inceler. Eğer sertifika web tarayıcı tarafından doğrulanamaz ise kullanıcının o web siteye erişimi web tarayıcı tarafından engellenir. Buna göre bir saldırganın gerçek bir imzalı SSL sertifikası yaratması imkanlar doğrultusundadır fakat o sertifika web tarayıcının doğrulamasından geçemez.
Avoiding Attack
HTTPs’in diğer bir artısı ise web sunucu tarafından gönderilen dosyaların, imajların vs. 3. parti bir kişi ya da kişiler tarafından bütünlüğünün yani içeriğinin değiştirilmemiş olduğunun kontrol edilebiliyor olduğudur. Bu işlem şöyle gerçekleşir: HTTPs kullanan web sunucuları herhangi bir doküman göndermeden önce o dokümanı dijital olarak imzalar. Daha fazla detaya girmek gerekirse web sunucu dokümanın içeriğinin ve web sitenin dijital sertifikasının kriptografik değerini hesaplar ve bu sayede web sunucusundan gelen dokümanı inceleyen web tarayıcı verilerin bütünlüğünü kontrol eder ve “dokümanın içeriği değiştirilmiş mi?” sorusunu sorar.
Neden HTTPs Kullanmalıyız?
1. Web site içeriğinin bütünlüğü
Eğer bir web site içeriği 3. parti bir kişi ya da kişiler tarafından değiştirilebiliyorsa zararlı bir içeriğin enjekte edilmesi en mümkün olan senaryodur. İşte HTTPs web site içeriklerinin kriptografik olarak değerlerini hesaplayarak web tarayıcıların içerik hakkında doğrulama yapmasını sağlar.
(
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
)2. Kullanıcı verilerinin gizlilik
HTTP bağlantısı kullanıldığında web trafiğinin şifrelenmediğini ve bu sebeple MITM (Man In The Middle) konumundaki siber saldırganların web trafiğini açık açık izleyebildiğinden bahsettik. HTTPs sayesinde şifreli olarak gerçekleşen web trafiği sayesinde artık kullanıcıların verilerinin gizliliği büyük oranda arttı.
3. Kullanıcıların web site hakkında iyi izlenimlere sahip olması
Günümüzdeki web tarayıcılar eğer ziyaret edilmek istenen web site HTTPs bağlantısı kullanımıyorsa “bu web site güvenli değildir” diyerek kullanıcıları bilgilendirmektedir. Tabii ki bu durumun kullanıcıların gözünden bakıldığında sempatik gelmeyen ve endişe verici olduğunu görürüz. Web sitenizi ziyaret eden kullanıcıların bu konudaki negatif düşüncelerini bir kenara atmak için HTTPs bağlantısı tercih etmelisiniz.
4. SEO (Search Engine Optimization)
HTTPs bağlantısı desteği olan web siteler arama motorlarının indekslerinde daha üst sıralara çıkmaktadır. Böylelikle web siteniz arama sonuçlarında daha üstlerde görülmeye başlar. Bu da demek oluyor ki “daha fazla ziyaretçi”.
