HSTS Nedir?
Bir web sitesi güvenlik çözümü olarak kurgulanan HSTS protokolü, tarayıcılarla sadece HTTPS bağlantısı üzerinden iletişim kurulmasını zorunlu kılar. Bu sayede Man-in-the-Middle gibi saldırıların önüne geçerek kullanıcıların güvenliğini sağlamak amaçlanır. Okumaya devam ederek HSTS nedir, ne işe yarar, nasıl kurulur, nasıl kapatılır, hatalar nasıl düzeltilir ve benzeri soruların cevaplarını bulabilir, konu hakkındaki detaylara hakim olabilirsiniz.
HSTS (HTTP Strict Transport Security), yukarıda da kısaca belirtildiği üzere, web sitelerinin tarayıcılara yalnızca HTTPS üzerinden erişilmesi gerektiğini bildiren bir güvenlik politikasıdır. Sunucu, tarayıcıya özel bir "header" göndererek belirli bir süre boyunca sadece güvenli bağlantının kullanılmasını zorunlu kılar. Bu sayede kullanıcı, bir siteye ilk kez HTTPS üzerinden bağlandıktan sonra, sonraki ziyaretlerinde tarayıcı otomatik olarak HTTP yerine HTTPS kullanır. HSTS’nin temel amacı, şifrelenmemiş HTTP bağlantılarından kaynaklanabilecek güvenlik açıklarını ortadan kaldırmak ve kullanıcı verilerinin korunmasını sağlamaktır. Bu sayede özellikle Man-in-the-Middle saldırıları gibi veri dinleme veya manipüle etme girişimlerinin önüne geçilmesi hedeflenir. Kısacası HSTS, web sitelerinin HTTP üzerinden açılmasını engelleyerek kullanıcıların yanlışlıkla güvensiz bir bağlantıya yönlendirilmesini de büyük ölçüde ortadan kaldırır.
HSTS Ne İşe Yarar?
Peki, HSTS ne işe yarar? Temel amacı internetteki kullanıcı güvenliğini sağlamak olan bu protokol, otomatik yönlendirmeden SSL stripping korumasına, güvenlik sertifikası uyarılarından performans artışına pek çok konuda avantaj sağlayabilir. Aşağıdaki listede, HSTS avantajlarını maddeler halinde ve açıklamalı olarak görmek mümkün.
- Otomatik HTTPS Yönlendirmesi: Tarayıcıların siteye her girişte güvenli bağlantıya kendiliğinden geçmesini sağlar ve manuel yönlendirme ihtiyacını ortadan kaldırır.
- SSL Koruması: Veri şifreleme işlemini bizzat yapmasa da, iletişimin her zaman şifreli SSL/TLS katmanı üzerinden gerçekleşmesini zorunlu kılarak SSL Stripping gibi saldırıların önüne geçer.
- Güvenlik Sertifikası Uyarıları: Geçersiz veya süresi dolmuş SSL sertifikası durumlarında, kullanıcıların güvenlik uyarılarını yoksayarak ('yine de devam et' seçeneğiyle) siteye girmesini kesin olarak engeller (Hard-fail) ve güvenliği tavizsiz şekilde sağlar.
- Bağlantılardaki Performans Artışı: HTTPS üzerinden sürekli bağlantı kurulduğu için yönlendirme süreçleri azalır ve sayfa açılış hızında dolaylı bir iyileşme sağlanır.
HSTS Nasıl Kurulur?
HSTS nasıl kurulur, sorusunun yanıtı, öncelikle bir SSL sertifikasına sahip olunmasıyla cevaplanır. Sertifikanın edinilmesinin ardından ise tüm HTTP isteklerinin 301 yönlendirmesi yapılarak HTTPS'e geçmesi sağlanır. Son olarak da sunucu yanıt başlıklarına Strict-Transport-Security kuralı eklenir ve işlem tamamlanır. Bu adımlar doğru şekilde uygulandığında HSTS aktif hale gelir ve site güvenliği önemli ölçüde artırılmış olur.
- SSL/TLS Sertifikası Edinimi: Web sitesinin güvenli bir bağlantı üzerinden çalışabilmesi için geçerli bir SSL/TLS sertifikası kurulması gerekir. Bu sertifika, veri iletişimini şifreleyerek temel güvenlik katmanını oluşturur.
- HTTPS Yönlendirmesi Kurgusu: Sunucu tarafında HTTP üzerinden gelen tüm istekler 301 yönlendirmesi ile HTTPS’e aktarılır. Bu adım, kullanıcıların otomatik olarak güvenli bağlantıya yönlendirilmesini sağlar.
- Sunucuya Başlık Eklenmesi: Strict-Transport-Security (HSTS) başlığı sunucu yanıtlarına eklenir ve tarayıcılara belirli bir süre boyunca yalnızca HTTPS üzerinden bağlantı kurulması gerektiği bildirilir.
HSTS Nasıl Kapatılır?
Bu konu özelinde akıllardaki bir diğer önemli soru ise "HSTS nasıl kapatılır?" oluyor. Okumaya devam ederek bu sürecin, farklı taraycılar özelindeki adımlarını ayrıntılarıyla görebilirsiniz.
Google Chrome
Google Chrome’da HSTS kaydını kaldırmak için adres çubuğuna chrome://net-internals/#hsts yazılır. Açılan sayfada “Delete domain security policies” bölümüne ilgili domain girilerek kayıt silinir. Bu işlemden sonra tarayıcı, siteyi tekrar HTTP/HTTPS politikası olmadan değerlendirmeye başlar.
Mozilla Firefox
Mozilla Firefox’ta HSTS ayarları genellikle çerezler ve site verileri üzerinden yönetilir. Sorun yaşanan site için geçmiş ve site verileri temizlenerek HSTS kaydı dolaylı olarak sıfırlanabilir. Gerekli durumlarda gizli ayar sayfası üzerinden daha teknik müdahaleler de yapılabilir.
Safari
Safari’de HSTS kayıtları doğrudan kullanıcı arayüzünden yönetilmez. Bu nedenle genellikle tarayıcı geçmişi ve site verilerinin temizlenmesi gerekir. Gelişmiş durumlarda macOS seviyesinde önbellek temizliği yapılarak HSTS etkisi kaldırılabilir.
Ayrıca İşletmenizi Siber Saldırılara Karşı Koruma Yöntemleri başlıklı yazımız da ilginizi çekebilir.
Sıkça Sorulan Sorular
HSTS kullandığından şu anda siteyi ziyaret edemezsiniz, ne demek?
Bu uyarı, ziyaret edilmeye çalışılan web sitesinin HSTS politikası nedeniyle yalnızca güvenli (HTTPS) bağlantı üzerinden erişime izin verdiğini ifade eder. Tarayıcı, siteye güvenli olmayan bir bağlantı (HTTP) üzerinden erişmeye çalıştığında bu hatayı gösterir. Genellikle SSL sertifikası hataları veya yanlış yönlendirme ayarları bu duruma neden olur.
HSTS hatası nasıl düzeltilir?
HSTS hatasını düzeltmek için öncelikle sitenin SSL/TLS sertifikasının geçerli ve doğru şekilde yapılandırıldığından emin olunmalıdır. Ardından HTTP’den HTTPS’e yönlendirmeler kontrol edilmeli ve gerekiyorsa HSTS kaydı tarayıcıdan temizlenmelidir. Sunucu tarafındaki Strict-Transport-Security başlığı da gözden geçirilerek doğru yapılandırma sağlanmalıdır.
HSTS aktifken siteye HTTP ile erişilebilir mi?
Hayır. HSTS aktif olduğunda tarayıcı, siteye yalnızca HTTPS üzerinden bağlantı kurulmasına izin verir. HTTP üzerinden gelen tüm istekler otomatik olarak engellenir veya HTTPS’e yönlendirilir.
HSTS her site için gerekli midir?
Her site için zorunlu değildir ancak özellikle kullanıcı verisi toplayan, giriş sistemine sahip veya e-ticaret yapan web siteleri için güçlü bir güvenlik katmanı sağlar. Basit içerik sitelerinde ise isteğe bağlı olarak kullanılabilir.
HSTS yanlış ayarlanırsa ne olur?
Yanlış yapılandırma durumunda siteye erişim tamamen engellenebilir veya tarayıcı sürekli güvenlik hatası gösterebilir. Özellikle SSL sertifikası olmadan HSTS aktif edilirse kullanıcılar siteye ulaşamayabilir.
