HTTPS Nedir, Nasıl Çalışır? Web Siteleri Neden HTTPS Protokolüne Geçmelidir?

HTTPS Nedir, Nasıl Çalışır? Web Siteleri Neden HTTPS Protokolüne Geçmelidir?
Hosting Fiyatları

İnternet kullanımı son 10 yılda katlanarak arttı. Bununla birlikte, siber suç ve bilgisayar korsanlığı da aynı oranda artış gösterdi. Bu yüzden Google, siber suçlarla mücadele etmek için HTTPS’yi bir sıralama sinyali olarak duyurdu. Şirket ayrıca HTTPS’ye sahip olan web sitesinin arama sonuçlarında daha yüksek bir sıralamaya sahip olacağını da ifade etti. O zamandan bu yana çok sayıda web sitesi daha güvenli olan HTTPS seçeneğini tercih etti ve etmeye devam ediyor.

HTTPS Nedir?

HTTPS Nedir?

Basitçe ifade etmek gerekirse, HTTPS protokolü HTTP’nin bir uzantısıdır. Kısaltmadaki “S” Secure kelimesinden gelir ve bir web sunucusu ile tarayıcı arasında şifreli bir bağlantı kuran standart güvenlik teknolojisi olan Transport Layer Security (TLS) tarafından desteklenir.

HTTPS olmadan, siteye girdiğiniz tüm veriler (kullanıcı adınız/şifreniz, kredi kartı veya banka bilgileriniz, diğer form gönderme verileri vb. gibi) düz metin olarak gönderilir. Bu da verilerinizin ele geçirilmesine veya gizlice dinlenmesine neden olabilir. Bu nedenle, herhangi bir bilgi girmeden önce her zaman bir sitenin HTTPS kullanıp kullanmadığını kontrol etmeniz şarttır.

TLS, sunucu ile tarayıcınız arasında iletilen verileri şifrelemenin yanı sıra bağlandığınız sunucunun kimliğini de doğrular ve iletilen verileri görüntülenmeye karşı korur.

HTTPS Kullanım İstatistikleri

HTTPS Kullanım İstatistikleri
  • Watchguard tarafından yapılan bir araştırmaya göre, Alexa Top 100.000 web sitesinin yaklaşık %21’i hala HTTPS kullanmıyor.
  • Google tarafından yapılan bir araştırmaya göre, Ocak 2021’de Chrome’da tüm platformlarda yüklenen sayfaların %89’u HTTPS üzerindendi. Bu rakamk Nisan 2015’te ortalama %40 gibi düşük bir orandı. Google verileri toplamaya başladığından beri bu oran iki katına çıktı. Rakam farklı platformlar arasında değişiklik gösterse de, ortalama neredeyse %90’dır. Sadece Linux %77 ile geride kalır. Chromecast’te HTTPS yüklenen sayfaların sayısı %97’dir.
  • Google tarafından yapılan bir araştırmaya göre, Chrome’da gezinme süresinin %93,2’si HTTPS sayfalarında harcanmaktadır. Platformlar arasındaki fark burada daha da küçüktür. Yine, Chromecast ve Mac sırasıyla %98 ve %97 ile liderdir. Linux %86 ile son sırada yer alırken, Android ve Windows’un her ikisi de yaklaşık %94’e sahiptir.

HTTPS Nasıl Çalışır? Çalışma Prensibi

HTTPS Nasıl Çalışır? Çalışma Prensibi
Kaynak: geeksforgeeks

HTTPS, SSL veya TLS kullanarak şifreleme sağlar. Açık anahtar ve özel anahtar olmak üzere iki anahtarlı asimetrik anahtar yöntemine dayalı olarak hem SSL hem de TLS protokolleri kullanılır. İki anahtar birbirine bağlıdır ve uyum içinde çalışır.

Özel anahtar söz konusu web sitesinin web sunucusunda saklanırken, açık anahtarlar sertifikalar aracılığıyla istemcilere veya web tarayıcılarına iletilir.

HTTPS, kullanıcının tarayıcısı ile sunucu arasında gerçekleşen tüm veri alışverişini şifreleyerek sunucu ile tarayıcı arasında iletilirken hiçbir şeyin okunamamasını sağlar.

Özel bir şifreleme anahtarı (rastgele sayılardan oluşur) ve şifreleme algoritması gönderenin tarafındaki verileri şifreler. “Şifre” terimi bu şifrelenmiş veriler için de geçerlidir. Orijinal veri, diğer uçtaki veya alıcının ucundaki bu şifreli metnin şifresini çözmek için şifreleme prosedürünün tersi kullanılarak kurtarılır.

Simetrik şifreleme, şifreleme anahtarı her iki uçta da (tarayıcı ve sunucu) aynı olduğunda kullanılır.

HTTPS Protokolünün Önemi

HTTPS, kullanıcıların bir web sitesine gönderdiği ve aldığı oturum açma bilgileri veya kredi kartı bilgileri gibi hassas verileri korumak için şifreleme kullanır. Ayrıca, kullanıcının tarayıcısı ile web sunucusu arasında iletilen verilerin iletim sırasında değiştirilmediği durumlarda veri bütünlüğü sağlar. Bu, bilgisayar korsanlarının bu verileri ele geçirmesini veya çalmasını önlemeye yardımcı olabilir.

HTTPS, kullanıcının ziyaret ettiği web sitesinin gerçek bir web sitesi olduğunu doğrular. Bu, kimlik avı saldırılarını önlemeye ve ziyaretçilerle güven oluşturmaya yardımcı olabilir.

Birçok sektörün veri güvenliği ve gizliliği için yasal gereksinimleri vardır ve HTTPS kullanmak, bu gereksinimlerin karşılanmasına yardımcı olabilir.

Web Siteleri Neden HTTPS Protokolüne Geçiş Yapmalıdır?

Bariz güvenlik avantajlarının ötesinde, HTTPS’ye geçmeyi gerçekten düşünmeniz için birkaç neden vardır. Bunlar aşağıdaki şekildedir:

1. Kullanıcı deneyimi ve güven 

Site ziyaretçilerinize sitenizin güvenli ve emniyetli olduğu konusunda gönül rahatlığı sağlamanıza olanak tanır. Eğer https kullanmıyorsanız ve sitenizde şifreler, ödemeler ve hatta herhangi bir form (e-posta kayıtlarını düşünün) toplanıyorsa, Chrome sitenizi “güvenli değil” olarak etiketleyerek kullanıcı güvenini azaltabilir.

2. SEO sıralaması 

HTTPS, Google’ın siteleri nasıl sıraladığı konusunda giderek daha büyük bir rol oynamaktadır. Moz.com tarafından yakın zamanda yapılan bir analize göre, Google aramaları için ilk sayfa sıralamalarının yarısından fazlası artık HTTPS’dir. Google bir süredir bunun gelecekte daha da güçlü bir sıralama sinyali haline gelebileceğini belirmişti. Bu yüzden HTTPS’ye geçmezseniz, gelecekteki gönderilerinizin potansiyel erişimine zarar verebilirsiniz.

3. Pagespeed Performansı

Google’ın 2016 Web App Summit’te belirttiği gibi, güvenli protokolden yararlanmak site hızınızı 1,25 kat artırabilir.

HTTPS Nasıl Kurulur?

Öncelikle web sitenizde HTTPS güvenliği için bir SSL sertifikası almanız gerekir. Çoğu sertifika kuruluşu bunu bir ücret karşılığında yapar.

SSL sertifikası ayrıca premium web hosting paketleriyle birlikte de gelir. Sağlayıcılar temel seviye paketlerde, HTTPS’yi ücretsiz sağlasalar bile hosting planını yenilediğinizde, bu ücretsiz özellik genellikle ücretli bir sertifika haline gelir.

HTTPS almak için sertifika başvurusunda bulunmanız gerekir ve bazı formaliteler ve kontrollerden sonra sertifika kurumu size istediğiniz sertifikayı verir. Sertifikanın web sitesinin barındırıldığı web sunucusuna yüklenmesini gerekir. Her web hosting platformunda, sertifikayı yüklemek için basit bir prosedür vardır. 

Ayrıca sertifikanın periyodik olarak yenilenmesi gerekir.

LetsEncrypt tamamen güvenilir ücretsiz bir SSL sertifikasıdır. Normal bir web sitesi için (parasal işlemler yapmadığınız veya gizli bilgileri paylaşmadığınız), bu temel sertifika yeterlidir.

Blogunuz WordPress, Blogger, Tumblr veya Medium gibi ücretsiz bir blog platformundaysa, HTTPS güvenliği konusunda endişelenmenize gerek yoktur. 

WordPress Sitesine HTTPS Nasıl Kurulur?

Genellikle WordPress hosting tarafından sağlanan ücretli SSL sertifikalarının ücretsiz SSL’e göre bir avantajı vardır: teknik destek.

Ücretsiz SSL sertifikaları Let’s Encrypt gibi kâr amacı gütmeyen kuruluşlar veya Sucuri gibi güvenlik duvarı çözümü sağlayıcıları aracılığıyla temin edilebilir. CloudFlare de ücretsiz planlarıyla birlikte gelen ücretsiz SSL sertifikaları sunar. Ücretsiz SSL, teknik destek seçeneği ile birlikte gelebilir ya da gelmeyebilir. Bu, abonelik türünüze bağlıdır (Sucuri ya da CloudFlare üzerinden sipariş veriyorsanız).

Fakat artık çoğu hosting sağlayıcısı Let’s Encrypt ücretsiz SSL sertifikalarını destekler ve bunlar için kapsamlı kurulum kılavuzları sunar. Bu sayede SSL sertifikası yüklemek, sizin çok az müdahalenizi gerektiren oldukça basit bir işlem haline gelecektir. 

Peki bu işlem WordPress’te nasıl yapılır diyorsanız, öncelikle Ayarlar → Genel → bölümüne gidin, WordPress Adresi ve Site Adresi’ni bulun ve her iki durumda da “http“yi “https” olarak değiştirin.

Alternatif olarak, sitenizi SSL üzerinden çalışacak şekilde ayarlamak için bir eklenti de kullanabilirsiniz. Bu tür eklentiler tüm manuel işleri sizin için tamamlar, ancak yine de bir SSL sertifikası satın almanız veya ücretsiz bir tane edinmeniz gerekir. 

HTTPS kurulumu için bazı eklenti önerileri aşağıdaki şekildedir:

  • Really Simple SSL sadece kurulum ve aktivasyon gerektiren hafif bir eklentidir. HTTPS üzerinden çalışacak şekilde yapılandırmak için “.htaccess” dosyanızda değişiklikler yapacaktır.
  • WP Force SSL HTTP trafiğini HTTPS’ye zorla yönlendirir ve kodlama ile uğraşmanıza gerek kalmaz. Tek yapmanız gereken yönetici panelinizin genel ayarlarında (WordPress Adresi ve Site Adresi) HTTP’yi HTTPS olarak değiştirmek.
  • SSL’niz için Cloudflare kullanıyorsanız, kodu manuel olarak değiştirmek zorunda kalmamak için Cloudflare SSL eklentisini kullanmayı düşünebilirsiniz.

Okumanızı öneririz: WordPress SSL (http to https) Yönlendirme

HTTP vs. HTTPS Arasındaki Farklar 

Bu iki terim arasındaki temel fark, HTTPS’nin normal HTTP istekleri ve yanıtları için bile TLS (SSL) şifrelemesini kullanmasıdır. Bu yüzden HTTPS, HTTP’den daha güvenlidir.

http://https://
Fonksiyonları uygulama katmanındadır.Taşıma katmanında çalışır.
Güvenlikten yoksundur ve bu nedenle bilgisayar korsanlarına karşı savunmasızdır.Sunucu ve istemci arasındaki iletişimi korumak için SSL veya TLS Dijital Sertifikası sunar.
Varsayılan olarak 80 numaralı bağlantı noktasında çalışır.Varsayılan olarak 443 numaralı bağlantı noktasında çalışır.
Değiş tokuş edilen veriler düz metindir ve gönderilmeden önce karıştırılmaz.Veri alışverişi şifreli veya şifrelenmiş metin olarak gerçekleşir ve veriler gönderilmeden önce karıştırılır.
HTTP, HTTPS’ye kıyasla daha hızlıdır.Hesaplama gücü, iletişim kanalını şifrelemek için HTTPS tarafından tüketilir, bu nedenle yavaştır.
Arama sıralamalarını iyileştirmeye yardımcı olmaz.Arama sıralamalarını iyileştirmeye yardımcı olur.

Okumanızı öneririz: HTTP Nedir, Nasıl Çalışır? HTTP vs. HTTPS Arasındaki Farklar

HTTP’yi HTTPS’e Yönlendirme Nasıl Yapılır?

Web sitenizde zaten yayınlanmış bazı içerikler varsa, bir yönlendirme ayarlamanız gerekir. Bunun için öncelikle web hosting hizmetinizin ana dizinine gidin, genellikle “htdocs” olarak adlandırılır veya bazı durumlarda sitenizin adından sonra adlandırılır. Bir “.htaccess” dosyası bulun ve aşağıdakileri ekleyin:

RewriteEngine On
RewriteCond %{SERVER_PORTZ} 80
RewriteRule ^(.*)$ https://www.[alanadi].com/$1 [R,L]

İnternet Sitesinin HTTPS Protokolüne Sahip Olduğu Nasıl Öğrenilir?

Bir web sitesinin HTTPS kullanıp kullanmadığını anlamak için aşağıdaki ipuçlarından yararlanabilirsiniz:

1. URL’ye bakın

Web tarayıcınızın adres çubuğunda site adresini kontrol edin. HTTPS kullanan bir site “https://” ile başlarken HTTPS kullanmayan siteler genellikle “http://” ile başlar. 

2. Kilit ikonunu kontrol edin

HTTPS kullanan siteler genellikle tarayıcınızın adres çubuğunda bir kilit simgesi ile gösterilir. Bu genellikle sol üst köşede veya adres çubuğunun yanında yer alır. Kilit simgesine tıkladığınızda, kimlik doğrulama bilgileri, sertifika sağlayıcısı gibi bilgileri görebilirsiniz.

3. Yeşil adres çubuğu

Bazı tarayıcılar, güvenli HTTPS bağlantıları için adres çubuğunu yeşil renkle vurgulayabilir. Bu, siteyi ziyaret ettiğinizde görsel olarak güvenli bir bağlantı olduğunu belirtir.

4. “Not Secure” uyarısı

HTTPS kullanmayan bazı siteler, tarayıcınızın adres çubuğunda “Not Secure” (Güvenli Değil) uyarısıyla işaretlenebilir. Bu tür sitelerde veriler şifrelenmeden iletilir, bu nedenle özel bilgilerinizi paylaşırken dikkatli olmanız gerekir.

5. Tarayıcı uyarılarına dikkat edin

Tarayıcınız, güvenli olmayan veya şüpheli siteleri ziyaret ettiğinizde uyarı mesajları gösterebilir. Bu uyarılara dikkat etmek ve güvendiğiniz siteleri tercih etmek önemlidir.

HTTPS ve Güvenlik

HTTPS kullanılarak gönderilen veriler, bilgileriniz için üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (TLS) ile güvence altına alınır:

Şifreleme – Dinleyicilere karşı güvende tutmak için değiş tokuş edilen verilerin şifrelenmesini içerir. Şifreleme, gezinirken hiç kimsenin konuşmalara izinsiz girememesini, sayfalar arasındaki etkinlikleri izleyememesini veya herhangi bir bilgiye erişememesini sağlar.

Veri bütünlüğü – Bu, verilerin aktarım sırasında tehlikeye atılamayacağı ve verilerde yapılan herhangi bir değişikliğin kolayca tespit edilemeyeceği anlamına gelir.

Kimlik doğrulama – Bu, kullanıcıların doğru web sitesinde olmasını sağlar. HTTPS kimlik doğrulaması ortadaki adam saldırılarına karşı koruma sağlar ve kullanıcı güveni oluşturur.

HTTPS, HTTP/2 ve HTTP/3 Protokollerinin İlişkisi

Sürüm 1.1 hala en yaygın uygulanan protokol olsa da, sınırlamaları vardır. Bu nedenle, bunu gidermek için daha yeni sürümlerin uygulanması gerekir.

Şu an itibariyle, iki en büyük sürüm HTTP/2 ve HTTP/3’tür (en son sürüm). 

HTTP/2 nedir?

HTTP protokolünün ilk büyük revizyonu olan HTTP/2, çeşitli optimizasyon teknikleri uygulayarak web sayfası yükleme gecikmesini azaltmak amacıyla geliştirilmiştir. IETF (Internet Engineering Task Force) tarafından Mayıs 2015’te yayınlanan HTTP/2, mevcut tüm web tarayıcılarıyla uyumlu standart bir iletişim yöntemi olarak tasarlanmıştır.

Okumanızı öneririz: HTTP/2 Nedir? Ne İşe Yarar?

HTTP/3 nedir?

HTTP/3, QUIC ağ protokolüne dayalı olarak Ağustos 2020’de yayınlanan yeni HTTP sürümüdür. Başlangıçta şifrelenmiş verileri UDP üzerinden taşıyarak HTTP/2’yi iyileştirme yöntemi olarak tanıtılan HTTP’nin bu yeni sürümü, birkaç önemli iyileştirme getirmeyi amaçlamaktadır.

HTTP/2’nin yerini tamamen almak yerine HTTP/3’ün belirli senaryolarda etkinleştirildiğinde, hıza fayda sağlaması amaçlanmıştır. HTTP/3’ün kullanılamadığı durumlarda HTTP/2 her zaman geri dönmek için kullanılabilirdir.

HTTP/3 yepyeni bir protokol olmasına ve henüz birçok senaryoda yaygın olarak uygulanmamasına rağmen, Google ve Facebook gibi bazı sağlayıcılar tarafından zaten kullanılmaktadır.

Okumanızı öneririz: HTTP/3 Nedir, Ne İşe Yarar, Nasıl Çalışır?

HTTPS Avantajları 

  • HTTPS kullanan sitelerde genellikle bir yönlendirme bulunur. HTTP:// girseniz bile, sayfa güvenli bir bağlantı üzerinden HTTPS’ye geçer.
  • Tüketicilerin bankacılık gibi güvenli çevrimiçi işlemler yapmasını sağlar.
  • Herhangi bir kullanıcı, güveni artıran SSL teknolojisi tarafından korunur.
  • Sertifika sahibinin kimliği tarafsız bir kurum tarafından onaylanır. Bu nedenle, sertifika sahibinin bilgileri her SSL sertifikasında benzersizdir ve doğrulanır.

HTTPS Dezavantajları

  • Şifreleme ve şifre çözme işlemlerinin karmaşıklığı ve matematiği nedeniyle web sitesi hızı düşebilir.
  • Anahtar oluşturmak, ara sertifikalar yüklemek bunlatıcı olabilir ve SSL sertifikanızın süresi dolduğunda sıkıntı yaratabilir. Kullanmıyor olsanız bile Google web sitenizin kullanıcılarına hata gönderecektir.
Domain Sorgulama