HTTPS nedir?
HTTPS (HyperText Aktarım Protokolü Güvenliği), kullanıcıların bilgisayarları ile site arasında verilerin bütünlüğünü ve gizliliğini koruyan bir İnternet iletişim protokolüdür. Kullanıcılar, bir web sitesini kullanırken güvenli ve özel bir çevrimiçi deneyim yaşamayı beklerler. Sitenizin içeriği ne olursa olsun, kullanıcıların web sitenizle olan bağlantısını korumak için HTTPS’yi kullanmaya başlamanızı öneririz.
HTTPS kullanılarak gönderilen bilgiler üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (TLS) ile güven altına alınır:
Şifreleme: Alınan ve gönderilen veriler gizlice dinleme yapanlara karşı korumak için şifrelenir. Yani kullanıcı bir web sitesine göz atarken hiç kimse onun iletişimini “dinleyemez”, sayfalar arasındaki etkinliklerini takip edemez veya bilgilerini çalamaz.
Veri bütünlüğü: Veriler aktarılırken, fark edilmeden kasıtlı olarak veya başka bir şekilde değiştirilemez ya da bozulamaz.
Kimlik doğrulama: Kullanıcılarınızın kastedilen web sitesiyle iletişim kurduğu doğrulanır. Aradaki adam (man-in-the-middle) saldırılarına karşı korur ve kullanıcının güvenini sağlar. Bu da ticari açıdan başka faydalar getirir.
HTTPS kullanımıyla ilgili en iyi uygulamalar
Güçlü güvenlik sertifikaları kullanın
Sitenizde HTTPS’yi etkinleştirdiğinizde bir güvenlik sertifikası almanız gerekir. Sertifika, web adresinizin gerçekten sizin kuruluşunuza ait olduğunu doğrulamak için bir sertifika yetkilisi (CA) tarafından verilir. Böylece müşterileriniz aradaki adam saldırılarına karşı korunur. Sertifikanızı oluştururken yüksek düzeyde güvenlik sağlamak için 2048 bitlik bir anahtar seçin. Mevcut sertifikanız daha zayıf bir anahtara (1024 bit) sahipse 2048 bite yükseltin. Site sertifikanızı seçerken aşağıdakilere dikkat edin:
Sertifikanızı teknik destek sağlayan güvenilir bir sertifika yetkilisinden alın.
Ne tür bir sertifikaya ihtiyacınız olduğunu belirleyin:
Tek bir güvenli kaynak (ör. www.example.com) için bir sertifika.
İyi bilinen birden fazla güvenli kaynak (ör. www.example.com, cdn.example.com, example.co.uk) için çok alan adlı sertifika.
Pek çok dinamik alt alan adı (ör. a.example.com, b.example.com) içeren güvenli bir kaynak için joker karakter sertifikası.
Sunucu taraflı yönlendirmeler kullanın
Kullanıcılarınızı ve arama motorlarını HTTPS sayfasına veya kaynağa sunucu tarafı 301 HTTP yönlendirmeleriyle yönlendirin.
+ HTTPS sayfalarınızın Google tarafından taranıp dizine eklenebildiğini doğrulayın
+ HTTPS sayfalarınızı robots.txt dosyalarıyla engellemeyin.
+ HTTPS sayfalarınızda meta noindex etiketleri bulundurmayın.
+ Googlebot’un sayfalarınıza erişip erişemediğini test etmek için URL Denetleme aracını aracını kullanın.
+ HSTS’yi destekleyin
+ HTTPS sitelerinin HSTS’yi (HTTP Katı Taşıma Güvenliği) desteklemesini öneriyoruz. HSTS, kullanıcı, tarayıcı konum çubuğuna http yazsa bile tarayıcının otomatik olarak HTTPS sayfalarını istemesini sağlar. Ayrıca Google’a da arama sonuçlarında güvenli URL’ler sunmasını söyler. Tüm bunlar kullanıcılarınıza güvenli olmayan içerik sunma riskini en aza indirir.
HSTS’yi desteklemek için bunu destekleyen bir web sunucusu kullanın ve işlevselliği etkinleştirin.
HSTS, daha güvenlidir ancak geri alma stratejinizi daha karmaşık hale getirir. HSTS’yi şu şekilde etkinleştirmenizi öneririz:
HTTPS sayfalarınızı önce HSTS olmadan kullanıma sunun.
Kısa max-age süresine sahip HSTS üstbilgileri göndermeye başlayın. Hem kullanıcılardan hem de diğer istemcilerden gelen trafiğinizi ve reklamlar gibi bağlı öğelerin performansını izleyin.
HSTS max-age süresini yavaş yavaş uzatın.
HSTS, kullanıcılarınızı ve arama motorlarınızı olumsuz bir şekilde etkilemez. Dilerseniz sitenizin HSTS ön yükleme listesine eklenmesini isteyebilirsiniz.
HSTS önyüklemesini kullanma seçeneğini değerlendirin
HSTS’yi etkinleştirirseniz fazladan güvenlik ve daha iyi performans için isteğe bağlı olarak HSTS önyüklemesini destekleyebilirsiniz. Ön yüklemeyi etkinleştirmek için hstspreload.org sitesini ziyaret etmeniz ve sitenizin gönderim şartlarını yerine getirmeniz gerekir.
Yaygın görülen sorunlardan kaçının
Sitenizi TLS ile güven altına alma sürecinde, aşağıdaki hataları yapmaktan kaçının:
Süresi bitmiş sertifikalar
Sertifikanızın her zaman güncel olduğundan emin olun.
Sertifika yanlış web sitesi adına kayıtlı
Sitenizin içerik yayınladığı tüm ana makine adları için bir sertifika aldığınızdan emin olun. Örneğin, sertifikanız yalnızca www.example.com’u kapsıyorsa, sitenizi yalnızca example.com’u kullanarak yükleyen bir ziyaretçi (“www.” öneki olmadan), bir sertifika adı uyuşmazlığı hatasıyla engellenir.
Eksik Sunucu adı belirtimi (SNI) desteği
Web sunucunuzun SNI’yi desteklediğinden ve genel olarak kitlenizin desteklenen tarayıcılar kullandığından emin olun. SNI, tüm modern tarayıcılar tarafından desteklenir, ancak eski tarayıcıları desteklemek istiyorsanız ayrı bir IP’ye ihtiyacınız olacaktır.
Tarama sorunları
robots.txt dosyası kullanarak HTTPS sitenizin taranmasını engellemeyin.
Dizine ekleme sorunları
Mümkünse sayfalarınızın arama motorları tarafından dizine eklenmesine izin verin. Noindex meta etiketi kullanmaktan kaçının.
Eski protokol sürümleri
Eski protokol sürümleri güvenlik risklerine açıktır. TLS kitaplıklarının en güncel ve en yeni sürümlerine sahip olduğunuzdan ve en yeni protokol sürümlerini uyguladığınızdan emin olun.
Karma güvenlik öğeleri
HTTPS sayfalarına sadece HTTPS içerik yerleştirin.
HTTP ve HTTPS’de farklı içerikler
HTTP sitenizdeki ve HTTPS sürümündeki içeriğin aynı olduğundan emin olun.
HTTPS’de HTTP durum kodu hataları
Web sitenizin doğru HTTP durum kodu döndürdüğünden emin olun. Örneğin, erişilebilir sayfalar için 200 OK veya var olmayan sayfalar için 404 ya da 410.
Daha fazla ipucu
Sitenizde HTTPS sayfalarını kullanmayla ilgili daha fazla ipucu için HTTPS’ye taşıma hakkında SSS konusuna bakın.
HTTP’den HTTPS’ye taşıma
Sitenizi HTTP’den HTTPS’ye taşıyorsanız Google, bunu sadece URL değişiklikleri ile site taşıma işlemi olarak ele alır. Bu işlem, trafik sayılarınızın bir kısmını geçici olarak etkileyebilir. Daha fazla bilgi edinmek için site taşıma işlemine genel bakış sayfasını ziyaret edin.
HTTPS mülkünü Search Console’a ekleyin
Search Console, HTTP ve HTTPS’yi ayrı olarak işler: veriler, Search Console’da mülkler arasında paylaşılmaz.
Taşıma işleminizle ilgili sorunları gidermek için site haritası taşıma işlemleriyle ilgili sorunları giderme sayfasına bakın.
Kaynak: Google Web Master Forum