• HTTP ve HTTPS Güvenliği: Bu Protokoller Arasındaki Farklar

    Google ve Mozilla gibi teknoloji devleri de dahil olmak üzere herkes, HTTP yerine HTTPS ön ekine sahip güvenli web sitelerinin kökünü kuruyor. Ancak, “HTTP ve HTTPS nedir?” Sorusu ortaya çıkıyor. ve "bu protokoller arasındaki fark nedir?"

    HTTP ve HTTPS nedir? Bunların birbiriyle ilişkili ama farklı iki internet protokolü olduğunu söyleyebiliriz, ancak bu size pek fayda sağlamaz ve gerçekten kısa, sıkıcı bir makale olur. Bu yüzden, işleri sizin için gerçekten parçalamak için biraz daha zaman alacağız. Bu makale, HTTP ve HTTPS arasındaki farkı, HTTP ile HTTPS güvenliğini anlamanın neden önemli olduğunu ve bir protokolü diğerine göre kullanmanın avantajlarının neler olduğunu tartışacaktır.

    HTTP ve HTTPS Güvenliği

    Özetle, "HTTP vs HTTPS", web sitenize güvenli, şifreli bir bağlantı sağlamakla bunu yapmayı seçmemek arasındaki farktır. Birincisi (HTTP), internet üzerinden güvenli olmayan bir iletişim şekli iken ikincisi (HTTPS) değildir. Temel anlamda, HTTPS, HTTP'nin yeni ve geliştirilmiş versiyonu olarak… ancak onları daha da farklı kılan teknik farklılıklar var.

    HTTP ve HTTPS arasındaki farkı anlamak, arama motorlarının güvenli bağlantılar kullanmaya verdiği ağırlık nedeniyle önemlidir. Örneğin, Google ve Mozilla, arama sonuçları için bir sıralama faktörü olarak web sitelerinin güvenliğini içerir. Ve 2018'den bu yana, tüm büyük tarayıcılar, birisi güvenilir bir dijital sertifikaya sahip olmayan bir web sitesine (yani, daha sonra bahsedeceğimiz bir SSL veya TLS sertifikası) eriştiğinde platformlarının “Güvenli Değil” diye bağırdığı bir yere geldi.

    Kredi kartı şirketleri ve diğer düzenleyici kurumlar da güvenli olmayan sitelere karşı savaş ilan etti. (PCI DSS, HIPAA, GDPR, CCPA, vb.) Gereksinimlerine uymazsanız, yüksek cezalarla karşılaşabilirsiniz. Ve neredeyse herkes sizi web siteniz için "HTTPS" kullanmaya zorlamaya doğru ilerlediğinden, HTTP ve HTTPS arasındaki farkı bilmek istediğiniz açıktır.

    Eldeki konuyu daha iyi anlamak için hem HTTP hem de HTTPS'ye daha derinlemesine bakalım.

    HTTP Nedir?

    HTTP, köprü metni aktarım protokolü anlamına gelir ve bir uygulama katmanı protokolüdür Web sitesi güvenliğinde, sunucuların ve istemcilerin internet üzerinden iletişim kurmasını sağlayan bir protokoldür. Bunları başlatan tarayıcılara isteğe bağlı bağlantılar sağladığı için durum bilgisi olmayan bir sistem olarak kabul edilir. Oh, ayrıca HTTP'nin HTTPS'nin öncülü olduğunu da hızlıca belirtmek isterim. (Bundan biraz sonra daha fazla bahsedeceğiz.)

    Veri paketlerini internet üzerinden değiş tokuş etmek için HTTP, esas olarak 80 numaralı bağlantı noktası aracılığıyla TCP'ye (iletim kontrol protokolü) dayanır. İstemci ve sunucu ile ilk el sıkışmasından sonra, HTTP sunucusu, aşağıdakiler dahil olmak üzere farklı türde istek mesajları kullanır:

    • Postalamak,
    • Almak,
    • kafa ve
    • Bağlantılar.

    Tabii ki, başkaları da var. Aslında, HTTP'nin en son sürümü dokuz tür istek yöntemi kullanır. Ama bence meseleyi anladın.

    HTTP, Verileri İletmenin Güvensiz Bir Yoludur

    Bir HTTP web sitesiyle ilgili en büyük sorun, güvenli iletişim sunmamasıdır (yani verilerin şifrelenmemiş olması ve düz metin biçiminde iletilmesi). Bir HTTP sitesi kullanırken verileriniz saldırıya uğrayabilir, çalınabilir veya saldırganlar tarafından manipüle edilebilir. Çok uzun zaman önce, birçok web sitesi HTTP kullandı ve ödeme sayfasında HTTPS'ye geçti. Ancak bu durum değişiyor (neyse ki) - ve hızlı (yeterince hızlı olmasa da).

    Günümüzde çoğu site, HTTPS adı verilen güvenli HTTP sürümünü kullanmaktadır. HTTP'den HTTPS'ye geçiş, SSL veya güvenli yuva katmanı olarak bilinen şeyin yaratılmasıyla başlatıldı . Tabii ki, hayattaki her şeyde olduğu gibi, hiçbir şey kalıcı değildir veya aynı kalmaz. Aynısı SSL için de geçerlidir. SSL protokolü, sonunda yeni halefi olan aktarım katmanı güvenliği ( TLS ) ile değiştirilmeden önce, SSL sürüm 3.0'a kadar birden çok yinelemeden geçti.

    Elbette, TLS'nin birkaç versiyonuna da geçtik ve şimdi TLS 1.3 versiyonundayız. Ancak, SSL Labs panosundaki verilere göre web sitelerinin çoğunluğunun (Şubat 2021 itibarıyla %99,3'ü) TLS 1.2'yi ve yalnızca %42.9'unun TLS 1.3'ü desteklediğini belirtmek önemlidir .

    Yine de, her şeyi kafanızda düz tutmanıza yardımcı olmak için kısa bir not: TLS, SSL'nin yerini almasına ve iki protokol arasında bazı teknik farklılıklar olmasına rağmen, sektörümüzdeki insanlar hala her ikisine de “SSL. ”

    Bu, özellikle insanlar SSL/TLS sertifikaları hakkında konuşurken geçerlidir. Bu nedenle, teknik olarak bir TLS sertifikası satın alıyor olsanız bile , insanlar buna genellikle SSL sertifikası veya SSL/TSL sertifikası diyecektir.

    Web Siteleri HTTP Kullandığında Nasıl Görünüyor?

    Peki, diyelim ki HTTP kullanan bir web sitesi güzel bir görüntü oluşturmaz. Görüyorsunuz, web tarayıcıları bu güvensiz protokolü kullanan web sitelerini sevmiyor. Aslında, web siteleri güvensiz olduğunda, korkutucu mesajlar ve uyarı sembolleri yayınlayarak kullanıcıları özellikle uyarır.

    Örneğin, aşağıdaki ekran görüntüsü, Google Chrome'un bir HTTP sitesini nasıl "Güvenli Değil" olarak işaretlediğini gösterir.

    Şimdi kendinizi müşterilerinizin yerine koyun. Bunun gibi bir uyarı mesajı görmek, bu web sitesinin her türlü kişisel veriyi alışveriş yapmak veya paylaşmak için güvenli bir yer olduğu fikrine güven veriyor mu? Bence değil. Bu, iş kaybına ve müşterilerinizi doğrudan güvenli web sitelerine sahip rakiplerinizin kollarına çekmenize neden olabilir!

    Ancak bu bilgiden kaynaklanan iyi haberler var. Bu tür mesajların sitenizde görünmesini engellemenin bir yolu vardır: HTTP kullanmak yerine web sitenizi güvenli HTTPS protokolü aracılığıyla sunarak.

    HTTPS Nedir?

    HTTPS veya güvenli köprü metni aktarım protokolü , temel olarak öncekinin daha yeni, daha güvenli sürümüdür. HTTPS bazen TLS üzerinden HTTP olarak da adlandırılır ve 80 numaralı bağlantı noktası yerine 443 numaralı bağlantı noktasını kullanır.

    HTTP ile HTTPS güvenliğini karşılaştırırken, ikincisi şüphesiz en yüksek puanları alır. Neden? Niye? Çünkü sitenizde HTTPS'yi düzgün bir şekilde etkinleştirdiğinizde, bir istemci ile sunucunuz arasında gerçekleşen iletişim şifrelenir. Bu, meraklı meşgul kişilerin, aktarım sırasında verilerinize müdahale edemeyecekleri veya bunlarla uğraşamayacakları anlamına gelir. Ayrıca, kullanıcıların web sitenize dizüstü bilgisayarlarından veya mobil cihazlarından erişmelerine bakılmaksızın, HTTPS her ikisinde de trafiği korur!

    HTTP ve HTTPS arasında burada bahsetmemiz gereken gerçekten önemli bir farklılaştırıcı, HTTPS'nin işini yapmak için ortak anahtar altyapısına (PKI) dayanmasıdır.

    Açık anahtar altyapısı , güvenli internet iletişimini mümkün kılan temeldeki karmaşık teknolojiler ve süreçler dünyasıdır. Aşağıdakileri içeren (ancak bunlarla sınırlı olmayan) birden fazla temel bileşenden oluşan eksiksiz bir ekosistemdir:

    • X.509 dijital sertifikalar — buna SSL/TLS sertifikaları, e-posta imzalama sertifikaları, kod imzalama sertifikaları, belge imzalama sertifikaları vb. dahildir).
    • Şifreleme anahtarı çiftleri - buna hem genel hem de özel anahtarlar dahildir.
    • Sertifika yetkilileri (CA'lar) — sertifikaları vermekten ve endüstri standartlarını karşılamaktan sorumlu olan güvenilir üçüncü taraflar.

    PKI'yi neden önemsemeniz gerektiğinden emin değil misiniz? Size şunu sorayım; Güvenli bir şekilde çevrimiçi sipariş vermeyi veya gece geç saatlerde Amazon alışverişleri yapmayı sever misiniz? O halde bunun için PKI'ye teşekkür edebilirsiniz!

    HTTPS, SSL/TLS Sertifikaları Gerektirir

    Buna biraz değindik ama burada yineleyeceğiz: HTTPS'yi etkinleştirmek geçerli bir SSL/TLS sertifikasının kullanılmasını gerektirir. Bu dijital sertifika, kuruluşunuz hakkında kimlik doğrulamasına yardımcı olacak bilgileri ve site kullanıcılarının şifreleme yoluyla güvenli bir şekilde iletişim kurmasına yardımcı olan diğer şık şifreleme bilgilerini içeren bir dosyadır.

    SSL/TLS sertifikaları, ihtiyaçlarınızı karşılayan çeşitli seçenekler ve doğrulama türleri ile gelir.

    • Etki alanı doğrulama (DV) - Bu, yalnızca site sahibinin etki alanına sahip olduğunu kanıtlamasını gerektirir. En düşük doğrulama düzeyidir ve kullanıcı bilgilerini toplamayan veya oturum açmalarını gerektirmeyen siteler için en iyisidir.
    • Kuruluş doğrulaması (OV) —Bu doğrulama düzeyi, DV'den daha titizdir ancak listeleyeceğimiz bir sonraki doğrulama türü kadar ayrıntılı değildir. OV doğrulama, kimliklerini ortaya koymak ve veri güvenliği sunmak isteyen web siteleri için harikadır.
    • Genişletilmiş doğrulama (EV) — Bu doğrulama türü en katı olanıdır ve sertifikayı veren CA tarafından en yüksek düzeyde doğrulama gerektirir. Sonuç olarak, kuruluş bilgileriniz daha belirgin bir şekilde görüntülenir. Bu, kullanıcıların hassas bilgilerini toplayan ve koruması gereken web siteleri için en iyisidir.

    Sunucu ve istemci görüşmeye başlamadan önce, SSL/TLS anlaşması olarak bilinen bir süreçte bilgi ve anahtar alışverişinde bulunmalıdırlar . Bu işlem, iki tarafın gizlice karar vereceği başka bir anahtar (oturum anahtarı) oluşturulmasıyla sonuçlanır. Bu anahtar, oturumun geri kalanı için kullanılacak güvenli, şifreli bağlantıyı kurmak için kullandıkları anahtardır.

    HTTPS olmadan veri aktarımı şifrelenmeyecektir. Bu, istemcinin sunucuya gönderdiği herhangi bir verinin düz metin olarak iletileceği ve konuşmayı kesen herkesin bu verileri okuyabileceği ve kötü amaçlar için kullanabileceği anlamına gelir. (Bu, ortadaki adam saldırısı veya MitM olarak bilinir). Bu, kişisel bilgilerinizden ve kredi kartı bilgilerinizden oturum açma bilgilerinize kadar siteye girdiğiniz her şeyin tehlikeye açık olacağı anlamına gelir.

    HTTPS Kullandığınızda Nasıl Görünüyor?

    Peki, web sitenize bir SSL/TLS sertifikası yüklediğinizde nasıl görünür? Güvenli. Korkutucu veya endişe verici değil. Web tarayıcınızda, verilerinizin güvenli bir şekilde aktarıldığını söyleyen rahatlatıcı bir güvenlik asma kilit simgesi görürsünüz. "Güvenli Değil" mesajından çok daha iyi, değil mi?

    Bu konuda özellikle harika olan şey, sertifika hakkında ek bilgileri ve sertifikanın doğrulama düzeyine bağlı olarak siteyi işleten kuruluş hakkındaki bilgileri almak için bu simgeye tıklayabilmenizdir.

    HTTPS veya HTTP: Hangisi Daha İyi?

    HTTP bunca yıldır "yeterince iyi"yken neden HTTPS'ye geçelim? Anahtar ve anahtarın maliyeti, zaman ve çabaya değer mi? HTTPS'yi HTTP'den daha güvenilir yapan nedir? Neden bir SSL sertifikası satın almalısınız? Peki, her iki protokolü de karşılaştırdığımızda ve size https'nin faydalarını gösterdiğimizde cevaplarınızı alacaksınız.

    HTTPS Ek Güvenlik Sağlar

    Adından da anlaşılacağı gibi, HTTPS, HTTP'den çok daha güvenlidir. SSL/TLS sertifikası, web siteniz ve istemci arasında aktarılırken verileri korumanıza yardımcı olur. Veriler internette dolaşırken, nihai hedefine ulaşmadan önce birçok sunucu arasında seker. Siber suçluların onu tehlikeye atması için birçok fırsat var.

    Kimliğinizi doğrulayan bir sertifika kullanıyorsanız, sitenizin orijinalliği konusunda da güvence verir, böylece kullanıcılar verilerinin güvende olduğuna güvenebileceklerini bilirler. Bu aynı zamanda sitenizi sahte (kimlik avı) web sitelerinden farklı hale getirmenize yardımcı olur.

    HTTPS, Sitenizin Çirkin “Güvenli Değil” Mesajları Görüntülemekten Kaçınmasına Yardımcı Olur

    Daha önce de belirttiğimiz gibi, hiç kimse web sitelerinde “bu web sitesi güvenli – kaçın!” diye bağıran uyarı mesajları görmek istemez. Ancak, web sitenizde güvenli HTTPS protokolü yerine güvensiz HTTP protokolünü kullandığınızda temel olarak bu olur.

    Açıkça görüldüğü gibi “Güvenli Değil”, iki cihaz arasındaki bağlantının güvenli olmadığını gösterir. Bu, bağlantıyı izleyen herkesin oturum açma kimlik bilgileri, sosyal güvenlik numaraları ve kredi kartı numaraları dahil olmak üzere aktarılanları kolayca izleyebileceği anlamına gelir.

    HTTP, 80 numaralı bağlantı noktası üzerinden veri gönderirken HTTPS, 443 numaralı bağlantı noktası üzerinden veri gönderir. HTTP yalnızca uygulama katmanında çalışır, ancak HTTPS aktarım katmanında çalışır ve PKI teknolojilerini ve işlemlerini kullanır. Bu teknik farklılıklar, HTTP web sitesini "Güvenli Değil" yapan güvenlik protokolünün bir parçasıdır.

    HTTPS, Kimlik Yoluyla Güveni Artırır

    Web sitenizin ziyaretçisi, web sitenizdeki “HTTPS” yi bir asma kilitle okuduğunda, web sitenizle olan bağlantının güvenli olduğuna ve kimsenin buna müdahale edemeyeceğine güvenebilecektir. Biraz önce bahsettiğimiz gibi, çoğu tüketici ekranında “HTTP” ve “Güvenli Değil” uyarısı görürse web sitenizden alışveriş yapmaz. Ve neden yapsınlar? Bu mesajın sitenizde olması, görünüşe göre onların güvenliğini umursamadığınızı gösterir!

    Tüketicileri etkilemenin en etkili yollarından biri, verilerinin güvenliğini garanti etmektir. Ancak güvende olmak ile güvende olmak arasında bir fark vardır . Verileri güvence altına almak için şifreleme kullanmak bir şeydir, ancak diğer tarafta verilerini kimin aldığını bilmiyorlarsa, kullanıcılara hiçbir faydası olmaz. İşte bu yüzden kuruluşunuzun dijital kimliği önemlidir.

    Bir e-ticaret işine sahip olmak, fiziksel bir mağaza işletmekten çok farklıdır. Çevrimiçi iş yaptığınızda, müşterilerinizi şahsen tanımanız gerekmez - ve daha da önemlisi, sizi tanımıyorlar. Bu nedenle, bazı açılardan, bu ilişkiler iki yabancı arasındadır. Bu durumda, saygın ve güvenilir bir üçüncü tarafın kullanıcılara (ve onların web istemcisi/tarayıcılarına) sizin iyi bir üne sahip ve güvenilir bir gerçek işletme sahibi olduğunuza dair güvence vermesi gerekli hale gelir.

    İnsanların gerçekte kiminle konuştuklarını bilmelerine yardımcı olmanın en iyi yolu, kimliğinizi doğrulanabilir yollarla ortaya koymaktır. OV veya EV sertifikalarını kullanmanın gerçekten işe yarayabileceği yer burasıdır. Bir CA, bir SSL/TLS sertifikası vermeden önce, meşru olduğundan emin olmak için işletmenizi kontrol etmek için günler harcamak zorundadır. Bu, site sahibinin çeşitli resmi üçüncü taraf kaynaklarla sağladığı bilgileri karşılaştırmayı ve diğer doğrulama yöntemlerini kullanmayı gerektirir. Ve yalnızca işinizin meşru olduğundan emin olduklarında siteniz için bir sertifika verirler.

    HTTPS Web Sitenizin Google Arama Motoru Sıralamasını İyileştirir

    Arama motorlarında sıralama, herhangi bir web sitesi için çok önemlidir. Bir ziyaretçi bir arama motoruna sorgusunu yazdığında, arama motoru web sitelerini birçok farklı faktör kullanarak sıralayacaktır. Google aramadaki ilk organik sonuç, bir Arama Motoru Dergisi raporuna göre %28,5 ile en yüksek tıklama oranına sahiptir . İkinci ve üçüncü sonuç sırasıyla %15 ve %11 oranına sahip ve 10. sonuç için ortalama %2,5'e düşüyor .

    Bu nedenle, arama motoru sıralamanızı iyileştirmek için elinizden gelen her şeyi yapmalısınız. Web sitenizin adresinden önce bir SSL sertifikası ve HTTPS'ye sahip olmak, bu hedefe ulaşmak için yapabileceğiniz bir şeydir.

    HTTPS'ye Sahip Olmak Sizi PCI/DSS Cezalarından Korur

    Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS), herhangi bir büyük kredi kartı ile ödeme kabul eden işletmelerin uyması gereken bir bilgi güvenliği standardıdır. Protokollere uymazsanız, cezalandırılabilir ve Visa, MasterCard ve American Express gibi kredi kartı şirketlerine ağır para cezaları ödeyebilirsiniz.

    Aşağıdaki görüntü PCI Güvenlik Standartları kılavuzundan alınmıştır . Bir kredi kartı sahibinin verilerini isteyen bir web sitesi, bu tür verilerin korunduğundan kesinlikle emin OLMALIDIR. Ayrıca, veriler iletim sırasında yeterince şifrelenir. Bu bağlamda HTTP ve HTTPS hakkında konuştuğunuzda, ödeme kartı endüstrisinin hangi tarafta olduğunu bilirsiniz.

    Web Siteniz İçin HTTPS Nasıl Alınır?

    Web siteniz için HTTPS'ye sahip olmanın avantajlarından yararlanmak istiyorsanız, SSL sertifikanızı tanınmış bir satıcıdan alabilirsiniz. Easy4SSL.com gibi bazı şirketler , müşterilerine her türlü sertifikayı uygun fiyatlarla sunmaktadır. Bizden SSL sertifikası almayı tercih ettiğinizde yararlanabileceğiniz birçok indirim vardır.

    HTTP ve HTTPS Arasındaki Fark Üzerine Sonuç

    Artık HTTP ve HTTPS arasındaki farkı bildiğinize göre, alışveriş yapmanız için güvenli olan (ve olmayan) siteleri gösterebileceksiniz. Google, 2014'ten beri sitenin güvenliğini (veya eksikliğini) bir sıralama faktörü olarak görmektedir. Ayrıca, arama motorlarında bir şey aramak için anahtar kelimeler yazdığınızda HTTPS'siz sitelerin çoğunun çıkmayacağını da gözlemleyeceksiniz. Bu siteler, World Wide Web denilen vadide (yani, Google'ın ilk arama motoru sonuç sayfasından sonraki herhangi bir şey) gizlenecektir. Onları özellikle aramadığınız sürece, onları bulamazsınız.

    HTTP ile HTTPS arasındaki savaşta, sadece bir tanesi öne çıkabilir. Açıkçası, güvendiği kimlik ve PKI güvenlik avantajları nedeniyle bu HTTPS'dir. Ancak bir bütün olarak HTTP'den HTTPS'ye geçiş açısından bir internet topluluğu olarak ne kadar yol kat ettik? Google'ın Şeffaflık Raporu , Ocak 2021'in sonuna kadar tüm web sitelerinin %95'inin şifrelemeye ulaştığını gösteriyor. Dolayısıyla, hâlâ bir HTTP siteniz varsa HTTPS'ye dönüştürmenin tam zamanı.

    Latest Posts
    Categories