Ana sayfanızı neden HTTPS'ye geçirmelisiniz?

Herkes HTTPS taşıma şifrelemesinden bahsediyor, ancak çoğu web sitesi sahibinin bunun güvenlikle ilgili bir unsur olduğunun farkında olması gerektiği gerçeğinin yanı sıra, şifrelemeye geçişin ne anlama geldiği konusunda genellikle hala büyük bir kafa karışıklığı var. Aşağıda, HTTPS'ye geçişin avantajları ve dezavantajları listelenmekte ve aydınlatılmaktadır.

Not: Kendi ana sayfanızı şimdi oluşturursanız, HTTPS'ye geçme konusunda endişelenmenize gerek yoktur. Tüm web siteleri zaten güvenli bir şekilde şifrelenmiştir.

SSL, orijinal olarak Netscape tarafından geliştirilen bir şifreleme protokolü olan Secure Sockets Layer'ın kısaltmasıdır. Artık modası geçmiş ve savunmasızdır, bu nedenle halef protokol Transport Layer Security veya kısaca TLS kullanılmaktadır. Bu, önemli ölçüde daha yüksek bir güvenlik seviyesi sunar, ancak yine de SSL olarak adlandırılır. Hypertext Transfer Protocol Secure ya da kısaca HTTPS ile karıştırılmamalıdır. Bu, HTTP'nin Güvenli Yuva Katmanı veya Aktarım Katmanı Güvenliği aracılığıyla kullanılmasını ifade eder. SSL terimi daha yaygın ve yerleşik hale geldiğinden, TLS aşağıda SSL olarak da anılacaktır.

Terimler artık açık, ancak şifreleme işlemi tam olarak nasıl işliyor? SSL verileri, kullanıcı ile ilgili sağlayıcı arasındaki iletişimin "dinlenemeyeceği" şekilde kodlar. Tarayıcı ile örneğin bir satış portalı arasında değiş tokuş edilen veriler bu nedenle yetkisiz kişilerin erişimine karşı korunur. Bu korumayı sağlamak için, bir anahtar verilen bir sertifika kullanılır. Böyle bir sertifika, sağlayıcı tarafından özel olarak kurulmuş sertifika yetkililerinden (CA) talep edilebilir. CA'lar daha sonra talebi kontrol eder ve sağlayıcının saygın olması halinde yeşil ışık yakar.

Daha önce de açıklandığı gibi, sertifikalı HTTPS web siteleri veri saldırılarına karşı sıradan HTTP web sitelerine göre önemli ölçüde daha fazla koruma sağlar. Bu, hem tehlikeli kimlik avı hem de kullanıcının veri gizliliğine yönelik diğer izinsiz girişleri daha az olası hale getirir. Sertifika ayrıca sağlayıcıların net bir şekilde tanımlanmasını sağlar ve kimliklerini müşteri için doğrulanabilir hale getirir. Bir anlamda bu, adres çubuğunda bir kilitle görselleştirilen "dokunmaya dirençli" bir bağlantı oluşturur. Artık HTTPS'ye geçmeniz için birçok neden var.

CA'lar, yani SSL sertifikaları veren ofisler, başvuruları kabul eder ve sertifikalar ilgili sağlayıcıya verilmeden önce bunları kontrol eder. CA, başvuru sahibinin bilgilerinin doğruluğuna kefil olur. Sertifika verildikten sonra sunucuda saklanır ve bir kullanıcı ilgili web sitesini çağırdığı anda çağrılır. Üç farklı sertifika arasında bir ayrım yapılır. Temel olarak, farklılıklar sertifikaların çeşitli güvenlik seviyelerinde yatmaktadır.

CA'nın yalnızca başvuru sahibinin aynı zamanda alan adının sahibi olup olmadığını kontrol ettiği en düşük güvenlikli sertifika. Şirketle ilgili diğer tüm bilgiler hiç kontrol edilmez. Bu risksiz değildir, ancak başvuru sahipleri için en büyük avantaj, alan adı doğrulamasının en kısa sertifika sürecinden geçmesidir. Bu doğrulama türünü yalnızca dolandırıcılık riskinin yüksek olmadığı bir site işletiyorsanız kullanın. DV, arama çubuğunda yeşil bir kilit ile gösterilir.

OV ayrıca arama çubuğunda yeşil bir kilitle gösterilir. Burada, OV zaten konuyu biraz daha derinlemesine araştırır ve başvuru sahibinin bilgilerini daha ayrıntılı olarak inceler. Bu, yasal şekli gibi şirket hakkındaki bilgileri içerir. Bununla birlikte, yeşil ışığın yakılması daha uzun sürer ve şaşırtıcı olmayan bir şekilde, sahip doğrulaması da saf alan adı doğrulamasından biraz daha pahalıdır. Esas olarak işlemlerin gerçekleştirildiği ancak kullanıcının hassas veriler sağlamasını gerektirmeyen siteler için kullanılır.

Adres çubuğunun da yeşil renkte vurgulandığı yeşil bir kilit ile görselleştirilir. Taşıyıcı doğrulama önlemleri genişletilmiş doğrulama ile tekrar genişletilir. EV yalnızca yetkili sertifika makamları tarafından verilir ve aynı zamanda tüm doğrulamalar arasında en pahalı olanıdır. Bununla birlikte, hassas kullanıcı verileriyle ilgilenen bir web sitesi işletiliyorsa acil olarak başvurulmalıdır.

SSL sertifikası olmayan web siteleri sadece daha güvensiz olmakla kalmaz, artan risk aynı zamanda adres çubuğundaki eksik bir kilitle kullanıcılara görünür hale gelir, hatta adres çubuğunda üzeri çizilmiş bir kilit veya uyarı üçgenli bir kilit gösteren bir uyarı mesajıyla görselleştirilir.

Bir web sitesi operatörü olarak, ekstra çaba gerektirdiği için şifreli bağlantılara geçmekten çekinebilirsiniz, ancak bunu yapmamak en kötü durumda ciddi sonuçlar doğurabilir. 2015 yılından bu yana, Telemedia Yasası'nı genişleten "Bilgi Teknolojisi Sistemlerinin Güvenliğini Artırma Yasası" yürürlüktedir. Sonuç olarak, web sitesi operatörleri, kullanıcılarının verilerini "teknolojinin mevcut teknik durumuna" uygun olarak korumakla yükümlüdür.

İfadenin muğlaklığı bir hareket alanı olduğunu düşündürebilir. Diğer şartnameler de dönüşümün teknik ve ekonomik olarak makul olması gerektiğini kısıtlıyor, ancak bu artık vakaların büyük çoğunluğunda geçerli. Öte yandan, diğer türlüsü gerçekten pahalı olabilir: Kişisel kullanıcı verilerini toplar ve şifrelemezseniz, 50.000 Euro'ya kadar para cezaları veya yasaklama emirleriyle karşı karşıya kalabilirsiniz. Bu kadar ağır cezalar henüz uygulanmamış olsa da, bu tehlike teoride mevcuttur ve bu nedenle mümkünse kaçınılmalıdır - özellikle de HTTPS'ye geçiş maliyetleri giderek ihmal edilebilir hale geldiğinden.

Konu en son arama motoru sıralamalarına geldiğinde, HTTPS inkarcılarının argümanları genellikle tükenir. Google 2011'den beri kendi hizmetlerini ve çevrimiçi hizmetlerini şifreliyor, hatta artık kayıt olmadan da şifreliyor ve SSL şifrelemesi 2014'ten beri arama motoru devinin sıralama faktörleri listesinde yer alıyor. Bu nedenle HTTPS'ye geçmek, Google sonuçlarındaki sıralamanız üzerinde olumlu bir etkiye sahip olabilir. Buna ek olarak, tarayıcı çubuğunda yeşil kilit yanıyorsa kullanıcılarınızın size güvenme olasılığı daha yüksektir. Son olarak, kendi verilerinizin kalitesini de artırabilirsiniz, çünkü bir kullanıcı şifreli bir sayfadan başka bir şifreli sayfaya geçerse, yönlendiren kaybolmaz. Şifrelenmiş bir sayfadan şifrelenmemiş bir sayfaya - bu örnekte sizinkine - geçiş yaparlarsa yönlendiren kaybolur.

Ancak bazı durumlarda, geçiş yine de sorunlara yol açabilir. Paraya özellikle dikkat etmek zorunda olan küçük web sitesi operatörleri için bariz engellerle başlayalım. Sertifikalar ek maliyetlere neden olur ve bu da artan trafikle birlikte artar. Bir başka dezavantaj: SSL bağlantılarında verileri önbelleğe almak mümkün değildir ve sunucu şifreleme ve şifre çözme için daha fazla işlem yapmak zorunda olduğundan performans şifrelemeden zarar görebilir. Modern sunucular bu sorunlara sahip değildir, ancak eski sunucular "hıçkırıklardan" muzdarip olabilir.

Sertifikanın kendisi web sitesi operatörleri için fazla çaba gerektirmese de, dahili bağlantıların HTTPS'ye dönüştürülmesi ve yinelenen içeriğe karşı ilgili yönlendirmeler küçümsenmemesi gereken bir iş yükünü temsil eder. Bazı operatörler bu nedenlerden dolayı HTTPS'ye adım atmaktan çekinmektedir.

Buna ek olarak, gelirinin büyük bir kısmı reklamlardan gelen siteler, satışların düşmesinden korkmak zorundadır. HTTPS sayfalarındaki reklamlar daha az gelir getirmektedir - bazı durumlarda gelirler üçte bir oranında düşmektedir. Bu durum, reklam yayıncılarının genellikle hala şifrelenmemiş bağlantılara güvenmesi ve şifrelenmiş sayfaların yalnızca dışarıdan gelen tüm öğeler de şifrelenmiş biçimde yüklendiğinde güvenli kabul edilmesiyle açıklanmaktadır. Örneğin, reklam banner'ları bu kriterleri karşılamıyorsa, şifrelenmiş sayfanızdaki reklam alanı için rekabet edemezler. Bu durumda daha az rekabet, daha düşük fiyatlar ve dolayısıyla bir web sitesi operatörü olarak sizin için daha düşük gelirler anlamına gelir.

Web barındırma sağlayıcıları aracılığıyla çalışan küçük web siteleri genellikle sanal ana bilgisayarlar aracılığıyla işletilir. Bunun dezavantajı, aynı IP'ye sahip çok sayıda sayfanın fiziksel bir sunucuda depolanmasıdır. Bu yalnızca HTTP veya henüz çok yaygın olmayan TLS'li HTTPS aracılığıyla çalışır. Öncül SSL kullanan sayfalar bunu yapamaz.

Aşağıdaki ipuçları HTTPS'ye geçişi kolaylaştıracaktır. Tavsiyelere uyun ve yaygın hatalardan ve dikkatsizlikten kaçının!

Yeni bir site haritası oluşturun ve bunu Google Search Console'a gönderin. Search Console'da bir disavow dosyası varsa, diğer tüm ayarların yanı sıra bunu da yeni HTTPS hesabına aktarmalısınız.

Tüm dahili ve harici kaynaklar HTTPS üzerinden yüklenmelidir. Şifreleme yoluyla yüklenmeyen resimler, komut dosyaları ve diğer içerikler için kullanıcılar tarayıcıda sitenin güvenilirliğini sorgulayan uyarılar görecektir.

Mümkünse eski sertifikaları kullanmayın, güvenli 2.048 bit şifrelemeye sahip modern sürümleri kullanın.

Robots.txt dosyası HTTPS üzerinden kurulmalı ve yönlendirmelerden kaçınmak için göreli bağlantılar kullanılmalıdır. Eski URL'ler 301 yönlendirmesi ile sayfanın şifrelenmiş sürümüne kolayca yönlendirilebilir.

Canonical etiketleri sayfanın SSL sürümüyle değiştirilmelidir. Ayrıca HTTP Strict Transport Security (HSTS) kullanın. Bu, şifrelenmiş bağlantıların şifrelemenin istismar edilmesinden korunmasını garanti eder. Ek olarak, arama motoru botlarının HTTPS sayfasını taramasına izin verilmelidir.

Kaynaklarınızı kontrol edin! Şifreleme, daha fazla bilgi işlem çabası anlamına gelir. Bu nedenle, kullanıcı için rahat bir deneyimi garanti etmek için acilen doğru çerçeve koşullarını sağlayın.

Nakit sıkıntısı çeken site operatörleri dışında, HTTPS'ye geçmemek için neredeyse hiçbir mazeret yok. Yasal avantajlar ve kullanıcı dostu olma ve arama motoru optimizasyonu açısından artılar, şifrelemeye şimdi geçmek için açık bir işarettir. Ve unutmamanız gereken bir şey var: İlerleme sadece bu trendi güçlendirecektir ve ne kadar erken kervana katılırsanız, yolda o kadar güvende olursunuz.