Https Nedir?
HTTPs (Secure Hypertext Transfer Protocol), HTTP’nin SSL ve TLS protokolleri ile daha güvenli hale getirilmiş bir versiyonudur. SSL ve TLS protokolleri sayesinde web trafiği şifrelenerek bilgi ve veri hırsızlığının önüne geçilmesi hedeflendi. HTTPs’in başka bir artısı ise authentication (kimlik doğrulama) sunmasındır.
HTTP ön tanımlı olarak genellikle 80 portunu kullanırken HTTPs ise ön tanımlı olarak çoğunlukla 443 portunu kullanır.
SEO konusunda rakiplerinden geri kalmak istemeyen web tasarımların yanında son yıllarda popülerliğini iyiden iyiye arttıran e-ticaret web siteleri ve çevrimiçi banka işlemleri HTTPs’in standart web güvenliği haline getirilmesine öncülük etmektedir.
HTTP ve HTTPs’i Kıyaslayalım;
Tabii ki de HTTPs denildiğinde akla en başta şifrenlenen web trafiği geliyor. Pekii HTTP bağlantısının bu konu özelinde dezavantajı neydi? Siber güvenlik dünyasında veri hırsızlığından bahsedildiğinde bilindik en etkili yöntemlerden bir tanesi MITM (Man In The Middle) yani başka bir deyişle “Ortadaki Adam” saldırısıdır. Bir siber saldırgan iki bağlantı arasında MITM konumuna gelmiş ise şifrelenmeyen tüm ağ trafiğin açık bir şekilde izleyebilir ve önemli verileri çalabilir. Ayrıca HTTP bağlantısı ile ziyaret edilen web sitelere gidişleri engelleyerek kendisinin zararlı web sitesine çekebilir ve bu web site aracılığıyla kullanıcının zararlı yazılım indirmesini sağlayabilir. Fakat HTTPs bağlantısı kullanıldığı zaman web trafiği şifreli bir yolla gerçekleştiği için MITM konumundaki siber saldırgan veri hırsızlığı gerçekleştiremez ya da gerçekleştirmesi imkansıza çok yaklaşır. Bunun en büyük sebebi ise ilgili web sitenin SSL sertifikasının çeşitli otoriteler aracılığıyla imzalanmasıdır. Bir kullanıcı ilgili web siteye gitmek istediğinde web tarayıcı web sitenin sunucusundan gelen SSL sertifikasının imzasına bakar ve o sertifikanın gerçekten de ilgili web siteye ait olup olmadığını inceler. Eğer sertifika web tarayıcı tarafından doğrulanamaz ise kullanıcının o web siteye erişimi web tarayıcı tarafından engellenir. Buna göre bir saldırganın gerçek bir imzalı SSL sertifikası yaratması imkanlar doğrultusundadır fakat o sertifika web tarayıcının doğrulamasından geçemez.
