Kategoriler
CloudFlare

HTTP ve HTTPS arasındaki fark nedir?

HTTPS ise HTTP ile TLS şifreleme . HTTPS, normal HTTP isteklerini ve yanıtlarını şifrelemek için TLS ( SSL ) kullanır , bu da onu daha güvenli ve daha güvenli hale getirir. HTTPS kullanan bir web sitesinin URL’sinin başında https://www.cloudflare.com gibi http: // yerine https: // vardır.

Peki, web siteleri neden HTTPS kullanmalı ?

Neden 1: HTTPS kullanan web sitesi kullanıcılar için daha güvenilirdir.

HTTPS kullanan bir web sitesi, yerel gıda güvenliği müfettişinden bir “Geçiş” gösteren bir restoran gibidir: potansiyel müşteriler, büyük ölçüde olumsuz etkiler yaşamadan işletmeyi koruyabileceklerine güvenebilirler. Ve günümüzde ve bu çağda, HTTP kullanmak esasen bir “Başarısız” gıda güvenliği denetim işareti göstermeye benzer: Bir müşterinin başına korkunç bir şey gelmeyeceğinin garantisi yoktur.

HTTPS, saldırganların verileri çalamaması için iletişimleri şifrelemek için SSL / TLS protokolünü kullanır. SSL / TLS ayrıca bir web sitesi sunucusunun söylediği kişi olduğunu doğrular ve taklitleri önler. Bu, çok sayıda siber saldırıyı durdurur (tıpkı gıda güvenliğinin hastalıkları önlediği gibi).

Bazı kullanıcılar SSL / TLS’nin faydalarından habersiz olsa da, modern tarayıcılar ne olursa olsun bir web sitesinin güvenilirliğinin farkında olduklarından emin oluyorlar.

Chrome ve diğer tarayıcılar, tüm HTTP web sitelerini “güvenli değil” olarak işaretler.

Google, web sitelerini birkaç yıl içinde HTTPS’yi dahil etme yönünde dürtmek için aşamalı olarak adımlar attı. Google ayrıca HTTPS’yi arama sonuçlarını nasıl döndürdüklerinde bir kalite faktörü olarak kullanır ; Web sitesi ne kadar güvenli olursa, ziyaretçinin Google’ın sağladığı bağlantıya tıklayarak hata yapma olasılığı o kadar düşük olur.

Temmuz 2018’den itibaren Chrome 68’in piyasaya sürülmesiyle birlikte, tüm güvenli olmayan HTTP trafiği URL çubuğunda “güvenli değil” olarak işaretlendi. Bu bildirim, geçerli bir SSL sertifikası olmayan tüm web siteleri için görünür . Diğer tarayıcılar da aynı şeyi yaptı.

Neden No. 2: HTTPS, hem kullanıcılar hem de web sitesi sahipleri için daha güvenlidir.

HTTPS ile veriler her iki yönde de aktarılırken şifrelenir: kaynak sunucuya gidip gelir . Protokol haberleşme kötü amaçlı tarafların veri gönderiliyor olup bittiğini gözlemlemek olamaz ki güvenli tutar. Sonuç olarak, kullanıcılar bir forma girdiklerinde kullanıcı adları ve parolalar aktarım sırasında çalınamaz. Web sitelerinin veya web uygulamalarının kullanıcılara hassas veya kişisel veriler (örneğin banka hesabı bilgileri) göndermesi gerekiyorsa, şifreleme bu verileri de korur.

Neden No. 3: HTTPS web sitelerinin kimliğini doğrular.

Uber ve Lyft gibi araç paylaşımı uygulamalarının kullanıcıları, sırf sürücü onları almak için orada olduklarını söylediği için, inançlarına bağlı olarak bilmedikleri bir arabaya binmek zorunda değiller. Bunun yerine, uygulamalar onlara sürücü hakkında adları ve görünüşleri, ne tür bir araba kullandıkları ve plaka numarası gibi bilgiler veriyor. Her araç paylaşımı farklı olsa ve sürücüyü daha önce hiç görmemiş olsalar bile, kullanıcılar bu şeyleri kontrol edebilir ve doğru araca bindiklerinden emin olabilirler.

Benzer şekilde, bir kullanıcı bir web sitesine gittiğinde, aslında yaptığı şey, bilmedikleri, daha önce hiç görmedikleri insanlar tarafından sürdürülen uzak bilgisayarlara bağlanmaktır. HTTPS’yi etkinleştiren bir SSL sertifikası, yolculuk paylaşımı uygulamasındaki sürücü bilgilerine benzer. Bir web sunucusunun iddia ettiği kişi olduğuna dair güvenilir bir üçüncü taraf tarafından yapılan harici doğrulamayı temsil eder.

Bu, bir saldırganın bir web sitesini taklit ettiği veya sahtekarlık yaptığı saldırıları önler ve kullanıcıların sahte bir sitedeyken ulaşmayı amaçladıkları sitede olduklarını düşünmelerine neden olur. HTTPS kimlik doğrulaması, bir şirketin web sitesinin meşru görünmesine yardımcı olmak için çok şey yapar ve bu, kullanıcının şirketin kendisine yönelik tutumunu etkiler. (Kullanıcılar, bir web sitesinin Cloudflare Teşhis Merkezi’nde test ederek HTTPS’yi doğru şekilde kullanıp kullanmadığını kontrol edebilir .)

HTTPS efsane kavramları

Birçok web sitesi HTTPS’yi benimsemekte yavaş kaldı. Bunun neden böyle olduğunu keşfetmek için tarihe bakmalıyız.

HTTPS ilk olarak piyasaya sürülmeye başladığında, doğru uygulama zor, yavaş ve pahalıydı; düzgün bir şekilde uygulanması zordu, İnternet isteklerini yavaşlattı ve pahalı sertifika hizmetleri gerektirerek maliyetleri artırdı. Bu engellerin hiçbiri doğru değil, ancak birçok web sitesi sahibi için hala devam eden bir korku var ve bu da bazılarının daha iyi güvenliğe geçiş yapmasını engelliyor. HTTPS ile ilgili bazı efsaneleri inceleyelim.

“Web sitemdeki hassas bilgileri işlemediğim için HTTPS’ye ihtiyacım yok”

Web sitelerinin güvenliği uygulamamasının yaygın bir nedeni, bunun kendi amaçları için gereğinden fazla olduğunu düşünmeleridir. Sonuçta, hassas verilerle uğraşmıyorsanız, birinin gözetlemesi kimin umurunda? Bunun web güvenliği konusunda aşırı basit bir bakış açısı olmasının birkaç nedeni vardır. Örneğin, bazı İnternet servis sağlayıcıları, HTTP tarafından sunulan web sitelerine gerçekten reklam enjekte edecektir. Bu reklamlar, web sitesinin içeriğiyle uyumlu olabilir veya olmayabilir ve web sitesi sağlayıcısının hiçbir yaratıcı girdisi veya gelir payının olmaması dışında potansiyel olarak saldırgan olabilir. Bu enjekte edilen reklamlar, bir site güvenli hale getirildikten sonra artık uygulanabilir değildir.

Modern web tarayıcıları artık güvenli olmayan sitelerin işlevselliğini sınırlamaktadır. Web sitesinin kalitesini artıran önemli özellikler artık HTTPS gerektiriyor. Coğrafi konum, anlık bildirimler ve aşamalı web uygulamalarını (PWA’lar) çalıştırmak için gereken hizmet çalışanlarının tümü daha yüksek güvenlik gerektirir. Bu mantıklı; bir kullanıcının konumu gibi veriler hassastır ve kötü amaçlarla kullanılabilir.

“Sayfa yükleme sürelerimi artırarak web sitemin performansına zarar vermek istemiyorum”

Performans, hem kullanıcı deneyiminde hem de Google’ın aramada sonuçları nasıl döndürdüğünde önemli bir faktördür. Anlaşılır bir şekilde, gecikmeyi artırmak ciddiye alınması gereken bir şeydir. Neyse ki, şifreli bir bağlantı kurmak için gereken performans ek yükünü azaltmak için HTTPS’de zaman içinde iyileştirmeler yapıldı.

Bir HTTP bağlantısı oluştuğunda, web sayfasını isteyen istemci ile sunucu arasında bağlantının yapması gereken bir dizi hata vardır. Bir TCP anlaşmasıyla ilişkili normal gecikmenin yanı sıra (aşağıda mavi olarak gösterilmiştir), HTTPS’yi kullanmak için ek bir TLS / SSL anlaşması (sarı ile gösterilmiştir) gerçekleşmelidir.

TLS oturumu devam ettirme ve TLS yanlış başlatma dahil olmak üzere, bir SSL bağlantısı oluşturmanın toplam gecikmesini azaltmak için iyileştirmeler uygulanabilir.

Oturum devam ettirmeyi kullanarak bir sunucu, ek istekler için aynı oturumu devam ettirerek bağlantıyı daha uzun süre canlı tutabilir. Bağlantının canlı tutulması, istemci önbelleğe alınmamış bir kaynak getirme gerektirdiğinde bağlantıyı yeniden görüşmek için harcanan zamandan tasarruf sağlar ve toplam RTT’yi % 50 azaltır .

Şifrelenmiş bir kanalın oluşturulma hızındaki bir başka iyileştirme, istemci kimlik doğrulamasını bitirmeden önce şifrelenmiş verileri göndererek gecikmeyi azaltan TLS yanlış başlatma adı verilen bir işlem uygulamaktır. Daha fazla bilgi için TLS / SSL’nin bir CDN’de nasıl çalıştığını keşfedin .

Son fakat en az değil, HTTPS , HTTP istekleri için performansı büyük ölçüde optimize edebilen sunucu itme ve çoklama gibi harika şeyler yapmanıza izin veren HTTP / 2 kullanarak performans geliştirmelerinin kilidini açar . Toplamda geçiş yapmak için önemli bir performans avantajı vardır.

“HTTPS’yi uygulamak benim için çok pahalı”

Bir noktada bu doğru olabilir, ancak şimdi maliyet artık bir endişe değil; Cloudflare , web sitelerine geçişleri ücretsiz olarak şifreleme olanağı sunar . Ücretsiz olarak SSL sağlayan ilk biz olduk ve vermeye devam ediyoruz. İnternet güvenliğini büyük ölçüde iyileştirerek, İnternet’in daha güvenli ve daha hızlı olmasına yardımcı olabiliriz.

“Sitemi HTTPS’ye taşırken arama sıralamasını kaybedeceğim”

Web sitesi geçişiyle ilişkili riskler vardır ve yanlış yapıldığında olumsuz bir SEO etkisi mümkündür. Olası tehlikeler arasında, web sitesi kesinti süresi, taranmamış web sayfaları ve sitenin iki kopyası aynı anda mevcut olduğunda içerik çoğaltma cezası sayılabilir. Bununla birlikte, web siteleri en iyi uygulamalar izlenerek güvenli bir şekilde HTTPS’ye taşınabilir.

En önemli göç uygulamalarından ikisi:

1) 301 yönlendirmeleri kullanarak ve 2) kanonik etiketlerin uygun şekilde yerleştirilmesi. Bir web sitesi, HTTPS sürümüne işaret etmek için HTTP sitesinde sunucu 301 yeniden yönlendirmelerini kullanarak, Google’a tüm arama ve indeksleme amaçları için yeni konuma gitmesini söyler. Kanonik etiketleri yalnızca HTTPS sitesine yerleştirerek, Googlebot gibi tarayıcılar yeni güvenli içeriğin artık standart olarak kabul edilmesi gerektiğini bilecek.

Çok sayıda sayfanız varsa ve yeniden taramanın çok uzun süreceğinden endişeleniyorsanız, Google’a ulaşın ve web sitenize ne kadar trafik çekmek istediğinizi söyleyin. Ağ mühendisleri daha sonra sitenizi hızlı bir şekilde ayrıştırmaya ve dizine eklemeye yardımcı olmak için tarama oranını yükseltir.

Kaynak:https://www.cloudflare.com/learning/ssl/why-use-https/

Spreading Love by Sharing