HTTPS ve HTTP arasındaki en önemli fark şifrelemedir. HTTPS şifrelenmiş HTTP protokolüdür. HTTPS, normal HTTP isteklerini ve yanıtlarını şifrelemek için TLS (SSL sertifikası) kullanır. Böylece HTTPS protokolü veri depolama ve iletimi açısından HTTP’ye göre daha güvenli hale gelir.
HTTP Nedir?
HTTP, Hypertext Transfer Protocol anlamına gelir. ”Secure (Güvenli)” anlamına gelen bir harf daha eklediğinizde HTTPS elde edersiniz.
Bu protokoller genellikle web sitesi URL’lerinin başında bulunur ve tarayıcınızın üst kısmındaki URL çubuğuna bir web sitesi adresi girdiğinizde http:// ve https:// olarak gösterilir. Ancak bu protokoller adresin bir parçası olmaktan çok daha fazlasıdır. Farklar, her bir protokolün avantajlarını ve sınırlamalarını en üst düzeyde ve daha sonra daha ayrıntılı olarak keşfettiğinizde ortaya çıkar.
HTTP protokolünü kullanan web tarayıcıları ve sunucuları, World Wide Web’in (www) bir parçası olduklarını belirtir, bu nedenle http, www’nin bir parçasıdır.
HTTP Hakkında Daha Fazla Bilgi
- Hypertext terimi 1965 yılında Ted Nelson tarafından ortaya atılmıştır.
- Berners-Lee ilk olarak 1989 yılında protokolün ilk versiyonu olan ”World Wide Web”i önerdi.
- Bağlantılar için Port 80’i kullanır.
- HTTP url’si http:// ile başlar
- HTTP’nin belgelenmiş ilk sürümü 1991’de HTTP V0.9’du.
HTTP Avantajları
HTTP’nin başlıca avantajları basitliği ve kullanım kolaylığıdır. Diğer avantajları ise aşağıdaki şekildedir:
- Daha az talep: HTTP daha düşük CPU ve bellek kullanımı gerektirir. HTTP’de daha güvenli protokollere göre daha az eşzamanlı bağlantı gerekir.
- Ardışık veri sıralama: HTTP, isteklerin ve yanıtların ardışık olarak sıralanmasını sağlar. Veri sıralama, birden fazla talimatın bir veri işlemcisi tarafından üst üste bindirilmesine ve depolanmasına izin veren düzenli bir süreçtir.
- Daha az tıkanıklık: HTTP ağ tıkanıklığını azaltır. Bunun nedeni daha az TCP bağlantısı gerektirmesidir (TCP, bir tür bilgi aktarım protokolü olan TCProtocol’ün kısaltmasıdır).
- İsteklerin hızı: Bilgisayarlar arasında sinyal alışverişi (”el sıkışma” olarak bilinir) yalnızca ilk bağlantı sırasında gerçekleşir. Bağlantı kurulduktan sonra sonraki istekler gecikme olmadan gerçekleşebilir.
- Bağlantılar: HTTP bir TCP bağlantısını kapatmaz. Bazı durumlarda tercih edilebilecek şekilde, hataları kapatmadan bildirebilir.
HTTP Kısıtlamaları
Kullanım kolaylığına rağmen, HTTP’nin bazı dezavantajları veya sınırlamaları da vardır. Bunlar arasında güvensiz bağlantılar, oldukça temel yetenekler ve sunucu sorunları yer alır.
- Güvensiz bağlantılar: HTTP noktadan noktaya bağlantıya izin verir. Bu, bir web sitesini güvenli tutmak için bir zorluktur, çünkü bilgiler üçüncü taraflara daha kolay ifşa edilebilir.
- Temel yetenekler: HTTP’nin biraz ayrıntılı olduğu düşünülmektedir. Mobil cihazlar için optimize edilmemiştir. ”Push yetenekleri” yoktur. Dolayısıyla bu açılardan HTTP oldukça temel bir protokol olarak görülmektedir.
- Sunucu sorunları: Bir istemci gerekli tüm veriler alınmadan önce bir bağlantıyı kapatırsa sunucu kullanılabilir olmayacaktır. Kimse gereksiz yere sunucu hata mesajları görmek istemez.
HTTPS Nedir?
HTTPS başlangıçta ödeme işlemlerini ve hassas kurumsal verileri güvende tutmak için geliştirilse de, 2016 yılında bir grup web geliştirici protokolü daha yaygın hale getirmek için kampanya başlatarak her yerde daha fazla gizlilik ve veri koruması sağlanmasına yardımcı oldu. Sonuç olarak HTTPS daha yaygın bir şekilde kullanılmaya başlandı ve bugün hepimiz ”HTTPS”yi daha sık görmeye başladık.
Hypertext Transfer Protocol Safe’in kısaltması olan HTTPS, HTTP’nin güvenli versiyonudur. Sunucu ile tarayıcı arasında şifreli bir bağlantı oluşturmak için SSL (secure sockets layer) sertifikası kullanır. Bu nedenle, bu protokol genellikle çevrimiçi alışveriş, bankalar ve diğer şifreye duyarlı web siteleri gibi güvenli olması gereken işlemlere sahip web siteleri için kullanılır.
HTTPS başlangıçta yalnızca yukarıda bahsedilenler gibi web siteleri için kullanılıyordu, ancak bugün tüm web sitelerinin HTTPS kullanması yönünde bir değişim söz konusudur.
HTTPS Hakkında Daha Fazla Bilgi
- HTTPS = HTTP + Kriptografik Protokoller (TLS veya SSL gibi).
- HTTPS için varsayılan bağlantı noktası 443’tür.
- HTTPS url’si https:// ile başlar.
- HTTPS web sitesi, web sitelerine güvenilir yetkililer tarafından imzalanmış geçerli sertifika sağlar.
- HTTPS’deki ”S” harfi SSL yani Secure Sockets Layer anlamına gelir.
HTTP vs HTTPS Arasındaki Temel Farklar
HTTP ve HTTPS arasındaki en önemli fark SSL sertifikası kullanılmasıdır. HTTPS aslında HTTP ile aynı protokoldür, ancak SSL sertifikasının ek güvenliğine sahiptir.
Ayrıca ek güvenlik katmanı web sitesi sahipleri için son derece önemlidir. Bu, özellikle siteniz şifreler, kredi kartı bilgileri, banka hesap bilgileri, telefon numaraları veya e-posta adresleri gibi hassas kullanıcı verilerini alıyorsa geçerlidir.
HTTPS Nasıl Çalışır?
Web sitenize bir SSL sertifikası yüklediğinizde, kullanıcılarınızın sitenizden aldığı ve sağladığı tüm bilgileri hemen şifrelemeye başlar. Birisi herhangi bir kullanıcının tarayıcısı ile web siteniz arasında aktarılan verileri ele geçirmeyi başarsa bile, görecekleri tek şey şifrelenmiş kod olacaktır.
Sizin ve kullanıcılarınızın form gönderimleri ve diğer etkileşimler yoluyla sitenizde paylaştığınız hassas verilere erişemezler.
Ayrıca, sitenize bu çok ihtiyaç duyulan güvenlik katmanını eklemenin ötesinde HTTPS, TLS (Taşıma Katmanı Güvenliği) protokolü ile de tamamen güvence altına alınır. Bu, şifrelenmiş verilerin bozulmasını veya değiştirilmesini önleyerek bütünlüğünü korur.
TLS ayrıca web sitesi kimlik doğrulaması sağlayarak kullanıcılarınızın tarayıcılarının web sitenizle iletişim kurduklarını ve ”kimlik avı” için kullanılan bir kopya olmadıklarını bilmelerini sağlar. Bu net değilse, tarayıcılar aldatıcı bir web sitesi uyarısı görüntüleyebilir.
Kullanıcılar için bir web sitesinin HTTPS ile güvenli olup olmadığını belirlemek kolaydır. Tek yapmaları gereken, sitenin HTTPS mi yoksa HTTP protokollerini mi kullandığını görmek için tarayıcılarında bir web adresinin ilk kısmına bakmaktır. HTTPS yüklendiğinde ve bu adresteki her şeyi düzgün bir şekilde şifrelediğinde kilitli bir asma kilit simgesi görünür.
HTTP ve HTTPS arasındaki en büyük fark, HTTPS’nin tüm veri aktarımını şifrelemek için bir SSL sertifikası kullanıyor olmasıdır. HTTP bir SSL sertifikası ile güvence altına alınmamıştır ve bilgisayar korsanlarının hassas bilgileri çalmasına çok daha açıktır.
HTTP’nin sahip olmadığı ek TLS protokolü ile HTTPS’nin çok daha güvenli bir seçenek olduğu açıktır.
TLS/SSL HTTP İsteklerini ve Yanıtlarını Nasıl Şifreler?
TLS verileri şifrelemek için iki anahtarla çalışmayı içeren özel bir teknoloji ile 443 numaralı bağlantı noktasını kullanır: genel ve özel.
Çalışma prensibi aşağıdaki gibidir:
Genel anahtar, sunucunun SSL sertifikası aracılığıyla istemcinin cihazlarına iletilir. Sunucuya bağlanırken, işleme dahil olan iki cihaz, HTTP vs HTTPS ile bir cihazdan diğerine geçen diğer mesajları şifrelemek için yeni anahtarlar (oturum anahtarları) seçmek üzere genel ve özel anahtarları kullanır.
Tüm HTTPS vs HTTP istekleri ve bunlara verilen yanıtlar, bu oturum anahtarları kullanılarak şifrelenir, bu nedenle bir mesaj üçüncü taraflar veya cihazlar tarafından ele geçirilirse, açıldığında ve şifre çözülmeye çalışıldığında, HTTPS kullanıyorsanız tutarlı, düz bir metin yerine rastgele bir karakter dizisi alınır.
HTTPS Avantajları
HTTPS protokolü HTTP’nin orijinal versiyonundan daha güvenlidir. Çünkü HTTPS protokolü, istemci ve sunucu arasındaki aracıları (önbellekler, proxy’ler, vb.) engeller. İçerik şifrelenmiş olduğundan, araya girenlerin isteklere ve yanıtlara müdahale etmesi mümkün değildir. Bu yüzden HTTPS web siteleri genellikle HTTP web sitelerinden daha güvenli kabul edilir.
- Arama motoru görünürlüğü: HTTPS’nin genellikle göz ardı edilen bir faydası da Google gibi arama motorları tarafından tercih edilmesidir.
- Veri şifreleme: HTTPS şifrelemesi, bilgisayar korsanlarının web sitenizin trafiğini gözetlemesini veya kurcalamasını önler. Bir bilgisayar korsanı istemci ve sunucu arasındaki verileri ele geçirse bile veriler şifrelenmiş olduğu için bilgisayar korsanı için işe yaramaz olacaktır.
- Veri koruması: İstemci sisteminde çerez bulunmaz ve yalnızca çok sınırlı veri (varsa) kaydedilebilir.
- Sunucu kimlik doğrulaması: Kimlik doğrulama sürecinde sunucular, kullanıcıları bilgisayar korsanlarından korumaya yardımcı olmak için tarihlerin geçerliliği, yetki, dijital imza ve alan adı gibi şeyleri kontrol etmek için CA’ya (sertifika yetkilisi veya sertifika yetkilisi) bakar.
- Veri doğrulama: HTTPS ayrıca, doğrulama için yalnızca ilk alışverişe güvenmek yerine her bilgi alışverişi olayı için daha kapsamlı veri doğrulaması veya el sıkışma gerçekleştirir.
HTTPS Kısıtlamaları
HTTPS’nin sınırlamaları arasında daha yüksek maliyetler, daha fazla hata görüntüleme potansiyeli ve ek gereksinimler bulunmaktadır. Ayrıca performans, ölçeklenebilirlik ve geliştirilebilirlik ile ilgili endişeleri de beraberinde getirir.
- Maliyetler: HTTPS sertifikasına sahip olmanın yıllık bir maliyeti vardır. Fiyatlar genellikle sertifikanın kapsayacağı alan adı veya alt alan adı sayısına göre değişir. Kimlik doğrulama seviyesi de fiyatı etkiler.
- Hatalar: Sertifikanın süresi dolarsa (veya herhangi bir nedenle yenilenmezse), site hatalar görüntüler. Aslında, HTTP’ye geri dönülmediği sürece hiçbir şey görüntülenmeyebilir.
- Gereksinimler: Veri işlemeyi yönetmek için ek hesaplama yükü gerekir.
- Performans: Genel olarak HTTPS, HTTP’den biraz daha yavaş çalışır, bu nedenle performans dikkate alınması gereken bir konu haline gelebilir.
- Ölçeklenebilirlik: Tamamen güvenli bir ağda, yeniliklerin açık ortamlara göre daha az ve daha hızlı bir şekilde çoğaltılması muhtemeldir. Dolayısıyla ölçeklenebilirlik de bir başka husustur.
HTTP’den HTTPS’ye Geçmek İçin 3 Ana Neden
Google’ın web sitesi geçiş kılavuzunda, HTTP yerine HTTPS’yi seçmenin birçok avantajı olduğu vurgulanmaktadır. Bu nedenle, kullanıcılar HTTP’den HTTPS’ye geçmek istemektedir. Kullanıcıları HTTP’den HTTPS’ye geçmeye zorlayan 3 ana neden aşağıdaki şekildedir:
1. HTTPS SEO’ya Yardımcı Olur
Yakın zamanda yapılan bir SEMRush araştırmasına göre, en iyi anahtar kelimeleri için üst sıralarda yer alan web sitesi alan adlarının %65’i HTTPS tabanlıdır.
Güvenlik, en iyi kullanıcı deneyimini sunan Google algoritmaları için ana unsurdur. Güvenlik yaklaşımı nedeniyle Google, güvenli olmayan sitelere kıyasla sıralamada en üst noktaya ulaşmanız için size bir avantaj sağlar.
2. Güvenli Kullanıcı Deneyimi
Kullanıcıların çoğu güvenli olmayan bir platform yerine güvenli bağlantıyı tercih eder. Çünkü güvenlik, tüm önemli bilgileri bir ağ üzerinde güvende tutmak için en önemli konudur. HTTPS’nin güvenlik protokolü, bilgisayar korsanlarının site ile ziyaretçiler arasında paylaşılan herhangi bir bilgiyi kurcalamasını önleyen web sitesinin veri bütünlüğünü korumaya yardımcı olur. Bu, kullanıcıların kimlik bilgilerini bilgisayar korsanlarından korumalarına ve gizlilik ve güvenliği sağlamalarına yardımcı olur.
3. Veri Avantajları
Doğrudan trafiğin daha belirsiz yönlerinden biri, güvenli bir kaynaktan güvenli olmayan bir sayfaya gelen trafiğin doğrudan trafiğe atfedilebilmesidir. Bu güvenliğin doğası gereği, HTTPS kaynağından HTTP kaynağına geçerken tarayıcının nerede olduğunu bildirmemesi gerekir ve bu nedenle organik trafik bile doğrudan trafik olarak atfedilebilir. Bu tutarsızlık, kanala göre trafik hacmi anlayışını çarpıtabilir. Ancak HTTPS’ye geçiş, güvenli yönlendirme bilgilerini korur ve bu da ziyaretçilerin nereden geldiğine dair daha doğru bir resim sağlar.
HTTP’den HTTPS’ye Geçiş
HTTP’den HTTPS’ye geçmek için yapmanız gereken temel adımlar aşağıdakileri içerir:
- İhtiyacınız olan SSL sertifikası türünü seçin.
- SSL sertifikasını hosting hesabına yükleyin.
- Web sitesinin tam bir yedek kopyasını oluşturun.
- Tüm bağlantıları ve site haritasını HTTP’den HTTPS’ye güncelleyin.
- Sitenizin tüm şablonlarını ve referanslarını kontrol edin.
- Javascript, diğer üçüncü taraf eklentileri ve robots.txt dosyasını güncelleyin ve yeni site haritanızı ekleyin.
- İçerik Dağıtım Ağları SSL ayarlarınızı güncelleyin.
- Tüm açılış sayfalarını ve ücretli arama bağlantılarını HTTP vs HTTPS protokolüne çevirin.
- Bozuk yönlendirme zincirlerini bulmak ve güncellemek için eski URL’leri tarayın.
- Tüm kullanıcıların yeni bir HTTPS sitesine yönlendirilmesini sağlamak için 301 yönlendirmeleri uygulayın.
- HSTS ve OCSP zımbalamayı etkinleştirin.
En Çok Sorulan Sorular
1. Neden https güvenli de http değil?
HTTPS, tarayıcı ile sunucu arasında şifreli bir bağlantı kurarak güvenli bir bağlantı sağlar. Tüm HTTP siteleri güvensizdir, çünkü üçüncü bir taraf bu tür web siteleri ile kullanıcılar ve sunucular arasında iletilen verilere müdahale edebilir.
2. HTTPS üzerinden gönderilen verilerin güvenliği nasıl sağlanır?
HTTPS kullanılarak gönderilen veriler, bilgileriniz için üç temel koruma katmanı sağlayan Taşıma Katmanı Güvenliği protokolü (TLS) ile güvence altına alınır:
- Şifreleme: Dinleyicilere karşı güvende tutmak için değiş tokuş edilen verilerin şifrelenmesini içerir. Şifreleme, gezinirken hiç kimsenin konuşmalara izinsiz girememesini, sayfalar arasındaki etkinlikleri izleyememesini veya herhangi bir bilgiye erişememesini sağlar.
- Veri bütünlüğü: Bu, verilerin aktarım sırasında tehlikeye atılamayacağı ve verilerde yapılan herhangi bir değişikliğin kolayca tespit edilemeyeceği anlamına gelir.
- Kimlik doğrulama: Bu, kullanıcıların doğru web sitesinde olmasını sağlar. HTTPS kimlik doğrulaması ortadaki adam saldırılarına karşı koruma sağlar ve kullanıcı güveni oluşturur.
3. Yalnızca http: kullanan sayfalar Chrome’da nasıl görünür?
Normal tarayıcı pencerelerinde, güvenli olmayan HTTP sayfaları, birisi sayfayla etkileşime girene kadar normal şekilde yüklenir. Bilgi yazmaya, bir şeyler doldurmaya, bir butonu işaretlemeye başlarsanız, Güvenli Değil işareti görünür. Sayfayı yenilemek, sayfayla tekrar etkileşime girene kadar bu göstergeyi kaldırır.
Gizli gezinme sırasında, Güvenli Değil işareti sayfa yüklenirken hemen görünür ve sitede bulunduğunuz sürece kalır.