HTTPS Nedir?
23.09.2020 6:13 3143 Görüntüleme

HTTPS Nedir?

İnternetteki herhangi bir işlem bir veri alışverişidir. Her video oynattığınızda, bir sosyal ağda mesaj gönderdiğinizde veya en sevdiğiniz siteyi ziyaret ettiğinizde, bilgisayarınız istenen sunucuya bir istek gönderir ve ondan bir yanıt alır. Kural olarak, veri alışverişi HTTP protokolü üzerinden gerçekleşir. Bu protokol yalnızca bilgi alışverişi kurallarını oluşturmakla kalmaz, aynı zamanda veri aktarımı için bir aktarım görevi görür tarayıcının yardımıyla sitenin içeriğini bilgisayarınıza veya akıllı telefonunuza indirir.

Http’nin tüm rahatlığı ve popülaritesi ile bir dezavantajı vardır: veriler açık metin olarak iletilir ve hiçbir şekilde korunmaz. A noktasından B noktasına giderken internetteki bilgiler düzinelerce ara düğümden geçer ve bunlardan en az biri bir saldırganın kontrolü altındaysa veriler ele geçirilebilir. Aynı şey, örneğin bir kafede güvenli olmayan bir Wi-Fi ağı kullandığınızda da olabilir. Şifrelenmiş HTTPS protokolü, güvenli bir bağlantı kurmak için kullanılır.

 

HTTPS Kullanma

Bazı hizmetlerde, örneğin elektronik ödeme sistemlerinde, veri koruma son derece önemlidir, bu nedenle bunlar yalnızca HTTPS kullanır. Bu protokol, herhangi bir kişisel veri dahil olmak üzere özel bilgileri işleyen diğer hizmetlerde de sıklıkla kullanılır. Birçok Yandex hizmeti yalnızca HTTPS protokolünü kullanarak çalışır: Passport, Mail, Direct, Metrica, Taxi, Yandex.Money ve ayrıca kullanıcıların kişisel verileriyle ilgili her türlü geri bildirim.

Tüm modern tarayıcılar HTTPS protokolünü destekler. Özel olarak yapılandırılmasına gerek yoktur gerektiğinde ve mümkün olduğunda sürece otomatik olarak dahil edilir.

  • HTTPS Neden Güvenlidir?

HTTPS’de veri koruması, iletilen bilgileri şifreleyen SSL/TLS şifreleme protokolü tarafından sağlanır. Aslında bu protokol, HTTP için bir sarmalayıcıdır. Verileri şifreler ve dışarıdan gelenler için erişilemez hale getirir. SSL/TLS protokolü, iki bilinmeyen ağ katılımcısının güvenli olmayan bir kanal üzerinden güvenli bir bağlantı kurmasına izin vermesi açısından iyidir.

Bugünün ayın son günü olduğunu ve İnternet için ödeme yapmanız gerektiğini hatırladığınızı varsayalım. Sağlayıcının web sitesinde, ihtiyacınız olan bağlantıyı bulup kişisel hesabınıza gidersiniz. Muhtemelen iletilen tüm bilgileri gizli tutmak istersiniz, bu nedenle şifrelenmesi gerekir: bu, şifreniz, ödeme tutarı ve kredi kartı numarasıdır. Sorun, başlangıçta bilgisayarınızın sağlayıcının sunucusuyla açık bir kanal üzerinden, yani HTTP üzerinden veri alışverişi yapmasıdır. Kanalın her zaman dinlendiğini varsayarak, bu koşullar altında güvenli bir HTTPS bağlantısı nasıl kurulabilir? Basit bir matematik numarası bunu yapmanıza izin verir.

 

  • Güvenli Bağlantı Nasıl Çalışır?

Bir şeyi başka birine aktarmak istediğinizi hayal edin. Bir kutuya koyun ve postalayın. Ve kuryenin ya da başka birinin onu çalmasını önlemek için kutuyu kilitlersiniz. Kurye kutuyu teslim eder, ancak muhatabınız onu açamaz anahtar onda değildir. Sonra kilidini kutuya asıp size geri gönderir. İki kilidin altında bir kutu alırsınız, sizinkini çıkarın artık güvenli ve tekrar gönderin. Muhatap sonunda, yalnızca kilidinin asılı olduğu bir kutu alır, onu açar ve ona gönderdiklerinizi çıkarır.

  • İş Planı

Muhatapla şifreli mesaj alışverişi yapmak gerekiyordu. Kutuda ona şifre anahtarını gönderdin ve şimdi ikiniz de tanıyor. Artık birisi tarafından yakalanma korkusu olmadan şifrelenmiş mesajları açık bir şekilde değiş tokuş edebilirsiniz bunları bir anahtarsız anlamak hala imkansızdır. Neden bu tür zorluklar ve neden parseli ayrı ayrı ve kilidin anahtarını ayrı ayrı aktarmak imkansızdı? Elbette mümkündü ama bu durumda anahtarın ele geçirilmeyeceği ve parselin başkası tarafından açılmayacağının garantisi yok.

SSL/TLS protokolü benzer bir prensibe dayanmaktadır. HTTPS aracılığıyla güvenli bir bağlantı kurarken, bilgisayarınız ve sunucu önce paylaşılan bir gizli anahtar seçer ve ardından bu anahtarla şifreleyerek bilgi alışverişi yapar. Paylaşılan gizli anahtar, her iletişim oturumu için yeniden oluşturulur. Yakalanamaz ve alınması neredeyse imkansızdır genellikle 100 karakterden uzun bir sayıdır. Bu tek seferlik gizli anahtar, tarayıcı ile sunucu arasındaki tüm iletişimi şifrelemek için kullanılır. Bağlantının mutlak güvenliğini garanti eden ideal bir sistem gibi görünecektir. Bununla birlikte, tam güvenilirlik için bir şeyden yoksundur: muhatabınızın tam olarak iddia ettiği kişi olduğunun garantisi.

  • Neden Dijital Sertifikalara İhtiyacınız Var?

Paketinizin alıcıya ulaşmadığını düşünün başka biri onu yakaladı. Bu kişi kilidini kilitler, gönderenin adresini taklit eder ve size gönderir. Böylece şifrenin gizli anahtarını öğrendiğinde, bunu sizin adınıza gerçek muhatabınıza iletir. Sonuç olarak, siz ve muhatabınız, şifrenin anahtarının güvenli bir şekilde iletildiğinden ve şifreli mesaj alışverişi için kullanılabileceğinden eminiz. Ancak, tüm bu mesajlar, varlığını hiç tahmin edemeyeceğiniz bir üçüncü şahıs tarafından kolaylıkla okunabilir ve engellenebilir. Çok güvenli değil.

Aynı şekilde, üçüncü bir taraf İnternet'teki iki cihaz arasındaki bağlantıya gizlice girebilir ve tüm mesajların şifresini çözebilir. Örneğin, İnternet için güvenli bir bağlantı üzerinden ödeme yaptınız ve ödeme alındı. Ancak saldırgan, kredi kartınızın numarasını ve kimlik doğrulama kodunu ele geçirdi. Henüz bilmiyorsun ve bildiğinde çok geç olacak. Bir sunucuyu tanımlamak için kullanılan elektronik bir belge olan dijital sertifika, bu durumu önlemeye yardımcı olur.

Kullanıcı olarak sizin bir sertifikaya ihtiyacınız yoktur, ancak sizinle güvenli bir bağlantı kurmak isteyen herhangi bir sunucuya (site) sahip olmanız gerekir. Sertifika iki şeyi doğrular:

1) Verildiği kişi gerçekten var.

2) Sertifikada belirtilen sunucuyu yönetiyor.

 Sertifikasyon merkezleri, pasaport ofisleri gibi sertifikaların verilmesinden sorumludur. Pasaportta olduğu gibi, sertifika, adı (veya kuruluşun adı) ve sertifikanın gerçekliğini onaylayan bir imza dahil olmak üzere sahibiyle ilgili bilgileri içerir. Sertifika kimlik doğrulaması, güvenli bir HTTPS bağlantısı kurarken tarayıcının yaptığı ilk şeydir. Veri alışverişi yalnızca kontrol başarılı olursa başlar.

Bir kutu ve kilitlerle analojiye dönersek, dijital bir sertifika, muhatabınızın kutudaki kilidinin kendisine ait olduğundan emin olmanızı sağlar. Bunun sahte olamayacak benzersiz bir kilit olduğunu. Böylece dışarıdan biri sizi aldatmaya çalışırsa ve kilidiyle bir kutu gönderirse bunu kolayca anlayacaksınız çünkü kilit farklı olacaktır.

  • HTTPS’yi Yayma

Herhangi bir internet hizmeti için en popüler kurallardan biri, her zaman en yeni yazılımı kullanmaktır. Bunun neden gerekli olduğunu hiç düşünmediyseniz, işte sizin için nedenlerden biri güvenlik alanındaki en son gelişmeler için destek.

HTTPS'nin ve genel olarak yeni teknolojilerin İnternette yayılması, büyük ölçüde, kullanımları için altyapının ne kadar hızlı göründüğüne bağlıdır. Örneğin, İnternet kullanıcılarının yarısı HTTPS’yi destekleyen tarayıcılara sahip olmasaydı, çoğu site bunu kullanamazdı. Bu, tamamen HTTPS’ye geçen bir bankanın web sitesine müşterilerin yarısı tarafından erişilemez hale gelmesine yol açacaktır.

Ayrıca, SSL/TLS dahil olmak üzere şifrelenmiş bilgilerin bile ele geçirilmesine izin veren kriptografik protokollerde zaman zaman güvenlik açıkları bulunur. Bu güvenlik açıklarını ortadan kaldırmak için, protokoller düzenli olarak güncellenir ve sonraki her sürüm genellikle bir öncekinden daha güvenilirdir. Bu nedenle, tarayıcıların ve diğer önemli programların modern sürümlerini ne kadar çok kişi yüklerse, o kadar güvenli olacaktır.