Defaults.Exposed › Düzeltmeler › HTTPS ve zorunlu güvenli yönlendirme

HTTPS ve zorunlu güvenli yönlendirme nasıl düzeltilir

HTTPS, tarayıcı çubuğundaki asma kilittir — web siteniz ve müşterileriniz arasında aktarılan her şeyi şifreler; aktarım sırasında okunmasını veya kurcalanmasını engeller. Zorunlu güvenli yönlendirme, ziyaretçilerin adresinizi 'https://' olmadan yazsalar bile otomatik olarak bu şifreli sürüme yönlendirilmelerini sağlar. Bu ikili, bir web sitesinin güvenli sayılabilmesi için gereken tek en temel şeydir.

İşletmeniz için sonuç: HTTPS olmadan müşterinizin size gönderdiği her şifre, kart numarası ve mesaj internette düz metin olarak geçer; Chrome, Edge, Safari ve Firefox her ziyaretçi için bir kelime okumadan önce sitenizi 'Güvenli Değil' olarak damgalar. Yönlendirme olmadan, sertifikalı siteler bile ilk ziyareti korumasız bırakır. Her ikisi de güven, satış ve arama sıralamanızı etkiler — her ikisini de dakikalar içinde ücretsiz düzeltebilirsiniz.

Bu size ne mal olabilir

• Yeni ziyaretçi, sayfanız yüklenir yüklenmez büyük 'Güvenli Değil' uyarısı görür. Çoğu sitenin sahte, bozuk veya güvensiz olduğunu düşünür ve rakibe gider — satışın kaybolduğunu asla öğrenmezsiniz.
• Müşteri, kafe, otel veya havalimanı ağından şifrelenmemiş bir bağlantıyla kart bilgilerini girer veya giriş yapar. Aynı Wi-Fi'daki biri bunu düz metin olarak okur ve ardından gelen sahte işlemler size atfedilir.
• Daha büyük bir müşterinin tedarik veya güvenlik ekibi imzalamadan önce hızlı tarama yapar, HTTPS veya eksik zorunlu güvenli yönlendirme görür ve siz kanıtlayıncaya kadar sözleşmeyi bekletir.
• Google, HTTPS kullanan rakiplerin altına sıralıyor; böylece yıllarca arama trafiğini sessizce kaybediyorsunuz ve bunu bu açığa bağlamadan.
• Bir düzenleyici ya da ödeme sağlayıcınız kişisel veya kart verilerini şifrelenmemiş göndermeyi bildirilebilir bir başarısızlık olarak değerlendiriyor; beş dakikalık ücretsiz düzeltmeyi uyum sorununa dönüştürüyor.

Neden önemlidir. HTTPS, web güvenliğinin tavanı değil tabanıdır — asma kilidi çıkaran ve müşterilerin gönderdiği her şeyin okunmadan veya değiştirilmeden geçmesini sağlayan şeydir. Zorunlu güvenli yönlendirme, tek başına sertifikanın bıraktığı boşluğu kapatır: insanlar neredeyse hiç 'https://' yazmaz, dolayısıyla yönlendirme olmadan ilk istekleri güvenli sürüm yüklenmeden önce korumasız gider. Bu ikisi eksik olan site ziyaretçilere güvensiz görünür, aramada daha alt sırada yer alır ve gerçek müşteri verilerini tehlikeye atar — bu nedenle puanladığımız tek en ağır başarısızlıktır.

Sade dille nedir

HTTPS, web sitenizin güvenli, şifreli sürümüdür — adres çubuğunda asma kiliti gösteridir. Ziyaretçi HTTPS üzerindeyken, tarayıcısı ile siteniz arasında geçen her şey (gördükleri sayfalar, doldurdukları formlar, şifreler, kart bilgileri) aradaki kimsenin okuyamayacağı ya da değiştiremeyeceği şekilde şifrelenir. Düz sürüm, HTTP, tüm bunları aynı ağdaki herkesin ele geçirebileceği okunabilir metin olarak gönderir.

Bunu doğru yapmanın iki parçası var ve her ikisini de kontrol ediyoruz:

• HTTPS hiç mevcut mu? Sitenizin şifreli, kilitli sürümünün var olması için çalışan bir güvenlik sertifikası var mı? Bu ikisinin daha ciddisi — onsuz hiç şifreleme olmaz.
• Siteniz ziyaretçileri oraya yönlendiriyor mu? Neredeyse kimse “https://” yazarak başlamaz. Biri sadece alan adı adınızı yazarsa tarayıcısı önce düz HTTP sürümünü dener. Zorunlu güvenli yönlendirme, bu isteği otomatik olarak şifreli sürüme gönderir. Onsuz, sertifika olsa bile her ziyaretin ilk anları korumasızdır.

Her ikisini de istiyorsunuz. Yönlendirme olmadan sertifika, ziyaretçilerin rahatlıkla etrafından dolaşabileceği kilitli bir ön kapıdır.

İş riskleri

Bu, bir web sitesinin güvenli olup olmadığının en temel sinyalidir — ve kritik olarak, müşterilerinizin kendileri görebilir. Her modern tarayıcı (Chrome, Edge, Safari, Firefox), HTTPS’siz bir siteyi adres çubuğunda “Güvenli Değil” olarak etiketler ve biri bir forma yazmaya çalışırsa uyarı gösterir. Ziyaretçilerinizin sertifikanın ne olduğunu bilmelerine gerek yoktur; o kelimeye tepki vermeleri yeterlidir.

Görünür uyarının ötesinde bu, sahiplerin doğrudan önem verdiği üç şeyi etkiler: güven (insanlar güvensiz görünen siteleri terk eder), arama sıralaması (Google yıllardır HTTPS’yi sıralama sinyali olarak kullanıyor ve güvenli siteleri tercih ediyor) ve gerçek tehlike (düz HTTP üzerinden gönderilen veriler gerçekten aynı ağdaki başkaları tarafından okunabilir). Bu aynı zamanda daha büyük bir müşterinin güvenlik ekibinin üstlenme sırasında saniyeler içinde kontrol ettiği türden bir şeydir — ve eksikliği bir anlaşmayı askıya alabilir.

Size maliyeti ne olabilir

• Sessiz çıkış. Potansiyel müşteri arama sonucundan veya reklamdan tıklar ve sayfa gri “Güvenli Değil” rozeti ile yüklenir — ya da daha kötüsü, tam ekran uyarı. Size neden sormak üzere e-posta atmaz; sekmeyi kapatır ve bir sonraki sonuca tıklar. O ziyaret için ödeme yaptınız ve onlar bir kelime okumadan kaybettiniz; analitiklerinizde hiçbir şey neden olduğunu söylemiyor.
• Ele geçirilmiş giriş veya ödeme. Müşteri otelde veya kafede paylaşımlı Wi-Fi üzerinden giriş yapıyor ya da sipariş veriyor. Bağlantı şifrelenmediğinden yakınındaki biri şifresini ve kart numarasını düz metin olarak ele geçiriyor. Ardından gelen dolandırıcılık sizin ihlaliniz olarak rapor ediliyor ve öfkeli çağrıları siz yanıtlıyorsunuz.
• Duran anlaşma. Daha büyük bir müşteri imzalamaya hazır, ama tedarik süreçleri web sitenizin hızlı güvenlik kontrolünü içeriyor. HTTPS yoksa veya zorunlu güvenli yönlendirme eksikse bulgu geliyor. Artık temel güvenlik açığını kapatmaya çalışmak yerine açıklamak zorundasınız — ve sözleşme bekliyor ya da sessizce kontrolü geçen rakibe gidiyor.
• Yavaş sıralama kaybı. İki işletme aynı şeyi sunuyor; biri güvenli HTTPS sunuyor, diğeri sunmuyor. Arama motorları güvenli olanı biraz yukarı itiyor. Aylar içinde düzenli ücretsiz trafik akışı kaybediyorsunuz ve bunu tek bir ayarla ilişkilendirmiyorsunuz.
• Yerleştirilen içerik siz yazmadınız. Şifrelenmemiş bağlantıda aradaki herkes — kötü bir genel ağ, güvenliği ihlal edilmiş bir yönlendirici — ziyaretçi sayfalarınızı yüklerken sahte açılır pencereler, dolandırıcılık teklifleri veya kötü amaçlı yazılım ekleyebilir. O ziyaretçiye göre sizin siteniz bunu yaptı.

Teknik olarak nedir

Tarayıcı bir web sitesine HTTPS üzerinden bağlandığında iki şey olur. Birincisi, site bir sertifika sunar — sitenin kim olduğunu iddia ettiği olduğunu kanıtlayan, güvenilir otorite tarafından verilen bir kimlik bilgisi. İkincisi, tarayıcı ve sunucu bir şifreleme anahtarı üzerinde anlaşır ve alışveriş ettikleri her şeyi şifrelemek için onu kullanır. HTTPS mevcut kontrolümüz basitçe şunu sorar: standart güvenli bağlantı noktasında (443) sitenize güvenli TLS bağlantısı yapabilir ve geçerli sertifika alabilir miyiz? Evet ise asma kilit görünebilir ve şifreleme açıktır. Hayırsa sitenizin güvenli sürümü hiç yoktur — ve bu puanladığımız tek en ağır başarısızlıktır.

İkinci kontrol, zorunlu güvenli yönlendirme, tek başına sertifikanın bıraktığı boşluğu kapatır. İnsanlar “sizniz.com” yazar, “https://sizniz.com” değil. Bu yalın istek önce düz HTTP sürümüne gider. Yönlendirme, “güvensiz sürüme ulaşan herkesi doğrudan güvenli sürüme gönder” diyen tek satır talimattır. Kontrolümüz şunu sorar: düz HTTP adresinizi istediğimizde siteniz bizi HTTPS’ye yönlendiriyor mu? Yönlendiriyorsa her ziyaretçi adresi nasıl yazdığından bağımsız olarak korunur. Yönlendirmiyorsa ilk korumasız an tarayıcının gönderdiği her şeyi — çerezler, form verileri — açıkça taşır.

“İyi” neye benzer: her sayfada asma kilidi gösteren geçerli, güvenilir sertifika ve her düz HTTP isteğinin otomatik olarak HTTPS sürümüne yönlendirilmesi (idealde arama sıralaması değerinizi temiz biçimde güvenli adrese aktaran kalıcı “301” yönlendirmesiyle).

Nasıl düzeltilir (ücretsiz, ~15 dakika)

BT uzmanınıza veya barındırma sağlayıcınızın desteğine iletin — düzeltme ücretsizdir. Bu ikisinin her ikisi de hiçbir şeye mal olmaz: güvenilir sertifikalar ücretsiz ve kendiliğinden yenilenir; yönlendirmeyi açmak çoğu platformda tek bir ayardır. Bunu geçmek için ücretli ürün gerekmez.

Açılacak iki şey var. Çoğu modern barındırmada birincisini yapmak ikincisini tek tıklamalık geçiş yapar.

1. Sertifika alın (asma kilit).

• Cloudflare: Siteniz Cloudflare’in arkasındaysa SSL sizin için yönetilir. SSL/TLS modunu “Tam”a (veya kaynak sunucunuzda da sertifika varsa “Tam (katı)“e) ayarlayın.
• Web sitesi oluşturucular ve yönetilen barındırma (Squarespace, Wix, Shopify, Webflow, GoDaddy Web Sitesi Oluşturucu, çoğu Microsoft 365 / Google Workspace web barındırması): HTTPS otomatik olarak sağlanır; site/alan adı ayarlarınızda etkin olduğundan emin olun — genellikle kurmak için hiçbir şey yok.
• cPanel barındırması: SSL/TLS Durumu’nu açın ve ücretsiz Let’s Encrypt sertifikası veren AutoSSL’i çalıştırın.
• Kendi sunucunuz (VPS): Certbot ile Let’s Encrypt kurun — sudo certbot --nginx -d alanadiniz.com (ya da --apache). Ücretsiz sertifika alır, kurar ve otomatik yenileme ayarlar.
• Diğerleri: barındırma sağlayıcınızın desteğine başvurun ve “alan adım için ücretsiz SSL sertifikasını etkinleştirin” isteyin. Neredeyse hepsi ücretsiz sunuyor.

2. Her ziyaretçiyi HTTPS’ye yönlendirin.

• Cloudflare: SSL/TLS → Kenar Sertifikaları → “Her Zaman HTTPS Kullan” seçeneğini açın. İşin tamamı bu.
• Web sitesi oluşturucular (Squarespace, Wix, Shopify vb.): site ayarlarınızda “HTTPS’yi Zorla” veya “Güvenli (HTTPS)” geçişini arayın ve açın.
• Nginx: 80. bağlantı noktasında kalıcı yönlendirme döndüren sunucu bloğu ekleyin — return 301 https://$host$request_uri;.
• Apache (.htaccess): yeniden yazmayı etkinleştirin ve HTTPS olmayan isteği yönlendirin — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (Windows barındırma): URL Yeniden Yazma modülünü kurun ve “HTTP’den HTTPS’ye” yönlendirme kuralı ekleyin.

İkisi de açıldıktan sonra test edin: düz http:// ile adresinizi yazın ve tarayıcının otomatik olarak kilitli https:// sürümüne atladığını, ana sayfalarınızda asma kilidin göründüğünü doğrulayın.

Yaygın hatalar

• Sertifika kurulu ama yönlendirme yok. En yaygın boşluk. Kendi sitenizi ziyaret ettiğinizde asma kilit görüyorsunuz (çünkü tarayıcınız HTTPS’yi hatırladı), dolayısıyla tamamlandığını düşünüyorsunuz — ama yalın alan adını yazan yeni ziyaretçiler hâlâ önce HTTP’ye ulaşıyor. Düz http:// sürümünü her zaman açıkça test edin.
• Karma içerik. Sayfanız HTTPS üzerinden yüklenirken eski bir http:// adresinden görsel, komut dosyası veya yazı tipi çekiyor. Tarayıcılar ya bunu engelliyor ya da asma kilidi uyarıya düşürüyor. Bu referansları https:// olarak güncelleyin (ya da göreli bağlantılara). Çoğu platform “karma içerik” veya “güvensiz içerik” raporu ile bunları buluyor.
• Kalıcı (301) yönlendirme yerine geçici (302). 302 ziyaretçiler için çalışır ama arama motorlarına taşımanın geçici olduğunu söyler; dolayısıyla sıralama değeri güvenli adresinize temiz aktarılmaz. Kalıcı 301 kullanın.
• Yalnızca yalın alan adını yönlendirip “www”yi (ya da tersini) yönlendirmemek. Hem alanadiniz.com hem de www.alanadiniz.com’un HTTPS’ye ulaştığından emin olun.
• Sertifikanın sona ermesine izin vermek. Süresi dolmuş sertifika, ziyaretçileri durduran tam ekran tarayıcı hatası atar. Ücretsiz Let’s Encrypt sertifikaları otomatik yenilenir; manuel aldıysanız sona ermesinden önce takvim hatırlatıcısı ayarlayın.

SSS

Yukarıdaki sorulara bakın — bunu kendim yapabilir miyim, asma kilide sahip olma ile yönlendirmeyi zorlamanın farkı, sertifika maliyeti ve yenileme, broşür sitelerinin buna ihtiyaç duyup duymadığı ve bunun HSTS ile ilişkisi konularını kapsıyorlar.

SSS