bg-blog-articles

HSTS Nedir? HTTP Sıkı Aktarım Güvenliği Kılavuzu

Web sitenizin ziyaretçilerinin verilerinin yanlış ellere geçmesinden hiç endişelendiniz mi? HTTP Strict Transport Security (HSTS) bu korkuları hafifletmek için burada. Tarayıcıların her zaman güvenli HTTPS bağlantılarını varsayılan olarak kullanmasını sağlayarak sitenizin siber tehditlere karşı savunmasızlığını önemli ölçüde azaltır.

HSTS nedir

Bu makalede, HSTS’nin tam olarak nasıl çalıştığını, önemli faydalarını ve etkili bir şekilde uygulamak için pratik adımları keşfedeceksiniz. Birlikte, web sitenizin ziyaret eden herkes tarafından güvenli ve güvenilir kalmasını sağlayacağız.


İçindekiler

  1. HSTS nedir?
  2. HSTS Nasıl Çalışır?
  3. HSTS Uygulamanın Faydaları
  4. HSTS’nin Uygulanması için Adım Adım Kılavuz
  5. HSTS Ön Yükleme Listesi
  6. Sık Karşılaşılan Zorluklar ve En İyi Uygulamalar

SSL sertifikalarını bugün alın

HSTS nedir?

HTTP Strict Transport Security (HSTS), tarayıcıları web sitelerine yalnızca HTTPS kullanarak bağlanmaya zorlayan bir web güvenlik politikasıdır. HSTS, güvenli bağlantıları zorlayarak kullanıcıları ortadaki adam saldırıları, SSL sıyırma ve çerez ele geçirme gibi tehditlerden korur.

HSTS’den önce, bir sitede HTTPS etkinleştirilmiş olsa bile, kullanıcı aracıları (web tarayıcıları) başlangıçta güvenli olmayan HTTP üzerinden bağlanmaya çalışarak güvenlik açıkları yaratabilirdi. Saldırganlar trafiği kesmek, kullanıcıları kötü amaçlı sitelere yönlendirmek ya da hassas verileri çalmak için bu anlardan faydalanabilirdi. HSTS, Strict-Transport-Security adlı özel bir başlık aracılığıyla tarayıcılara ilk güvenli ziyaretten sonra asla güvenli olmayan bir bağlantı denememeleri talimatını vererek bu sorunu çözer.

HSTS’yi uygulamak, güvensiz yönlendirmeleri ortadan kaldırarak ve güvenlik açıklarını en aza indirerek sitenizin güvenlik duruşunu dönüştürür. Hassas kullanıcı verilerini, finansal işlemleri işleyen veya yasal uyumluluk gerektiren web siteleri için çok önemlidir.

RFC 6797 aracılığıyla 2012 yılında resmi olarak tanıtıldı ve uygulaması için net yönergeler oluşturuldu.


HSTS Nasıl Çalışır?

Tarayıcınız güvenli bir HTTPS bağlantısı üzerinden HSTS özellikli bir web sitesini ilk kez ziyaret ettiğinde, sunucu tarayıcıya bir HSTS başlığı gönderir. Bu başlık, gelecekteki ziyaretler için kritik talimatlar içerir ve web sitesine HTTP üzerinden erişme girişimlerinin otomatik olarak HTTPS’ye yönlendirilmesi gerektiğini belirtir.

Bir HSTS başlığındaki temel yönergeler şunlardır:

  • max-age: Bu yönerge, tarayıcıların HTTPS bağlantılarını zorlamak için hatırlamaları gereken süreyi (saniye cinsinden) tanımlar. Tipik bir değer bir yıl olabilir(31536000 saniye).
  • includeSubDomains: Bu isteğe bağlı yönerge, ilkenin tüm alt alan adları için de geçerli olmasını sağlayarak tüm alan adı yapınızı korur.
  • preload: Alan adınızın tarayıcının ön yükleme listesine dahil edilmesine izin verdiğini belirten ve ilk ziyaretten itibaren koruma sağlayan bir başka isteğe bağlı yönerge.

Basit bir örnek ele alalım. Bir tarayıcı https://example.com adresine bağlandığında, sunucu yanıtı şunları içerebilir:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Bu başlık ile tarayıcı, bu site ve tüm alt alanları için bir yıl boyunca her zaman HTTPS kullanması gerektiğini anlar. Bir ziyaretçi daha sonra http://example.com veya http://sub.example.com gibi bir alt alan adı üzerinden bağlanmayı denerse, tarayıcı güvenli olmayan sürümle hiç iletişime geçmeden isteği otomatik olarak HTTPS’ye dönüştürür.

HSTS’nin bir sınırlaması, HSTS ön yüklemesi kullanılmazsa ilk bağlantı sırasında potansiyel güvenlik açığıdır. Neyse ki HSTS ön yüklemesi, etki alanını tarayıcıların yerleşik listelerine yerleştirerek bu sorunu çözer ve ilk ziyaret sırasında bile güvenli bağlantılar sağlar.


HSTS Uygulamanın Faydaları

HSTS’yi uygulamak hem size hem de web sitenizin ziyaretçilerine sayısız avantaj sunar:

  • Geliştirilmiş Güvenlik: HSTS, HTTPS’yi zorlayarak ortadaki adam (MITM) saldırıları, SSL sıyırma, çerez ele geçirme ve protokol düşürme saldırıları gibi yaygın tehditleri etkili bir şekilde önler. HSTS etkin olduğunda, saldırganlar güvensiz bağlantılardan yararlanma fırsatlarını kaybeder ve genel güvenlik stratejinize güçlü bir savunma katmanı ekler.
  • Geliştirilmiş Kullanıcı Güveni ve Deneyimi: Ziyaretçiler, tarayıcılarında sürekli olarak güvenli bir asma kilit simgesi gördüklerinde web sitenizle etkileşime girerken kendilerini daha güvende hissederler. Bu gelişmiş güvenlik göstergesi hemen çıkma oranlarını düşürebilir, kullanıcı memnuniyetini artırabilir ve tekrar ziyaretleri teşvik ederek sonuçta daha güçlü müşteri ilişkilerini teşvik edebilir.
  • SEO Faydaları: Google ve diğer arama motorları güvenli web sitelerine öncelik verir, yani tutarlı HTTPS kullanımı sitenizin çevrimiçi görünürlüğünü ve keşfedilebilirliğini olumlu yönde etkileyebilir. Daha iyi görünürlük, artan organik trafik anlamına gelir ve web sitenizi katı HTTPS standartlarını benimsememiş rakiplerin önüne geçirir.
  • Mevzuata Uygunluk: Hassas verileri işleyen işletmeler PCI DSS, GDPR ve HIPAA gibi sıkı düzenlemelere uymalıdır. HSTS’nin uygulanması, güvenli iletişim standartlarını uygulayarak ve olası veri ihlallerini önleyerek bu gerekliliklerin karşılanmasında kritik öneme sahiptir.

SSL Sertifikalarında %10 Tasarruf Edin

HSTS’nin Uygulanması için Adım Adım Kılavuz

HSTS’yi etkili bir şekilde uygulamak için bu pratik adımları izleyin:

1. HTTPS için Hazırlık

2. HSTS Üstbilgilerini Yapılandırma

HTTPS kurulduktan sonra, web sunucunuzda HSTS başlığını etkinleştirin:

Apache: Aşağıdakileri .htaccess dosyanıza veya sunucu yapılandırmanıza ekleyin:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Değişiklikleri etkinleştirmek için Apache’yi yeniden başlatın.

Nginx: Bunu sunucu bloğunuza ekleyin:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Yapılandırmayı uygulamak için Nginx’i yeniden yükleyin.

Microsoft IIS: Bunu web.config dosyanıza ekleyin:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload"/>
</customHeaders>
</httpProtocol>
</system.webServer>

Değişiklikleri kaydedin ve düzgün uygulamayı sağlamak için IIS’yi yeniden başlatın.

3. Yapılandırmanızı Test Etme

  • İyice test ederek HSTS kurulumunuzu onaylayın. SSL Dragon’un sertifika denetleyicisi veya SecurityHeaders.com gibi araçlar, başlık dağıtımının ve güvenlik derecelerinin hızlı bir şekilde doğrulanmasını sağlar.
  • Daha derin inceleme için tarayıcı geliştirici araçlarını kullanın. Chrome veya Firefox‘ta geliştirici araçlarını(F12) açın, sekmesine gidin ve sayfanızı yenileyin. Strict-Transport-Security başlığının varlığını ve doğruluğunu doğrulamak için HTTP yanıt başlıklarını kontrol edin.

4. Kademeli Olarak Artan maksimum yaş

  • Başlangıçta kısa bir maksimum yaş değeri (örneğin 300 saniye) ile başlayın. Bu temkinli yaklaşım, ziyaretçilerinizi ciddi şekilde etkilemeden herhangi bir yanlış yapılandırmayı hızlı bir şekilde belirlemeye yardımcı olur.
  • İstikrar onaylandıktan sonra bu süreyi kademeli olarak artırın, önce bir haftaya(604800 saniye), ardından bir aya(2592000 saniye) ve son olarak bir yıl veya daha uzun bir süreye(31536000 saniye) uzatın.
  • Analitikleri, hata günlüklerini ve kullanıcı geri bildirimlerini inceleyerek her aşamada yakından izleyin. Süreyi daha da uzatmadan önce bildirilen sorunları derhal ele alın.

HSTS Ön Yükleme Listesi

HSTS ön yükleme listesi, Google Chrome, Mozilla Firefox, Safari, Microsoft Edge ve Opera dahil olmak üzere büyük tarayıcılar tarafından yönetilen önemli bir güvenlik girişimidir. Tarayıcıların web sitelerini ilk ziyaretten itibaren yalnızca HTTPS üzerinden yüklemesine olanak tanıyarak ilk HTTP bağlantılarıyla ilişkili güvenlik açıklarını ortadan kaldırır.

Alan Adınızı Ön Yükleme Listesine Ekleme

Web sitenizi ön yükleme listesine dahil etmek için belirli kriterleri karşılamanız gerekir.

  1. Öncelikle, alan adınızın doğru şekilde yüklenmiş ve yapılandırılmış geçerli bir SSL/TLS sertifikasına sahip olduğundan emin olun. Ayrıca, tüm HTTP trafiği otomatik ve sorunsuz bir şekilde HTTPS’ye yönlendirilerek güvenli olmayan erişim girişimleri önlenmelidir.
  2. HSTS başlığının kendisi önemli bir maksimum yaş değeri belirtmelidir (genellikle en az bir yıl veya 31536000 saniye). Tarayıcı tarafından dahil edilmeye hak kazanmak için hem includeSubDomains hem de preload yönergelerini içermelidir.
  3. Bu kriterleri karşıladıktan sonra, alan adınızı resmi preload gönderim sitesi olan hstspreload.org üzerinden gönderebilirsiniz. Onaylandıktan sonra, web siteniz tarayıcılara yerleştirilen ön yükleme listesinin bir parçası haline gelir ve kullanıcının sitenizle ilk etkileşiminden önce bile potansiyel güvenlik tehditlerine karşı anında koruma sağlar.

Önemli Hususlar

Dikkatli olun: Ön yükleme kısa vadede geri döndürülemez. Web siteniz sürekli HTTPS desteğini sürdüremiyorsa, ön yükleme erişilebilirlik sorunlarına yol açabilir. Alan adınızı göndermeden önce HTTPS dağıtımınızı iyice test edin.


Sık Karşılaşılan Zorluklar ve En İyi Uygulamalar

HSTS’yi uygulamak web sitesi güvenliğini önemli ölçüde artırır ancak aynı zamanda zorlukları da beraberinde getirebilir. İşte bu yaygın sorunları etkili bir şekilde nasıl ele alabileceğiniz:

  • Karışık İçerik Sorunları: Bazı sayfa öğeleri güvensiz HTTP üzerinden yüklenirken diğerleri HTTPS kullandığında, tarayıcılar ziyaretçileri uyararak kafa karışıklığına veya güvensizliğe neden olur. Tarayıcılara güvensiz kaynakları otomatik olarak belirleme, raporlama ve engelleme talimatı veren bir İçerik Güvenliği Politikası (CSP) uygulayarak bu sorunu çözün. Tüm gömülü komut dosyalarının, resimlerin ve harici kaynakların sürekli olarak HTTPS kullandığından emin olmak için sitenizi düzenli olarak denetleyin ve ziyaretçilerin uyarılar olmadan güvenli bir tarama deneyimi yaşamasını sağlayın.
  • Sertifika Süresi Sonu: Süresi dolmuş bir SSL/TLS sertifikası, özellikle HSTS etkinleştirildiğinde, tarayıcılar siteye bağlanmayı reddedeceğinden ziyaretçileri tamamen engelleyebilir. Sertifika ömürleri 15 Mart 2026’dan itibaren 200 güne indirilmiştir, 15 Mart 2027’de 100 güne ve 15 Mart 2029’dan itibaren sadece 47 güne düşecektir. Kesintileri önlemek için, mümkün olan her yerde sertifika verme ve yenileme işlemlerini otomatikleştirin. ACME tabanlı çözümler bu amaçla yaygın olarak kullanılmakta ve manuel müdahale olmadan sürekli HTTPS kullanılabilirliğinin korunmasına yardımcı olmaktadır.
  • Ters Proxy Komplikasyonları: Ters proxy’ler veya CDN’ler bazen düzgün HSTS başlık yayılımını bozarak HTTPS isteklerine müdahale edebilir. Bunu önlemek için, ters proxy’nizin veya CDN’nizin başlıkları doğru şekilde geçirdiğini ve tüm bağlantı zinciri boyunca güvenli başlıkları koruduğunu doğrulayın. Özellikle altyapı veya yapılandırma değişikliklerinden sonra, doğru yapılandırmayı ve başlık bütünlüğünü doğrulamak için güvenlik tarayıcılarını kullanarak HSTS başlıklarınızı düzenli olarak test edin.
  • HSTS Olmayan Ortamların Bakımı: Geliştirme ve hazırlama ortamları genellikle test ve hata ayıklama amacıyla HTTP erişimi gerektirir. Bu üretim dışı ortamlarda HSTS ilkelerini uygulamaktan kaçının. Bunun yerine, geliştirme veya test için ayrılmış ayrı etki alanları veya alt etki alanları kullanın. Bunları üretim sitelerinizden açıkça ayırarak iş akışlarını veya test süreçlerini bozabilecek katı HSTS politikalarının yanlışlıkla uygulanmasını önleyin.

Kurşun Geçirmez Güvenlik İçin İlk Adımı Atın

Bir sonraki adımı atmaya hazır mısınız? Web sitenizi aşağıdakilerle güvence altına alın SSL Ejderha‘in güvenilir SSL sertifikaları. Sorunsuz kurulum, rekabetçi fiyatlandırma ve olağanüstü desteğin keyfini çıkarın. Daha güçlü web güvenliğinden halihazırda yararlanan sayısız işletmeye katılın! SSL Dragon’dan SSL sertifikanızı bugün alın ve web sitenizin güvenli, güvenilir ve uyumlu kalmasını sağlayın.

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.