Web güvenliği için HTTPS otobüsüne binme zamanı

Web güvenliğinde ‘Yeni Normal’

Geçtiğimiz günlerde, Google Chrome’un “Güvenli Değil” uyarısı ile web güvenliği standartlarını yükselttiğini belirtmiştik. Ocak 2017’den bu yana İngilizce tarayıcılar için uygulanan bu güncellemenin Türkçe tarayıcılara gelmesini beklerken web güvenliği ile ilgili varsayımlarımızı gözden geçirmenin tam zamanı ve bu yılın tartışmalarının odağında HTTPS var.

SSL/TLS sertifikaları ve HTTPS protokolü neredeyse 20 yıldır hayatımızda. Özünde, ikisi birlikte çalışarak bir web sitesiyle son kullanıcı arasında şifreli bir iletişim kanalı oluşturuyor ve bazı durumlarda son kullanıcıya web sitesine ait doğrulanmış kimlik bilgisi sağlıyor.

Eskiden genelde HTTPS’nin sadece bankacılık, e-ticaret ve sağlık gibi önemli web siteleri için gerekli olduğu düşünülüyordu.

Ama artık zaman değişti ve her web sitesinin HTTPS kullanmaya başlaması gerektiğine dair birçok neden sayılabilir.
web güvenliği HTTPS kilit ikonu
Fotoğraf: Sean MacEnteeVisualHunt aracılığıyla / CC BY

Özel verileri şifrelemek için HTTPS

Bir web sitesinin iletişimini şifrelemesi gereken en bariz durum verilerin değerli ve/veya özel olması durumudur. Şifreler ve kredi kartı rakamları bunun en iyi bilinen örnekleri ama HTTPS kullanımının en az bu seviyede kritik fayda sağladığı daha az bilinen durumlar da var.

Çerezleri korumak için HTTPS

Birçok web sitesi, bilgiyi tarayıcılarda saklanan çerezlerde muhafaza eder.

SSL olmadan bu çerezlerin yolunu kesmek ve onları “Yeniden Gönderme Saldırısı”nda kullanarak verileri ele geçirmek mümkündür.

Örneğin, kamusal bir WiFi ağında e-postalarını okumak için tarayıcı kullanan bir kişi kimlik tespitine ait çerezin çalınması tehlikesine açıktır ve bunu gerçekleştiren saldırgan kurbanın hesabına giriş yaparak tüm e-postalarını okuyabilir. Neredeyse tüm popüler web tabanlı e-posta hizmeti veren şirketlerin artık web güvenliği için (sadece biri hesabına giriş yaparken değil de) devamlı HTTPS kullanmalarının bir nedeni budur.

Bütünlüğü korumak için HTTPS

Web sitelerinin hassas bilgiler paylaştığı durumlar dışında HTTPS kullanmasının diğer bir nedeni bütünlüklerini korumaktır. Şifreleme olmadan üçüncü bir parti web sitenizin içeriğinde değişiklik yapabilir. İnternet hizmeti sağlayıcınızın takip çerezleri kullanması ya da bir web sayfasını tam siz açmadan önce sayfaya içerik eklemesi buna iyi bir örnek olacaktır.

HTTPS kullanmanın avantajları…

Hâlâ sitenizin web güvenliği için HTTPS’ye ihtiyacınız olduğuna ikna olmadıysanız okumaya devam edin.

Birçok büyük internet şirketi tüm web sitelerini HTTPS’ye geçirmek için teşvik edici adımlarda bulunuyor. Bunlardan en iyi bilineni Google’ın geçtiğimiz sene HTTPS’yi arama sonuçları sıralaması algoritmalarında bir faktör olarak kullanmaya başlaması oldu. Getirisi çok büyük değil ama eğer web sitenizi işletmenize müşteri çekmek amacıyla kullanıyorsanız rakibinizin hemen önüne geçmek için bazen küçük bir adım bile önemli olabilir.

HTTPS eskiden web sitelerini yavaşlatıyordu ama son yıllarda bu performans kaybı birçok iyileştirmeyle giderildi.

Şimdi, HTTPS web sitenizi belirgin şekilde hızlandırabilir.

Geçtiğimiz sene HTTP’nin yeni versiyon protokolü olan HTTP/2 tamamlandı ve bu yeni protokolün ana faydası web sitesi performansını iyileştirmek. Apple, Google, Microsoft ve Mozilla, sadece SSL/TLS sertifikası ve HTTPS kullanması halinde HHTP/2’yi destekleyeceklerini açıkladı. İnternet HTTP/2’ye doğru ilerlerken bundan yararlanmak için bir SSL/TLS sertifikasına ihtiyacınız olacak.

HTTPS kullanmamanın dezavantajları

HTTPS kullanmayan siteleri Chrome’da “Güvenli Değil” olarak işaretlemesine ek olarak Google, Chrome’un HTTP (güvenli olmayan) kullanırken ki bazı daha güçlü özelliklerini de bloke etmeye başladı. Mozilla daha da ileri giderek tüm yeni özellikleri belli bir tarihten sonra sadece HTTPS ile sınırlamayı önerdi.

HTTPS: Oyunun sonu

Bu değişikliklerin hepsi bizi bir gün web güvenliği için tüm web sitelerinin SSL/TLS sertifikasına gerek duyacağı ve sadece HTTPS kullanacağı bir dünyaya doğru götürüyor. Hem Google, hem de Mozilla niyetlerinin bu olduğunu açıkladı ama ikisi de bu değişiklik için henüz bir tarih belirlemiş değil. Bu olduğunda HTTPS kullanmak kural haline gelecek ve HTTPS’yi temsil eden geleneksel “yeşil kilit” ikonu da kalkacak.

Eğer web siteniz HTTPS kullanmıyorsa, ekranda alttaki gibi bir ikaz çıkacak:

web güvenliği Chrome ikaz
Chrome’daki HTTP sayfaların tümü ‘Güvenli Değil’ olarak işaretlenecek

Doğruyu söylemek gerekirse, bu son değişikliğin olması büyük ihtimalle yılları bulur ama web güvenliği konusunda sonuçta varılacak nokta bu. HTTPS ve SSL/TLS sertifikaları artık yeni normal ve tüm faydaları düşünüldüğünde şimdi tüm web siteleri için bir SSL/TLS sertifikası edinme vakti.

Fotoğraf Matthew Henry, VisualHunt aracılığıyla.

Wayne Thayer
As VP and General Manager of Security Products at GoDaddy, Wayne is responsible for security products including GoDaddy’s SSL Certification Authority, code signing certificates and partnership with SiteLock. Wayne represents GoDaddy at the CA/Browser Forum, the standards body that defined Extended Validation SSL. When he’s not working or spending time with his family, he enjoys competing in amateur mountain bike races. He completed the famed Leadville Trail 100 race a few years ago.