Web güvenliği her geçen gün daha da önemli hale geliyor HSTS (HTTP Strict Transport Security) web siteleri için kritik bir güvenlik önlemidir. Bu makalede HSTS’nin ne olduğunu ve neden önemli olduğunu ele alacağız ayrıca HSTS’nin web siteleri için sağladığı güvenlik avantajlarını ve hız optimizasyonu hakkında konuşacağız.
İçerik
HSTS (HTTP Strict Transport Security) Nedir?
HTTP Strict Transport Security web sitelerinin güvenliğini sağlamak için kullanılan bir güvenlik mekanizmasıdır. Temel olarak HSTS bir web sitesinin yalnızca güvenli (HTTPS) bir bağlantı üzerinden erişilebilir olmasını sağlamaya yarar. Bu da kullanıcıların tarayıcılarında HSTS destekleyen web sitelerine erişirken her zaman güvenli (HTTPS) bir bağlantı kullanmalarını sağlar.
HSTS kavramını anlamak için HTTP ve HTTPS arasındaki farkları bilmek önemlidir. HTTP iletişimde bulunan cihazlar arasındaki verileri şifrelemez ve bu nedenle saldırganlar tarafından kolayca takip edilebilir. Diğer yandan HTTPS, verilerin şifreli bir şekilde iletilmesini sağlar ve bu da kullanıcıların verilerinin güvenliğini sağlar. HSTS, kullanıcıların tarayıcılarında web sitelerini ziyaret ettiklerinde otomatik olarak HTTPS üzerinden iletişim kurmalarını sağlayarak güvenliği artırır.
HTTP Strict Transport Security’in çalışma prensibi oldukça basittir. Bir web sitesi HSTS politikalarını desteklediğini belirttiğinde, tarayıcılar ziyaret edilen web sitesini bir “HSTS bildirimi” ile hatırlar. Bu bildiri web sitesinin gelecekteki tüm bağlantılarının güvenli (HTTPS) olarak kurulması gerektiğini tarayıcıya söyler. Böylece, kullanıcılar tekrar web sitesini ziyaret ettiklerinde tarayıcı otomatik olarak HTTPS üzerinden bağlantı kurar. HSTS kullanıcıların web sitesi ziyaretlerinde HTTP üzerinden yapılan saldırılara karşı korunmasına yardımcı olur ve güvenliği artırır. Tüm bunların yanında HTTP -> HTTPS yönlendirmesindeki süre kaybını azalttığı için web sitenizin hızlı bir şekilde açılmasını sağlar.
HSTS’nin Web Site Güvenliğine Etkileri Neler?
HTTP Strict Transport Security web sitelerinin güvenliğini artıran önemli bir mekanizmadır. Kullanıcıların verilerinin gizliliğini sağlar, saldırılara karşı koruma sağlar ve güvenilir bir iletişim ortamı oluşturur. Bu nedenle, web site sahiplerinin HTTP Strict Transport Security‘yi etkinleştirmeleri ve güvenliklerini artırmaları önemlidir. İşte bu özelliği aktifleştirmenin sağladığı bazı yararlar:
- Veri Gizliliği: Web siteleri arasındaki iletişimin şifrelenmiş bir şekilde gerçekleşmesini sağlar. Bu, kullanıcıların iletilen verilerin üçüncü taraflar tarafından izlenmesini veya çalınmasını engeller. Böylece kullanıcıların kişisel bilgileri, şifreleri ve hassas verileri daha güvenli bir şekilde iletilir.
- Man-in-the-Middle Saldırılarına Karşı Koruma: Tarayıcılara web sitesinin yalnızca güvenli bir bağlantı (HTTPS) üzerinden erişilebilir olduğu bildirilir. Bu sayede saldırganların ortadaki adam saldırıları gibi güvenlik açıklarını kullanarak kullanıcıların iletişimini izlemesini veya müdahale etmesini engeller.
- Tarayıcı Güvenliği: Tarayıcıların web sitelerini ziyaret ettiğinde otomatik olarak güvenli bir bağlantı kullanmasını sağlar. Bu, kullanıcıların bilinçsizce veya yanlışlıkla güvensiz (HTTP) bir bağlantı üzerinden iletişim kurmasını engeller. Tarayıcılar politikaları hatırlayarak web sitelerine her zaman güvenli bir şekilde erişmeyi sağlar.
- Güvenilirlik İmajı: HTTP Strict Transport Security kullanan bir web sitesi kullanıcılara güvenli bir ortam sağladığı hissiyatı verir. Bu web sitesinin güvenilirliğini artırır ve kullanıcıların verilerini güvenle paylaşmasını sağlar. HTTP Strict Transport Security’i destekleyen web siteleri, güvenliği ön planda tuttuklarını vurgulayarak kullanıcıların güvenini kazanır.
- Güvenlik Standartları: Bu uygulama web sitelerinin güvenlik standartlarına uymasını zorlar. HTTPS kullanımını teşvik ederek web sitesi sahiplerini ve geliştiricileri veri güvenliği konusunda daha bilinçli olmaya teşvik eder. Bu da genel olarak web güvenliği standartlarının yükselmesine katkıda bulunur.
HSTS Web Site Hızına Etki Eder Mi?
HTTP Strict Transport Securityweb sitelerinin güvenliğini sağlamak için kullanılan bir mekanizmadır. Ancak, bazı durumlarda web site hızını etkileyebilir. İşte HTTP Strict Transport Security’in web site hızı üzerinde olası etkileri:
- İlk Bağlantı Gecikmesi: HTTP Strict Transport Security yapısını etkin bir şekilde kullanılan bir web sitesine ilk kez erişildiğinde, tarayıcı HSTS politikasını almak için ek bir istek yapar. Bu nedenle web siteye ilk kez bağlandığınızda küçük bir gecikme yaşanabilir.
- Yüksek Ziyaretçi Trafiği Durumunda Sunucu Yükü: HTTP Strict Transport Security tarayıcılara web sitesinin yalnızca güvenli bir bağlantı (HTTPS) üzerinden erişilebilir olduğunu bildirir. Yoğun ziyaretçi trafiği durumunda sunucunun HTTPS bağlantılarını işlemesi için daha fazla kaynak gerekebilir. Bu da sunucu yükünün artmasına ve yanıt sürelerinin uzamasına neden olabilir.
- Yönlendirme Sorunları: HSTS etkin olduğunda, tarayıcılar web sitesine her zaman güvenli bir bağlantı üzerinden erişir. Bu nedenle, eski HTTP bağlantılarına yapılan yönlendirmeler hatalara neden olabilir ve kullanıcıların web siteye erişimini engelleyebilir. Ayrıca HSTS’nin önbellekleme sorunlarına yol açabileceği ve bazı durumlarda eski sürümleri görüntüleme sorunu yaşanabileceği unutulmamalıdır.
Bu etkiler HTTP Strict Transport Security’nin sağladığı güvenlik avantajlarıyla karşılaştırıldığında genellikle küçük ölçekli kalır. Web site sahipleri kullanıcıların güvenli bir şekilde iletişim kurabilmesi ve verilerin korunabilmesi için HTTP Strict Transport Security kullanmaya devam etmelidir.
HSTS Nasıl Aktifleştirilir?
HSTS’yi aktifleştirmek için web sitenizin bu politikalara uyduğunu bildirmeniz gerekiyor ve ardından birtakım işlemler yapmanız gerekiyor. Aşağıda anlatılan adımları uygulayarak siz de web sitenizde bu politikaları kabul ederek HSTS’yi aktifleştirebilirsiniz.
- SecurityHeaders internet sitesine giriş yapın.
- Ortada bulunan kutucuğa internet sitenizin adresini yazarak “Scan” butonuna tıklayın. Ardından yüksek ihtimalle Kırmızı arkaplanlı bir sayfa karşınıza çıkacak.
Bu şekilde kırmızı bir sonuç ekranıyla karşılaştıysanız web sitenizin HSTS optimizasyonu yapılmadığı anlamına gelmektedir.
- Ardından HSTSPreload.ORG web sitesine giriş yapın.
- Ortada bulunan kutucuğua site adresinizi yazın “Check HSTS Preload” cümlesi ile başlayan kutucuğa tıklayın. Yine karşınıza kırmızı arkaplanda bir sonuç ekranı çıkacaktır.
Bu şekilde kırmızı bir sonuç ekranıyla karşılaştıysanız web sitenizin HSTS optimizasyonu yapılmadığı anlamına gelmektedir.
- HSTS optimizasyonunun yapılıp yapılmadığı hakkında bilgi sahibi olduktan sonra yapmamız gereken tek şey web sitemizin ana dizininde bulunan .htaccess dosyasını HSTS politikalarına uygun bir şekilde düzenlemek.
- cPanel -> Dosya Yöneticisi -> .htaccess dosyası bölümüne giriş yapın. (.htaccess dosyasını görüntüleyemiyorsanız sağ üst tarafta bulunan dişli çark butonuna tıklayarak gizli dosya ve klasörleri göster bölümünü aktifleştirin.
- Aşağıda bulunan kodları .htaccess dosyasının uygun bir yerine yapıştırın ve kaydedin.
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options SAMEORIGIN
Header set Referrer-Policy: no-referrer-when-downgrade
</ifModule>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301,NE]
Header always set Content-Security-Policy "upgrade-insecure-requests;"- Ardından SecurityHeaders internet sitesine giriş yaparak yeniden web sitenizi taratın. Sonuç aşağıdaki görseldeki gibi olacaktır.
- Ardından SecurityHeaders internet sitesine giriş yaparak yeniden web sitenizi taratın. Sonuç aşağıdaki görseldeki gibi olacaktır.
- Sonuçlar görsellerde gösterilenler gibi “Yeşil Işık” yakılmış bir halde ise tebrikler web sitenizin HSTS optimizasyonunu başarıyla tamamladınız.
Özet
HSTS tarayıcılara web sitesinin yalnızca güvenli bir bağlantı üzerinden erişilebileceğini bildirir. Bu sayede saldırganların kullanıcı verilerini çalma veya manipüle etme girişimleri engellenmiş olur. HTTP Strict Transport Security’nin önemli avantajlarından biri de kullanıcıları kötü niyetli web sitelerine yönlendiren ve Man-in-the-Middle dediğimiz orta kişi saldırılarına karşı koruma sağlamasıdır. Aynı zamanda web sitelerinin itibarını artırır ve kullanıcıların güvenini kazanmalarına yardımcı olur.
Tüm bunların yanı sıra web sitenizde oluşabilecek yönlendirme gecikmelerini engellediği için internet siteniz daha hızlı bir şekilde kullanıcılara ulaştırılacak, bu durum sayesinde de SEO açısından olumlu olarak etkileneceksiniz.
Web site hızı denildiğinde akla ilk gelmesi gereken şeylerden biri de Görsel Optimizasyonu’dur. Yüksek boyutlu görseller internet sitenizin hızını oldukça yavaşlatır ve kullanıcıların internet sitenize daha uzun sürede erişmesine neden olur. Bu yüzden internet sitelerinde Görsel Optimizasyonu yapmak oldukça önemlidir. Siz de web sitenizi hızlandırmak istiyorsanız WebP Nedir? WebP Express Ayarları konu başlıklı yazımıza göz atabilirsiniz.
HTTP Strict Transport Security optimizasyonu hakkında aklınıza takılan herhangi bir şey olursa veya herhangi bir adımda sorun ile karşılaşırsanız aşağı bölümde bulunan yorumlar kısmından veya iletişim sayfasından benimle iletişime geçebilirsiniz.
