Bu yazımızda HTTP ve HTTPS nedir, SSL sertifikası ne işe yarar sorusuna detaylıca değiniyoruz.
Gittikçe dijitalleşen ve gelişen dünyada hepimizin hayatında artık büyük yer edinen internet ve web siteleri… Bir web sitesinin nasıl yayınlandığını hiç merak ettiniz mi? Hazırsanız web sitelerini yayınlamaya yarayan protokol olan HTTP ve bu protokolün güvenlik eksiliklerini gideren HTTPS’e değinmeye başlayalım.
HTTP ve Web Sitelerinin Doğuşu
Bildiğiniz üzere bir web sitesine girdiğinizde hep adres çubuğunda (URL) HTTP denen bir şey görürüz. Eski tarayıcılarda bir web adresinin başına HTTP eklemeden web sitelerine gidemezdiniz, neyse ki artık buna gerek yok. Adres çubuğuna direkt adresi girer girmez ulaşabilmekteyiz.
HTTP (HyperText Transfer Protocol) adı verilen bu protokol yardımıyla web siteleri yayınlanabiliyor. Şu anda bu yazıyı HTTP protokolünün size göndermiş olduğu verilerin tarayıcıda işlenmesi sayesinde okuyorsunuz. HTTP, CERN laboratuvarlarında kendisinin ortaya atmış olduğu “WordWideWeb” (WWW) projesi kapsamında 1989 yılında bilgisayar bilimci Tim Berners Lee tarafından geliştirildi. Amaç uzaktan bilgi ve yazı alışverişi yapabilmeyi sağlayan bir ortam oluşturmaktı ve oluştu da. HTTP’nin port numarası 80’dir ve bu portlardan iletişim kurulur.
Yine “WWW” projesi kapsamında web sunucular ve web tarayıcılar geliştirildi. İstemci tarafından yapılan HTTP isteklerine bu sunucu yanıt verecek, kullanıcıya yanıt sonrası gerekli verileri aktaracak ve bu verileri tarayıcı işleyerek kullanıcıya ulaştıracaktı. Günümüzde de web sitelerinin çalışması da buna benzer şekilde.
HTTP Artık Güvensiz, Yeni Protokol: HTTPS
İlk çıktığı zamanlarda çoğu ağ protokolünde olduğu gibi güvenlik hesaba katılmadığından HTTP güvenlik riskleri barındıran bir hale geldi. Veriler sunucu ile istemci arasında şifrelenmediğinden araya giren bir saldırgan yardımıyla şifrelenmemiş düz metin olarak kolayca ele geçirilebiliyordu. Bu sorunu aşmak adına HTTP protokolü daha da güçlendirilerek 1994 yılında Netscape tarafından HTTPS standardı geliştirildi ve RFC 2818 ile 2000 yılında resmi olarak ilan edildi.
HTTPS (HyperText Transfer Protocol Secure) adı verilen bu protokol istemci ile sunucu arasında geçen trafiğin Secure Socket Layer (SSL) adı verilen şifreleme yöntemi (daha sonra yerini güvenlik nedeniyle TLS yani Transport Layer Security’e bırakacak) ile şifrelenip saldırgan tarafından ağa yapılacak bir saldırı durumunda verilerin okunamaz halde olmasını sağlar. HTTPS’in port numarası 443’dür.
Örneğin bankanız HTTPS kullanmıyor ise (kullanmayan banka kalmadı, yasal zorunluluk) girmiş olduğunuz kart bilgileri sunucu ile istemci (burada sizin bilgisayarınız) arasında şifrelenmeden iletilir. Saldırgan, Man In The Middle (MITM) adı verilen ortadaki adam tekniği ile bu verileri ele geçirebilir. Tam tersi bir durumda yani bankanız güvenli HTTPS protokolünü kullanıyorsa verileriniz istemci ile sunucu arasında özel bir teknik ile şifrelenir ve saldırgan tarafından okunamayacak hale getirilir. Saldırganın eline geçecek olan tek şey anlamsız bir sürü şey olacaktır.
Web Siteleri Neden HTTPS’e Geçmeli?
Ticari odaklı bir iş yapın veya yapmayın, insanların etkileşimini sağlayan bir siteye sahipseniz kullanıcıların güvenliğini düşünmelisiniz. Aynı saldırıya site sahibi olarak siz de ağınızdaki art niyetli kişi tarafından uğrayabilirsiniz ve saldırgan emeklerinizi hiç edebilir.
Salt güvenlik açısından olaya bakmaz isek Google Chrome 68 sürümü ile artık HTTPS olmayan siteler adres çubuğunda kırmızı yazıyla “güvenli değil” olarak gösteriliyor ve bu sitelere girilmesi pek tavsiye edilmiyor. Bu projeniz için itibar kaybına neden olabilir. Google’a giden ve Google’dan gelen gelirin birçoğu reklamlar olduğundan, kullanıcıların geri dönüş sağlamadığı güven vermeyen bir siteden kazanç sağlamaya çalışmak oldukça mantıksız.
Reklamverenler için de şimdiye kadar bahsettiğimiz şeyler geçerli. Google Ads, 2018 yılından itibaren HTTP reklam sayfalarını HTTPS’e yönlendirdi ve reklam verenler tarafından HTTPS kullanılması için uyarılar yaptı.
SEO açısından da HTTPS kullanmanın önemi büyük. Zira Google arama motorunda HTTPS kullanan siteler diğerlerine göre daha üst sıralarda yer almakta. Bunu çokça kez duyduğunuzdan eminim. Yalnız dikkat çekmek isteriz ki günümüzde AMP kullanan sitelerde yaşanan trafik artışı göz ardı edilemez. Google AMP özelliğini ise yalnızca HTTPS kullanan siteler aktif edebilir.
Sitemi Nasıl HTTPS’e Geçiririm?
Web sitenizde HTTPS protokolü kullanmak istiyorsanız bir SSL sertifikası edinmelisiniz. HTTPS’de istemci ile sunucu arasındaki veri trafiğinin şifrelenmesi, verilerin iletişiminin doğrulanması gibi şeyler bu sertifika ile sağlanır. Temelde elinizde web sunucunuza tanımlayabileceğiniz bir SSL sertifikası yoksa sitenizi HTTPS’e yönlendirmeniz bir işe yaramayacaktır.
SSL Sertifikası Nasıl Elde Edilir ve Türleri Nelerdir?
SSL sertifikası edinebilmek için genelde bu işle ilgilenen sertifika sağlayıcıları bulunur. Ücretli ve ücretsiz şekilde SSL sertifikası edinmek mümkün. Sıradan bir blog sayfası veya hobi amaçlı açtığınız sitelerde ücretsiz olan Let’s Encrypt’ı kullanabilirsiniz.
Kurumsal firmaların ücretli sertifika sağlayıcılarını tercih etmelerinin en büyük nedeni, bu firmaların şifreleme yönteminin kırılması durumunda yaşanacak kayıpları sertifika türüne göre karşılayabileceklerinin sözünü vermelerindendir.
Ücretli sertifika sağlayıcılarının sunmuş olduğu çeşitli sertifika türleri bulunmakta ve ücretleri de buna göre değişmekte.
SSL sertifikaları türlerine göre ve alan adlarına göre olmak üzere ikiye ayrılır.
Türlerine Göre SSL Sertifikaları
- Domain Validation (DV/Alan Adı Doğrulama): Alan adına ait sunucuyu doğrulayan ve kısa bir süre içinde onaylanan, kolayca edinebileceğiniz bir SSL sertifikası türü. Tek bir domaini güven altına alır. Edinilen sertifika hosting yönetim panelinden uygun şekilde kurulduktan sonra adres çubuğunda sitenin güvenli olduğuna dair yeşil anahtar simgesini görebilirsiniz. 256 bit şifreleme ile gelmekte.
- Organization Validation (OV/ Organizasyon ve İşletme Doğrulama): Çeşitli kuruluşlar ve organizasyonları doğrulayan güvenilirliği yüksek bir sertifika türüdür. Web tarayıcılarda yeşil kilit simgesine tıklandığında organizasyona ait bilgi edinilebilir. Yüksek hassasiyetli bilgi alışverişi yapılan platformlarda kullanılır. 256 bit şifreleme ve RSA-2048 ile gelen bu sertifikanın normal DV türü sertifikaya göre onayı biraz daha fazla zaman alır.
- Extended Validation (EV/Genişletilmiş Doğrulama): Genel itibariyle büyük kuruluş ve işletmelere sunulan bir SSL sertifikasıdır. Çok yüksek güvenilirlik sunar ve adres çubuğunda yeşil kilit simgesinin yanında kurum adı ve unvanı da yazar. Sertifika sağlayıcı firma başvuran kuruluşu onay sürecinde detaylıca inceler. Bu nedenle onayı diğer türlere göre çok daha uzun sürebilmektedir. EV türü SSL sertifikaları genelde birden çok alan adına da tanımlanabilecek şekilde olurlar.
Alan Adlarına Göre SSL Sertifikaları
SSL sertifikaları alan adlarına göre üçe ayrılır.
- Standart: Tek domain için sunulan sertifika.
- Multidomain: Adı üstünde birden fazla domain için imzalanan sertifika.
- Wilcard: Alan adı üzerindeki sınırsız sayıda alt alan adına (subdomain) tanımlanabilen sertifika.
Hangi SSL Sertifikası Tercih Edilmeli?
Makalemiz boyunca HTTPS nedir ve SSL sertifikası ne işe yarar sorusunu detaylıca cevaplamaya çalıştık.
Hangi sertifikayı edinmeniz gerektiği hangi amaçla web sitesi kurduğunuza göre değişebilmekte. Kişisel blog veya sıradan topluluklar gibi web siteleri için normal DV SSL tercih edilebilir. Daha büyük işletmeler veya organizasyonlar için ihtiyaçlar doğrultusunda OV veya EV türü SSL sertifikalarının tercih edilmesi daha mantıklı olacaktır.
Bahsettiğimiz gibi kişisel blog veya topluluklar gibi normal web siteleri için ise SSL sertifikası olarak ücretsiz Let’s Encrypt gayet yeterli gelmekte.
DV türü kabul gören ücretsiz sertifikalar ile ücretli olanlar arasındaki tek fark, güvence ve sertifikaya ait şifrelemenin kırıldığının ortaya çıkması durumunda ödenecek olan bir nevi sigorta. Ücretli olanlar bu garantiyi verirken ücretsiz olanlarda ise bulunmamakta.
Her ne olursa olsun günümüzde yeni bir web sitesi açacaksanız artık HTTPS desteklemesi gerektiğini düşünüyoruz. Hem SEO açısından hem de sitenizin itibarı açısından bu protokolün nimetlerinden yararlanmak oldukça önemli hale geliyor. Okurlarımızın da güvenli olmayan web sitelerine herhangi bir kişisel bilgi girmemelerini, bilgisayarlarına güvensiz sertifikaları kurmamalarını öneriyoruz.
Sizlerin de eklemek istediği bir şey varsa yorumlarda belirtebilir, sorularınız için Technopat Sosyal’de konu açabilirsiniz.
