Google'da Sıralamada Daha Yukarıda Olmak İçin ve İyi Görünmek İçin SSL / HTTPS Kullanın

[™ Admin]

Google'da Sıralamada Daha Yukarıda Olmak İçin ve İyi Görünmek İçin SSL / HTTPS Kullanın

HTTPS protokolüne geçiş yapıp yapmayacağınıza karar vermek bugünlerde herkesin tartıştığı bir konu olduğunu bilmenizi isterim.  2017’de, Google’ın yayınladığı bir yazıyla herkese duyurduğu güncelleme seçenekleri, güvenli sayfalar için arama sıralaması artırma gibi bazı özelliklerin zorunlu olarak istendiği bir emre dönüştü.

Konu bugün de çok önemli olduğu için, 2018'de SEO başarısı için HTTPS'yi belirlemenize yönelik kapsamlı bir kılavuz sunmak için, bu eğilimi, son trendler, sektördeki en iyi uygulamalar ve çok ihtiyaç duyulan terminoloji açıklamalarıyla güncelledik. Size bu konularda en ayrıntılı bilgileri vermeye çalışacağız. 

Şu anda, bu konu etrafında daha az teknoloji meraklısı insanlar tarafından atılan bir terim var, bu da terminolojinin ve belirsiz önerilerin sorgulanabilir kullanımıyla ilgili bazı kafa karışıklıklarına ve belirsizliklere neden oluyor.

Bu yüzden ilk olarak en önemli tanımların açık ve basit bir tanımını yapmaya çalışacağız. Bu sayede herkes neyin, niçin ihtiyaç duyduklarını, nasıl edinileceğini ve üretimde nasıl uygulanacağını açıkça görebilirler.

Bu makalenin sonunda, yalnızca SSL ve HTTPS terimlerinin, neden önemli olduklarının, nasıl çalıştıkları ve bunları web sitenizde nasıl uygulayacağınızın anlamıyla ilgili iyi bir anlayışa sahip olacaksınız; Ancak, genel dijital pazarlama kurulumunuzdaki önemine de bir göz atacağız. Daha fazla konuşmadan konuya girelim artık. 

[™ Admin]

SSL Nedir?

SSL Secure Sockets Layer'in kısaltmasıdır. Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır.

Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

[™ Admin]

What is TLS?

Taşıma Katmanı Güvenliği (TLS) ve onun öncülü/selefi olan Güvenli Soket Katmanı (SSL), bilgisayar ağı üzerinden güvenli haberleşmeyi sağlamak için tasarlanmış kriptolama protokolleridir. X.509 sertifikalarını kullanırlar ve bundan dolayı karşı tarafla iletişime geçeceklerin kimlik doğrulaması asimetrik şifreleme ile yapılır ve bir simetrik anahtar üzerinde anlaşılır. Bu oturum anahtarı daha sonra taraflar arasındaki veri akışını şifrelemek için kullanılır.

Bu, mesaj/veri gizliliğine ve mesaj kimlik doğrulama kodları için mesaj bütünlüğüne izin verir. Protokollerin birçok versiyonu ağ tarama, elektronik mail, İnternet üzerinden faks, anlık mesajlaşma ve İnternet üzerinden sesli iletişim gibi uygulamalarda yaygın olarak kullanılmaktadır. Bu durumda/içerikte/bağlamda en önemli özellik iletme gizliliğidir. Bundan dolayı kısa süreli oturum anahtarı, uzun süreli gizli simetrik anahtardan türetilememelidir.

 

[™ Admin]

SSL/TLS Çalışma Prensibi

SSL 3.0'ın çalışma prensibi açık anahtarlı şifrelemeye dayanmaktadır. SSL kısaca şu şekilde çalışmaktadır:

Kullanıcı, internet sunucusundan güvenli bir bağlantı isteğinde bulunur,

İnternet sunucusu, kullanıcıya sertifikasıyla birlikte açık anahtarını (public key) gönderir,

Kullanıcının kullandığı internet tarayıcısı, sunucunun göndermiş olduğu bu sertifikanın güvenilir bir sertifika otoritesinden gelip gelmediğini ve sertifikanın geçerli olup olmadığını kontrol eder,

Kullanıcının kullandığı internet tarayıcısı rastgele bir simetrik şifreleme anahtarı üretir. Daha sonra internet sunucusunun açık anahtarını (public key) kullanarak bu simetrik şifreleme anahtarını şifreler ve bağlanmaya çalıştığı internet sunucusuna gönderir,

İnternet sunucusu, kendi açık anahtarıyla (public key) şifrelenmiş olan bu mesajı kendi özel anahtarıyla (private key) çözerek simetrik anahtarı elde eder,

İnternet sunucusu bundan sonra kullanıcıya göndereceği verileri elde etmiş olduğu bu simetrik anahtarı kullanarak gönderir,

Kullanıcı aynı simetrik anahtarla internet sunucusundan gelen verileri çözerek internet sayfasını güvenli bir şekilde görüntüler

Protokoller TLS ile ya da TLS olmaksızın işlem gördüğünden beri, istemcinin sunucuya TLS bağlantısının kurulmasını isteyip istemediğini belirtmesi gerekmektedir. Bunu gerçekleştirmenin başlıca iki yolu vardır; ilk seçenek TLS bağlantıları için farklı bir port numarası kullanılmasıdır (örneğin HTTPS için 443. port). Diğer seçenekte ise normal bir port numarası kullanılır ve istemci TLS protokolün özelleştirilmiş mekanizmasını kullanarak (örneğin mail ya da haber protokolleri için STARTTLS) sunucunun bağlantıyı TLS protokolüne yönlendirmesi için istekte bulunur.

İstemci ve sunucu TLS protokolü kullanmayı kararlaştırdıktan sonra, el sıkışma süreci kullanarak kararlı bir bağlantı kurarlar. Bu el sıkışma esnasında, istemci ve sunucu bağlantının güvenliğini sağlamak için çeşitli parametreler kullanmayı kararlaştırır:

İstemci kendi SSL sürüm numarasını, şifre ayarlarını, oturuma özgü veriyi, ve sunucunun istemciyle iletişime geçmek için ihtiyaç duyduğu diğer bilgileri sunucuya gönderir.

Sunucu kendi SSL sürüm numarasını, şifre ayarlarını, oturuma özgü veriyi, ve istemcinin sunucuyla iletişime geçmek için ihtiyaç duyduğu diğer bilgileri istemciye gönderir. Sunucu aynı zamanda kendi sertifikasını da istemciye gönderir. Eğer istemci sunucunun kimlik doğrulama gerektiren bir kaynağına ulaşmak isterse, sunucu istemcinin sertifikasını talep eder.

İstemci sunucunun gönderdiği bilgileri kullanarak sunucuyu doğrular. Eğer sunucu doğrulanmazsa, kullanıcı hata uyarısı alır, şifrelemenin ve doğrulamanın sağlanamadığı hakkında bilgilendirilir. Eğer sunucu doğrulama başarılı olursa, istemci bir sonraki adıma geçer.

İstemci oturum için bir ikincil paylaşılan gizli veri (sunucu işbirliğiyle ve şifreleme algoritmasına göre değişen) oluşturur, bunu sunucunun açık anahtarını kullanarak şifreler (2. adımda sunucunun sertifikasını elde etmişti) ve bu şifrelenmiş ikincil paylaşılan gizli veriyi sunucuya gönderir.

Eğer sunucu istemciden kimlik kanıtlaması isterse (el sıkışmada isteğe bağlı bir adımdır) istemci aynı zamanda yeni bir veri imzalar. Bu veri el sıkışma için eşsiz olmalı ve hem istemci hem de sunucu tarafından bilinmeli. Bu durumda, istemci imzalanmış veriyi, kendi sertifikasını, şifrelenmiş ikincil paylaşılan gizli verinin yanında istemciye yollar.

Eğer sunucu istemciden kimlik kanıtlamasını istediyse, sunucu istemciyi doğrulamayı dener. Eğer istemci doğrulanmazsa, oturum sonra erer. Eğer istemci başarıyla doğrulanırsa, sunucu kendi gizli anahtarını kullanarak ikincil paylaşılan gizli veriyi deşifreler, ve daha sonra bir dizi adımlar takip ederek esas paylaşılan gizli veriyi oluşturur (istemci de ikincil paylaşılan gizli veriden başlayarak aynı adımları izler).

İstemci ve sunucu elde ettikleri esas paylaşılan gizli veriyi kullanarak oturum anahtarları oluşturur, ki bu anahtarlar simetrik olup SSL oturumu boyunca şifreleme ve deşifreleme bilgilerinin değişiminde ve verilerin bütünlüğünün kontrol edilmesinde kullanılır (bu da, SSL bağlantı süresi boyunca verinin gönderilme saati ile alınma saati arasında herhangi bir değişikliğin olup olmadığı saptanarak yapılır).

İstemci sunucuya bundan sonra kendisinden gelecek mesajların oturum anahtarıyla şifreleneceği bilgisini içeren bir mesaj gönderir. Ardından istemci farklı bir (şifrelenmiş) mesaj göndererek el sıkışmanın kendisine ait kısmının bittiğini belirtir.

Sunucu istemciye bundan sonra kendisinden gelecek mesajların oturum anahtarıyla şifreleneceği bilgisini içeren bir mesaj gönderir. Ardından sunucu farklı bir (şifrelenmiş) mesaj göndererek el sıkışmanın kendisine ait kısmının bittiğini belirtir.

SSL el sıkışması artık sonra ermiş ve oturum açılmıştır. İstemci ve sunucu birbirlerine gönderdikleri verileri şifrelemek, deşifrelemek ve bütünlüğünü tasdik etmek için oturum anahtarlarını kullanırlar.

Bu güvenli kanalın normal işleyiş durumudur. Herhangi bir zamanda içeriden veya dışarıdan bir uyarı alınırsa, taraflardan biri bağlantının yeniden kurulmasını talep edebilir ve böylece süreç kendisini tekrarlar.

Eğer yukarıdaki adımlardan birisi başarısız olursa, TLS el sıkışması başarısız olur ve bağlantı oluşturulamaz.

[™ Admin]

SSL / TLS Protokolü Ne Kadar Güvenlidir?

SL / TLS, bu günlerde olabileceği kadar güvenli. Gerçek şu ki, web sitenizin güvenliği protokolün kendisiyle ilgili olmayan bazı faktörlere bağlıdır.
Birisi bir çevrimiçi işlem veya iletişim sırasında kişisel bilgilerinizi çalmak istediğinde, teknik zorluklar söz konusudur. Bu genellikle, genellikle devlet destekli ve genellikle büyük ölçüde duyulan azami dile getirilen bütçelere ve kaynaklara sahip yüksek vasıflı bireyler veya gruplar tarafından gerçekleştirilir: “Eğer birisi sizi almak isterse,“ olacaktır. Bu tür saldırılar, geçmişte, dünyanın en güçlü şirketlerinden bazılarına birçok kez oldu.

“BEAST”, “BREACH”, “CRIME”, “FREAK”, “Heartbleed”, “DROWN” gibi terimlerin hepsinin web ile ilgili bir bağlamda ortak bir yönü vardır. Bunlar, istismar edilen ve kapsamlı sonuçlanan protokol zayıflıklarıdır. Bu şirketlere ve kullanıcılarına ve müşterilerine zarar. SSL / TLS açıkları hakkında daha fazla bilgi burada.

En iyi senaryoda, gizlilik söz konusudur ve saldırgan isim ve adres gibi kişisel bilgileri toplar. En kötü durum senaryolarından bazıları, büyük miktarda şifre, kredi kartı bilgileri, ticari sırlar ve diğer gerçek dünyaya ait etki verilerinin çokluğunu içerir.

Sonuç olarak, sertifikalar en güvenilir kurumlardan alınmalı ve salt okunur dosya sistemi izinleriyle gizli tutulmalıdır, böylece yalnızca yetkili ve güvenilir personel ve uygulamaların bunlara erişimi vardır.

Yetkisiz bir üçüncü tarafın web sunucunuza ve yapılandırma dosyalarına sınırsız erişim sağladığı anda, yalnızca web trafiğinin güvenliğinden çok daha ciddi sorunlarla ilgili endişelenmeye başlamanız gereken süre.

[™ Admin]

SSL Sertifikası Nasıl Alınır?

HTTPS protokolünü kullanabilmek için, başvuru sahibinin şirket / alan adı bilgisi sağladığı bir form olan bir Sertifika İmzalama Talebini (CSR) doldurarak bir X.509 sertifikasını ve güvenilir Sertifika Yetkilisi (CA) kuruluşundan önemli dosyaları edinmesi gerekir. kimlik kanıtı olarak.

CA kuruluşu kimliğinizi doğruladıktan sonra, genellikle web sunucunuzu yapılandırmak için gerekli dosyaları içeren bir indirme veya e-posta yoluyla bir ZIP arşivi sağlanır.
Orada çok sayıda CA var (Symantec, GoDaddy, GlobalSign, GeoTrust, DigiCert, Comodo) ama ihtiyaçlarınıza bağlı olarak, bir sertifika size para ya da tamamen ücretsiz olabilir.