Sitenizin güvenliğini HTTPS ile sağlama

HTTPS (HyperText Aktarım Protokolü Güvenliği), kullanıcıların bilgisayarları ile site arasında verilerin bütünlüğünü ve gizliliğini koruyan bir internet iletişim protokolüdür. Kullanıcılar, bir web sitesini kullanırken güvenli ve özel bir web deneyimi yaşamayı beklerler. Sitenizin içeriği ne olursa olsun, kullanıcıların web sitenizle olan bağlantısını korumak için HTTPS'yi kullanmaya başlamanızı öneririz.

HTTPS kullanılarak gönderilen bilgiler üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (TLS) ile güven altına alınır:

  1. Şifreleme: Alınan ve gönderilen veriler gizlice dinleme yapanlara karşı korumak için şifrelenir. Yani kullanıcı bir web sitesine göz atarken hiç kimse onun iletişimini "dinleyemez", sayfalar arasındaki etkinliklerini takip edemez veya bilgilerini çalamaz.
  2. Veri bütünlüğü: Veriler aktarılırken, fark edilmeden kasıtlı olarak veya başka bir şekilde değiştirilemez ya da bozulamaz.
  3. Kimlik doğrulama: Kullanıcılarınızın kastedilen web sitesiyle iletişim kurduğu doğrulanır. Ortadaki adam saldırılarına karşı koruyarak kullanıcının güvenini sağlar. Bu da ticari açıdan başka faydalar getirir.

HTTPS kullanımıyla ilgili en iyi uygulamalar

Güçlü güvenlik sertifikaları kullanın

Sitenizde HTTPS'yi etkinleştirdiğinizde bir güvenlik sertifikası almanız gerekir. Sertifika, web adresinizin gerçekten sizin kuruluşunuza ait olduğunu doğrulamak için bir sertifika yetkilisi (CA) tarafından verilir. Böylece müşterileriniz ortadaki adam saldırılarına karşı korunur. Sertifikanızı oluştururken yüksek düzeyde güvenlik sağlamak için 2.048 bitlik bir anahtar seçin. Mevcut sertifikanız daha zayıf bir anahtara (1.024 bit) sahipse 2.048 bite yükseltin. Site sertifikanızı seçerken aşağıdakilere dikkat edin:

  • Sertifikanızı teknik destek sağlayan güvenilir bir sertifika yetkilisinden alın.
  • Ne tür bir sertifikaya ihtiyacınız olduğunu belirleyin:
    • Tek bir güvenli kaynak (www.example.com) için bir sertifika.
    • İyi bilinen birden fazla güvenli kaynak (örneğin, www.example.com, cdn.example.com, example.co.uk) için çok alan adlı sertifika.
    • Pek çok dinamik alt alan adı (örneğin, a.example.com, b.example.com) içeren güvenli bir kaynak için joker karakter sertifikası.

Sunucu tarafı kalıcı yönlendirmeleri kullanma

Kullanıcılarınızı ve arama motorlarını sunucu tarafı kalıcı yönlendirmeleri ile HTTPS sayfasına veya kaynağa yönlendirin.

HTTPS sayfalarınızın Google tarafından taranıp dizine eklenebildiğini doğrulayın

  • Googlebot'un sayfalarınıza erişip erişemediğini test etmek için URL Denetleme aracını kullanın.
  • HTTPS sayfalarınızı robots.txt dosyalarıyla engellemeyin.
  • HTTPS sayfalarınızda noindex etiketleri bulundurmayın.

HSTS'yi destekleyin

HTTPS sitelerinin HSTS'yi (HTTP Katı Taşıma Güvenliği) desteklemesini öneriyoruz. HSTS, kullanıcı, tarayıcı konum çubuğuna http yazsa bile tarayıcının otomatik olarak HTTPS sayfalarını istemesini sağlar. Ayrıca Google'a da arama sonuçlarında güvenli URL'ler sunmasını söyler. Tüm bunlar kullanıcılarınıza güvenli olmayan içerik sunma riskini en aza indirir.

HSTS'yi desteklemek için bunu destekleyen bir web sunucusu kullanın ve işlevselliği etkinleştirin.

HSTS, daha güvenlidir ancak geri alma stratejinizi daha karmaşık hale getirir. HSTS'yi şu şekilde etkinleştirmenizi öneririz:

  1. HTTPS sayfalarınızı önce HSTS olmadan kullanıma sunun.
  2. Kısa bir max-age ile HSTS üst bilgilerini göndermeye başlayın. Hem kullanıcılardan hem de diğer istemcilerden gelen trafiğinizi ve reklamlar gibi bağlı öğelerin performansını izleyin.
  3. HSTS max-age değerini yavaşça artırın.
  4. HSTS, kullanıcılarınızı ve arama motorlarını olumsuz yönde etkilemiyorsa, sitenizi çoğu büyük tarayıcı tarafından kullanılan HSTS ön yükleme listesine ekleyebilirsiniz. Bu, daha fazla güvenlik ve iyileştirilmiş performans sağlar.

Yaygın görülen sorunlardan kaçının

Sitenizi TLS ile güven altına alma sürecinde, aşağıdaki hataları yapmaktan kaçının:

Sık yapılan hatalar ve çözümleri
Süresi bitmiş sertifikalar Sertifikanızın her zaman güncel olduğundan emin olun.
Sertifika yanlış web sitesi adına kayıtlı Sitenizin içerik yayınladığı tüm ana makine adları için bir sertifika aldığınızdan emin olun. Örneğin, sertifikanız yalnızca www.example.com adresini içeriyorsa sitenizi yalnızca example.com adresiyle yükleyen (www. ön eki olmadan) bir ziyaretçi, sertifika adı uyuşmazlığı hatasıyla engellenir.
Eksik Sunucu adı belirtimi (SNI) desteği Web sunucunuzun SNI'yi desteklediğinden ve genel olarak kitlenizin desteklenen tarayıcılar kullandığından emin olun. SNI, tüm modern tarayıcılar tarafından desteklenir, ancak eski tarayıcıları desteklemek istiyorsanız ayrı bir IP'ye ihtiyacınız olacaktır.
Tarama sorunları robots.txt kullanarak HTTPS sitenizin taranmasını engellemeyin. Daha fazla bilgi edinin.
Dizine ekleme sorunları Mümkünse sayfalarınızın arama motorları tarafından dizine eklenmesine izin verin. noindex etiketini kullanmayın.
Eski protokol sürümleri Eski protokol sürümleri güvenlik risklerine açıktır. TLS kitaplıklarının en güncel ve en yeni sürümlerine sahip olduğunuzdan ve en yeni protokol sürümlerini uyguladığınızdan emin olun.
Karma güvenlik öğeleri HTTPS sayfalarına sadece HTTPS içerik yerleştirin.
HTTP ve HTTPS'de farklı içerikler HTTP sitenizdeki ve HTTPS sürümündeki içeriğin aynı olduğundan emin olun.
HTTPS'de HTTP durum kodu hataları Web sitenizin doğru HTTP durum kodu döndürdüğünden emin olun. Örneğin, erişilebilir sayfalar için 200 OK veya var olmayan sayfalar için 404 ya da 410.

HTTP'den HTTPS'ye taşıma

Sitenizi HTTP'den HTTPS'ye taşıyorsanız Google, bunu sadece URL değişiklikleri ile site taşıma işlemi olarak ele alır. Bu işlem, trafik sayılarınızın bir kısmını geçici olarak etkileyebilir. Tüm site taşıma işlemleri için önerileri inceleyin.

Yeni HTTPS mülkünü Search Console'a eklediğinizden emin olun. Search Console, HTTP ve HTTPS'yi ayrı olarak işler. Veriler, Search Console'da mülkler arasında paylaşılmaz.

Sitenizde HTTPS sayfalarını kullanmayla ilgili daha fazla ipucu için HTTPS'ye taşıma hakkında SSS konusuna bakın.

TLS'yi uygulama hakkında daha fazla kaynak

Aşağıda, sitenizde TLS'yi uygulama hakkında bazı ek kaynaklar verilmiştir: