HTTPS nedir? HTTPS (HyperText Aktarım Protokolü Güvenliği), kullanıcıların bilgisayarları ile site arasında verilerin bütünlüğünü ve gizliliğini koruyan bir İnternet iletişim protokolüdür. Kullanıcılar, bir web sitesini kullanırken güvenli ve özel bir çevrimiçi deneyim yaşamayı beklerler. Sitenizin içeriği ne olursa olsun, kullanıcıların web sitenizle olan bağlantısını korumak için HTTPS’yi kullanmaya başlamanızı öneririz. HTTPS kullanılarak gönderilen bilgiler üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (TLS) ile güven altına alınır: Şifreleme: Alınan ve gönderilen veriler gizlice dinleme yapanlara karşı korumak için şifrelenir. Yani kullanıcı bir web sitesine göz atarken hiç kimse onun iletişimini “dinleyemez”, sayfalar arasındaki etkinliklerini takip edemez veya bilgilerini çalamaz. Veri bütünlüğü: Veriler aktarılırken, fark edilmeden kasıtlı olarak veya başka bir şekilde değiştirilemez ya da bozulamaz. Kimlik doğrulama: Kullanıcılarınızın kastedilen web sitesiyle iletişim kurduğu doğrulanır. Aradaki adam (man-in-the-middle) saldırılarına karşı korur ve kullanıcının güvenini sağlar. Bu da ticari açıdan başka faydalar getirir. HTTPS kullanımıyla ilgili en iyi uygulamalar Güçlü güvenlik sertifikaları kullanınSitenizde HTTPS’yi etkinleştirdiğinizde bir güvenlik sertifikası almanız gerekir. Sertifika, web adresinizin gerçekten sizin kuruluşunuza ait olduğunu doğrulamak için bir sertifika yetkilisi (CA) tarafından verilir. Böylece müşterileriniz aradaki adam saldırılarına karşı korunur. Sertifikanızı oluştururken yüksek düzeyde güvenlik sağlamak için 2048 bitlik bir anahtar seçin. Mevcut sertifikanız daha zayıf bir anahtara (1024 bit) sahipse 2048 bite yükseltin. Site sertifikanızı seçerken aşağıdakilere dikkat edin: Sertifikanızı teknik destek sağlayan güvenilir bir sertifika yetkilisinden alın. Ne tür bir sertifikaya ihtiyacınız olduğunu belirleyin: Tek bir güvenli kaynak (ör. www.example.com) için bir sertifika. İyi bilinen birden fazla güvenli kaynak (ör. www.example.com, cdn.example.com, example.co.uk) için çok alan adlı sertifika. Pek çok dinamik alt alan adı (ör. a.example.com, b.example.com) içeren güvenli bir kaynak için joker karakter sertifikası. Sunucu taraflı yönlendirmeler kullanın Kullanıcılarınızı ve arama motorlarını HTTPS sayfasına veya kaynağa sunucu tarafı 301 HTTP yönlendirmeleriyle yönlendirin. + HTTPS sayfalarınızın Google tarafından taranıp dizine eklenebildiğini doğrulayın+ HTTPS sayfalarınızı robots.txt dosyalarıyla engellemeyin.+ HTTPS sayfalarınızda meta noindex etiketleri bulundurmayın.+ Googlebot’un sayfalarınıza erişip erişemediğini test etmek için URL Denetleme aracını aracını kullanın.+ HSTS’yi destekleyin+ HTTPS sitelerinin HSTS’yi (HTTP Katı Taşıma Güvenliği) desteklemesini öneriyoruz. HSTS, kullanıcı, tarayıcı konum çubuğuna http yazsa bile tarayıcının otomatik olarak HTTPS sayfalarını istemesini sağlar. Ayrıca Google’a da arama sonuçlarında güvenli URL’ler sunmasını söyler. Tüm bunlar kullanıcılarınıza güvenli olmayan içerik sunma riskini en aza indirir. HSTS’yi desteklemek için bunu destekleyen bir web sunucusu kullanın ve işlevselliği etkinleştirin. HSTS, daha güvenlidir ancak geri alma stratejinizi daha karmaşık hale getirir. HSTS’yi şu şekilde etkinleştirmenizi öneririz: HTTPS sayfalarınızı önce HSTS olmadan kullanıma sunun. Kısa max-age süresine sahip HSTS üstbilgileri göndermeye başlayın. Hem kullanıcılardan hem de diğer istemcilerden gelen trafiğinizi ve reklamlar gibi bağlı öğelerin performansını izleyin. HSTS max-age süresini yavaş yavaş uzatın. HSTS, kullanıcılarınızı ve arama motorlarınızı olumsuz bir şekilde etkilemez. Dilerseniz sitenizin HSTS ön yükleme listesine eklenmesini isteyebilirsiniz. HSTS önyüklemesini kullanma seçeneğini değerlendirin HSTS’yi etkinleştirirseniz fazladan güvenlik ve daha iyi performans için isteğe bağlı olarak HSTS önyüklemesini destekleyebilirsiniz. Ön yüklemeyi etkinleştirmek için hstspreload.org sitesini ziyaret etmeniz ve sitenizin gönderim şartlarını yerine getirmeniz gerekir. Yaygın görülen sorunlardan kaçının Sitenizi TLS ile güven altına alma sürecinde, aşağıdaki hataları yapmaktan kaçının: Süresi bitmiş sertifikalarSertifikanızın her...Read More