Beğenseniz de beğenmeseniz de web sitenizin güvenliği sorusu her zaman aklınızda olmalıdır. Küçük ve önemsiz görünen bir web siteniz olsa bile – bilgisayar korsanları tarafından hedef alınabilecek bir şey değil – yine de saldırıya uğrayabilir ve başka birine saldırmak için kullanılabilir. Online olduğunuzda güvenlik çok önemlidir ve web siteniz her zaman online olduğundan, her zaman potansiyel bir hedeftir. Bir WordPress web siteniz varsa, HTTP güvenlik başlıklarını kullanmak gibi daha az bilinen ancak eşit derecede önemli yöntemlerle güvenliği artırmak için yapabileceğiniz tüm güvenlik kontrol listesi vardır. Fakat oraya ulaşmak için temelleri ele almanız ve bunun için HTTP ve HTTPS ikilemi konusunda net olmanız gerekir.
Tamamen dürüst olmak gerekirse, HTTPS’nin üstün seçim olduğu kararı bir süredir var. Web sitenizin teknik olarak buna ihtiyacı olmasa bile, tarayıcıların HTTP ve HTTPS adreslerini farklı şekilde işlemesi sizi HTTPS’ye yönlendirmelidir. Yine de her zaman soru sormak iyidir ve bu yazıda en önemlilerini yanıtlamaya çalışacağız. Öğreneceksin:
-
HTTP Nedir?
-
HTTPS Nedir?
-
HTTP ve HTTPS – Pratik Çıkarımlar
HTTP Nedir?
Köprü Metni Aktarım Protokolü veya HTTP, bugün bildiğimiz internetin var olmasını sağlayan protokollerden biridir. Favori web sitenizdeki bir sayfaya erişmek için bir web tarayıcısı kullandığınızda veya bir ziyaretçi web sitenizdeki bir sayfaya erişmeye çalıştığında, tarayıcıda bir sayfanın görüntülenmesini sağlayan veri alışverişini kolaylaştırmak için HTTP kullanılır. Bir tarayıcıya ve bir sunucuya birbirleriyle nasıl konuşacaklarını söyler.
Kendisi İnternet Protokolü (IP) ile birlikte çalışan İletim Kontrol Protokolü’nün (TCP) üstünde çalıştığı için, değiş tokuşa dahil olan tek protokol değildir. Bu protokollerin her biri farklı bir rol oynar – örneğin TCP, bilgi paketlerinin güvenilir bir şekilde aktarılmasını sağlarken IP, paketlerin yönlendirilmesine ve adreslenmesine yardımcı olur.
Her biri kendi katmanında da çalışır. TCP bir taşıma katmanı protokolüdür, IP ise bir ağ katmanı protokolüdür. Bu katmanların da kendi numaraları vardır – taşıma katmanı 4. katman, ağ katmanı ise 3. katmandır. HTTP’nin ait olduğu katman, uygulama katmanı, katman 7’dir.
HTTP bir istemci-sunucu protokolüdür. Protokol içindeki iletişim, istemci – bir web tarayıcısı – başlattığında başlar. İstemci, istek olarak adlandırılan, sunucudan hangi bilgileri almak istediğini ayrıntılandıran istek satırını ve istekle ilgili daha fazla talimat sağlayan istek başlıklarını içeren mesajlar gönderir. Sunucu daha sonra yanıt olarak adlandırılan ve bir durum satırı, yanıt başlıkları ve istemci tarafından talep edilen bilgileri içeren bir mesajla yanıt verecektir.
HTTPS Nedir?
HTTP’nin temel özelliklerinden biri basit olmasıdır. Gerçekten basit. O kadar basit ki okuyup anlayabilirsiniz. HTTP bu şekilde oluşturuldu çünkü geliştiricilerin onunla çalışmasını çok daha kolaylaştırıyor ve genel olarak onu daha erişilebilir kılıyor. Orijinal HTTP protokolündeki yeni güncellemeler bile aynı basitlik seviyesini korumuştur.
Ne yazık ki, bu aynı zamanda birisinin HTTP kullanılarak değiş tokuş edilen mesajları ele geçirmesi durumunda, onların da onları okuyabileceği ve anlayabileceği anlamına gelir. Paket analizörleri veya paket dinleyicileri adı verilen özel bir yazılım türü tam da bunu yapabilir. Ağ yönetiminde kesinlikle meşru kullanımları olsa da, paketleri ele geçirmek ve onlardan değerli bilgiler çıkarmak isteyen bilgisayar korsanları tarafından da kullanılma eğilimindedirler. Bu yüzden kredi kartı numaralarını HTTP üzerinden göndermiyorsunuz. Bunu HTTPS üzerinden yaparsınız.
Köprü Metni Aktarım Protokolü Güvenli, Köprü Metni Aktarım Protokolünün uygun şekilde adlandırılmış güvenli sürümüdür. İlk uygulandığında, tek amacı iletişimi şifrelemek olan iletişim protokolleri paketine başka bir protokol – Güvenli Yuva Katmanı veya SSL – ekledi. Bu şekilde, birisi bir paketi ele geçirse bile onu okuyamaz – bilginin şifresini çözecek ve okunabilir hale getirecek anahtar yalnızca sunucu ve istemcide olacaktır.
Aktarım Katmanı Güvenliği adlı başka bir şifreleme protokolünün yerini aldıktan sonra kullanımdan kaldırılmasına izin verildiği için SSL artık kullanılmamaktadır. Hala başlangıç SSL’sini kullanıyoruz çünkü dünya buna alıştı. Fakat önemli olan, bir istemci ile bir sunucu arasındaki bağlantının şifreli olmasının mümkün olmasıdır ve buna HTTPS diyoruz.
HTTP ve HTTPS – Pratik Çıkarımlar
Öyleyse, HTTP her yerdeyse ancak güvenli değilse ve HTTPS, güvenlik açısından onun üzerinde bir gelişmeyse, birisi neden HTTPS kullanmamaya karar versin? Hiç bir sebep yok. Web, henüz orada değilse ve yeni standart olarak HTTPS’ye doğru ilerliyor ve sapmaların çoğu, benimseme engelinin neredeyse yok olması için ondan çözüldü.
Farklı SSL sertifika türleri sayesinde, ihtiyaçlarınıza tam olarak uyan bir SSL sertifikası seçebilirsiniz. Web siteniz için aşırıya kaçacak bir şey için ödeme yapmak zorunda kalarak aşırı yüklenmeyeceksiniz. Hiç ödeme yapmanız gerekmez – web sitenize ücretsiz bir SSL sertifikası ekleyebilirsiniz. WordPress kullanıyorsanız da kolaydır – tüm kurulum sürecini çocuk oyuncağı haline getirmek için SSL eklentileri olacağını bilirsiniz. Bununla birlikte kapsamlı olmak istiyorsanız, manuel SSL kurulum yöntemini de seçebilirsiniz.
Herhangi bir hassas veya değerli veriyi işlemediğiniz için web sitenizin bir güvenlik sertifikasına ihtiyacı olmayabilir. Durum böyle olsa bile, yine de web sitenize bir SSL sertifikası yüklemek istersiniz. Web tarayıcıları artık bağlantı türünü standart olarak adres çubuğunda gösteriyor. Ziyaretçilerinden herhangi bir önemli bilgi bırakmalarını istemeyen bir portföy web siteniz olsa bile, web sitenizin adresinin yanında “güvenli değil” ifadesinin veya eşdeğer bir sembolün görünmesi kötü bir görünümdür.
Konunun Özeti
İnternet, sorunların ortaya çıktığı karanlık köşelerle dolu bir yer olsa da, onu daha güvenli ve daha güvenli hale getirmek için sürekli çaba sarf edildiğini bilmekten mutlu olmalısınız. Şifrelemenin HTTP iletişimine dahil edilmesi, doğru yönde atılmış büyük bir adımdı. Dolayısıyla, HTTP ve HTTPS devam eden bir kavgaysa, HTTPS açık ara galip geldi.