Eğitim Sitenizin güvenliğini HTTPS ile sağlama

By AYhan

Yönetici
Web sitesi
www.hexturkiye.net
Sitenizin güvenliğini HTTPS ile sağlama
Sitenizi ve kullanıcılarınızı koruma
HTTPS nedir?
HTTPS (HyperText Aktarım Protokolü Güvenliği), kullanıcıların bilgisayarları ile site arasında verilerin bütünlüğünü ve gizliliğini koruyan bir İnternet iletişim protokolüdür. Kullanıcılar, bir web sitesini kullanırken güvenli ve özel bir çevrimiçi deneyim yaşamayı beklerler. Sitenizin içeriği ne olursa olsun, kullanıcıların web sitenizle olan bağlantısını korumak için HTTPS'yi kullanmaya başlamanızı öneririz.
HTTPS kullanılarak gönderilen bilgiler üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (
You do not have permission to view link Giriş yap veya üye ol.
) ile güven altına alınır:
  1. Şifreleme: Alınan ve gönderilen veriler gizlice dinleme yapanlara karşı korumak için şifrelenir. Yani kullanıcı bir web sitesine göz atarken hiç kimse onun iletişimini "dinleyemez", sayfalar arasındaki etkinliklerini takip edemez veya bilgilerini çalamaz.
  2. Veri bütünlüğü: Veriler aktarılırken, fark edilmeden kasıtlı olarak veya başka bir şekilde değiştirilemez ya da bozulamaz.
  3. Kimlik doğrulama: Kullanıcılarınızın kastedilen web sitesiyle iletişim kurduğu doğrulanır.
    You do not have permission to view link Giriş yap veya üye ol.
    karşı korur ve kullanıcının güvenini sağlar. Bu da ticari açıdan başka faydalar getirir.
HTTPS kullanımıyla ilgili en iyi uygulamalar
Güçlü güvenlik sertifikaları kullanın
Sitenizde HTTPS'yi etkinleştirdiğinizde bir güvenlik sertifikası almanız gerekir. Sertifika, web adresinizin gerçekten sizin kuruluşunuza ait olduğunu doğrulamak için bir
You do not have permission to view link Giriş yap veya üye ol.
(CA) tarafından verilir. Böylece müşterileriniz aradaki adam saldırılarına karşı korunur. Sertifikanızı oluştururken yüksek düzeyde güvenlik sağlamak için 2048 bitlik bir anahtar seçin. Mevcut sertifikanız daha zayıf bir anahtara (1024 bit) sahipse 2048 bite yükseltin. Site sertifikanızı seçerken aşağıdakilere dikkat edin:
  • Sertifikanızı teknik destek sağlayan güvenilir bir sertifika yetkilisinden alın.
  • Ne tür bir sertifikaya ihtiyacınız olduğunu belirleyin:
    • Tek bir güvenli kaynak (ör.
      You do not have permission to view link Giriş yap veya üye ol.
      ) için bir sertifika.
    • İyi bilinen birden fazla güvenli kaynak (ör.
      You do not have permission to view link Giriş yap veya üye ol.
      , cdn.example.com, example.co.uk) için çok alan adlı sertifika.
    • Pek çok dinamik alt alan adı (ör. a.example.com, b.example.com) içeren güvenli bir kaynak için joker karakter sertifikası.
Sunucu taraflı yönlendirmeler kullanın
Kullanıcılarınızı ve arama motorlarını HTTPS sayfasına veya kaynağa sunucu tarafı 301 HTTP yönlendirmeleriyle yönlendirin.
HTTPS sayfalarınızın Google tarafından taranıp dizine eklenebildiğini doğrulayın
  • HTTPS sayfalarınızı robots.txt dosyalarıyla engellemeyin.
  • HTTPS sayfalarınızda meta noindex etiketleri bulundurmayın.
  • Googlebot'un sayfalarınıza erişip erişemediğini test etmek için
    You do not have permission to view link Giriş yap veya üye ol.
    aracını kullanın.
HSTS'yi destekleyin
HTTPS sitelerinin HSTS'yi (
You do not have permission to view link Giriş yap veya üye ol.
) desteklemesini öneriyoruz. HSTS, kullanıcı, tarayıcı konum çubuğuna http yazsa bile tarayıcının otomatik olarak HTTPS sayfalarını istemesini sağlar. Ayrıca Google'a da arama sonuçlarında güvenli URL'ler sunmasını söyler. Tüm bunlar kullanıcılarınıza güvenli olmayan içerik sunma riskini en aza indirir.
HSTS'yi desteklemek için bunu destekleyen bir web sunucusu kullanın ve işlevselliği etkinleştirin.
HSTS, daha güvenlidir ancak geri alma stratejinizi daha karmaşık hale getirir. HSTS'yi şu şekilde etkinleştirmenizi öneririz:
  1. HTTPS sayfalarınızı önce HSTS olmadan kullanıma sunun.
  2. Kısa max-age süresine sahip HSTS üstbilgileri göndermeye başlayın. Hem kullanıcılardan hem de diğer istemcilerden gelen trafiğinizi ve reklamlar gibi bağlı öğelerin performansını izleyin.
  3. HSTS max-age süresini yavaş yavaş uzatın.
  4. HSTS, kullanıcılarınızı ve arama motorlarınızı olumsuz bir şekilde etkilemez. Dilerseniz sitenizin
    You do not have permission to view link Giriş yap veya üye ol.
    eklenmesini isteyebilirsiniz.
HSTS önyüklemesini kullanma seçeneğini değerlendirin
HSTS'yi etkinleştirirseniz fazladan güvenlik ve daha iyi performans için isteğe bağlı olarak
You do not have permission to view link Giriş yap veya üye ol.
destekleyebilirsiniz. Ön yüklemeyi etkinleştirmek için
You do not have permission to view link Giriş yap veya üye ol.
gerekir.
Yaygın görülen sorunlardan kaçının
Sitenizi TLS ile güven altına alma sürecinde, aşağıdaki hataları yapmaktan kaçının:
[TABLE]

Sorun

İşlem


Süresi bitmiş sertifikalar

Sertifikanızın her zaman güncel olduğundan emin olun.


Sertifika yanlış web sitesi adına kayıtlı

Sitenizin içerik yayınladığı tüm ana makine adları için bir sertifika aldığınızdan emin olun. Örneğin, sertifikanız yalnızca www.example.com'u kapsıyorsa, sitenizi yalnızca example.com'u kullanarak yükleyen bir ziyaretçi ("www." öneki olmadan), bir sertifika adı uyuşmazlığı hatasıyla engellenir.


Eksik

You do not have permission to view link Giriş yap veya üye ol.
(SNI) desteği

Web sunucunuzun SNI'yi desteklediğinden ve genel olarak kitlenizin desteklenen tarayıcılar kullandığından emin olun. SNI, tüm

You do not have permission to view link Giriş yap veya üye ol.
tarafından desteklenir, ancak eski tarayıcıları desteklemek istiyorsanız ayrı bir IP'ye ihtiyacınız olacaktır.


You do not have permission to view link Giriş yap veya üye ol.
sorunları

robots.txt dosyası kullanarak HTTPS sitenizin taranmasını engellemeyin.


You do not have permission to view link Giriş yap veya üye ol.
sorunları

Mümkünse sayfalarınızın arama motorları tarafından dizine eklenmesine izin verin. Noindex meta etiketi kullanmaktan kaçının.


Eski protokol sürümleri

Eski protokol sürümleri güvenlik risklerine açıktır. TLS kitaplıklarının en güncel ve en yeni sürümlerine sahip olduğunuzdan ve en yeni protokol sürümlerini uyguladığınızdan emin olun.


Karma güvenlik öğeleri

HTTPS sayfalarına sadece HTTPS içerik yerleştirin.


HTTP ve HTTPS'de farklı içerikler

HTTP sitenizdeki ve HTTPS sürümündeki içeriğin aynı olduğundan emin olun.


HTTPS'de

You do not have permission to view link Giriş yap veya üye ol.
hataları

Web sitenizin doğru HTTP durum kodu döndürdüğünden emin olun. Örneğin, erişilebilir sayfalar için 200 OK veya var olmayan sayfalar için 404 ya da 410.

[/TABLE]
Daha fazla ipucu
Sitenizde HTTPS sayfalarını kullanmayla ilgili daha fazla ipucu için
You do not have permission to view link Giriş yap veya üye ol.
konusuna bakın.
HTTP'den HTTPS'ye taşıma
Sitenizi HTTP'den HTTPS'ye taşıyorsanız Google, bunu sadece
You do not have permission to view link Giriş yap veya üye ol.
işlemi olarak ele alır. Bu işlem, trafik sayılarınızın bir kısmını geçici olarak etkileyebilir. Daha fazla bilgi edinmek için
You do not have permission to view link Giriş yap veya üye ol.
ziyaret edin.
HTTPS mülkünü Search Console'a ekleyin: Search Console, HTTP ve HTTPS'yi ayrı olarak işler: veriler, Search Console'da mülkler arasında paylaşılmaz.
Taşıma işleminizle ilgili sorunları gidermek için
You do not have permission to view link Giriş yap veya üye ol.
sayfasına bakın.