SSL (Secure Sockets Layer) ve onun halefi TLS (Transport Layer Security), web tarayıcısı ile sunucu arasındaki iletişimi şifreleyen güvenlik protokolleridir. HTTPS, HTTP protokolünün SSL/TLS ile güvenli hale getirilmiş versiyonudur. Günümüzde HTTPS artık bir tercih değil, zorunluluktur — Google, HTTPS'i bir sıralama faktörü olarak kullanır ve modern tarayıcılar HTTP sitelerini "Güvenli Değil" olarak işaretler.
SSL ve TLS Arasındaki Fark
SSL, 1990'larda Netscape tarafından geliştirilmiştir. SSL 3.0'ın yerini 1999'da TLS 1.0 almıştır. Günümüzde SSL protokolünün tüm sürümleri güvenlik açıkları nedeniyle kullanımdan kaldırılmıştır. "SSL sertifikası" terimi hâlâ yaygın olarak kullanılsa da, aslında modern sertifikalar TLS protokolünü kullanır. Güncel standart TLS 1.3'tür ve önceki sürümlere göre hem daha güvenli hem de daha hızlıdır.
HTTPS Nasıl Çalışır?
HTTPS bağlantısı kurulurken "TLS Handshake" adı verilen bir süreç gerçekleşir:
- Client Hello: Tarayıcı, desteklediği TLS sürümlerini ve şifreleme yöntemlerini sunucuya bildirir.
- Server Hello: Sunucu, kullanılacak TLS sürümünü ve şifreleme yöntemini seçer, sertifikasını gönderir.
- Sertifika Doğrulama: Tarayıcı, sertifikanın güvenilir bir otorite (CA) tarafından verildiğini doğrular.
- Anahtar Değişimi: Tarayıcı ve sunucu, oturum boyunca kullanılacak simetrik şifreleme anahtarını güvenli bir şekilde oluşturur.
- Şifreli İletişim: Tüm veri alışverişi bu oturum anahtarıyla şifrelenir.
TLS 1.3 ile handshake süreci hızlandırılmıştır — iki yerine tek gidiş-dönüş (round trip) ile bağlantı kurulur.
SSL/TLS Sertifika Türleri
DV (Domain Validation) — Alan Adı Doğrulama
- Yalnızca alan adı sahipliği doğrulanır
- Dakikalar içinde alınabilir
- Let's Encrypt ücretsiz DV sertifikası sunar
- Kişisel siteler ve bloglar için yeterlidir
OV (Organization Validation) — Kuruluş Doğrulama
- Alan adı sahipliğinin yanı sıra kuruluş bilgileri de doğrulanır
- 1-3 iş günü içinde verilir
- Sertifika detaylarında şirket adı görünür
- Ticari siteler ve kurumsal web siteleri için uygundur
EV (Extended Validation) — Genişletilmiş Doğrulama
- En kapsamlı doğrulama süreci
- Şirketin yasal varlığı, adresi ve telefonu doğrulanır
- 1-2 hafta sürebilir ve en pahalı seçenektir
- Bankalar ve e-ticaret siteleri için önerilir
Let's Encrypt: Ücretsiz SSL
Let's Encrypt, ücretsiz, otomatik ve açık kaynaklı bir sertifika otoritesidir (CA). 2015'ten bu yana milyarlarca sertifika vermiştir ve HTTPS'in yaygınlaşmasında en büyük etkenlerden biri olmuştur.
- DV sertifikaları tamamen ücretsizdir
- Sertifikalar 90 gün geçerlidir ve Certbot gibi araçlarla otomatik yenilenir
- Çoğu hosting sağlayıcısı Let's Encrypt entegrasyonu sunar
- Wildcard sertifikalar (*.example.com) da desteklenir
HSTS: HTTP Strict Transport Security
HSTS, tarayıcıya sitenize yalnızca HTTPS üzerinden erişmesini söyleyen bir güvenlik başlığıdır. Bu, HTTP'den HTTPS'e yönlendirme sırasındaki güvenlik açığını (man-in-the-middle) kapatır:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadmax-age: Tarayıcının HSTS politikasını ne kadar süre hatırlayacağı (saniye)includeSubDomains: Tüm alt alan adlarını da kapsarpreload: HSTS Preload listesine dahil olma isteği
HSTS Preload listesine kaydolduğunuzda, tarayıcılar sitenize ilk ziyarette bile doğrudan HTTPS kullanır.
HTTPS Neden Zorunlu?
- Veri güvenliği: Kullanıcı bilgileri, şifreler ve ödeme bilgileri şifrelenir
- SEO avantajı: Google, HTTPS sitelerini sıralamada tercih eder
- Kullanıcı güveni: Tarayıcılardaki kilit ikonu güven verir
- Modern web özellikleri: Service Worker, Geolocation API ve diğer modern API'ler HTTPS gerektirir
- HTTP/2 ve HTTP/3: Performans artışı sağlayan bu protokoller HTTPS gerektirir
SSL Durumunuzu Kontrol Edin
Web sitenizin SSL/TLS yapılandırmasını kontrol etmek için SSL Kontrol aracımızı kullanabilirsiniz. Ayrıca HSTS dahil tüm güvenlik başlıklarınızı doğrulamak için Güvenlik Başlıkları aracımıza göz atın.
Bu konuyla ilgili araçlarımızı da deneyin: SSL Kontrol, Güvenlik Başlıkları Analiz, Şifre Oluşturucu