htts ne demek?

HSTS (HTTP Strict Transport Security) Hakkında

HSTS (HTTP Strict Transport Security), web sitelerinin ziyaretçileriyle iletişim kurarken yalnızca güvenli HTTPS bağlantılarını kullanmasını sağlayan bir web güvenlik mekanizmasıdır. Basitçe, bir web sitesi tarayıcıya HSTS başlığını göndererek, o siteye yapılan tüm gelecekteki HTTP isteklerinin otomatik olarak HTTPS'ye yönlendirilmesini "söyler". Bu, SSL Stripping gibi saldırıları engellemeye yardımcı olur.

Temel İşleyiş Prensibi:

  1. Ziyaretçi, HSTS etkin bir web sitesine ilk kez HTTPS üzerinden erişir.
  2. Sunucu, HTTP cevabında Strict-Transport-Security başlığını gönderir. Bu başlık, tarayıcıya belirli bir süre boyunca ( max-age direktifi ile belirtilir) siteye yalnızca HTTPS üzerinden erişmesi gerektiğini bildirir.
  3. Tarayıcı, bu bilgiyi kaydeder.
  4. Aynı web sitesine gelecekte yapılacak HTTP istekleri, tarayıcı tarafından otomatik olarak HTTPS'ye yönlendirilir. Bu, sunucuya ulaşmadan önce gerçekleşir.

HSTS'nin Sağladığı Avantajlar:

  • SSL Stripping Saldırılarını Önleme: HSTS, saldırganların HTTP trafiğini kesip HTTPS'yi devre dışı bırakarak hassas bilgileri çalmasını zorlaştırır.
  • Performans İyileştirmesi: HTTP'den HTTPS'ye yönlendirme işlemi tarayıcı tarafında gerçekleştiği için sunucu yükü azalır ve performans artışı sağlanır.
  • Arama Motoru Optimizasyonu (SEO): HTTPS kullanımı, arama motorları tarafından tercih edildiği için HSTS dolaylı olarak SEO'ya katkıda bulunabilir.

HSTS Başlığı Direktifleri:

  • max-age=<saniye>: Tarayıcının HSTS politikasını ne kadar süreyle hatırlaması gerektiğini belirtir (saniye cinsinden).
  • includeSubDomains: Bu direktif eklendiğinde, HSTS politikası ana alan adı ve tüm alt alan adları için geçerli olur.
  • preload: Web sitesinin HSTS politikasının tarayıcıların önceden yüklenmiş HSTS listesine eklenmesini talep eder. Bu, ilk ziyarette bile koruma sağlar. Bu ön yükleme işlemi HSTS Preload listeleri üzerinden yapılır.

Örnek HSTS Başlığı:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Bu başlık, tarayıcıya bir yıl boyunca (31536000 saniye), ana alan adı ve tüm alt alan adları için yalnızca HTTPS kullanması gerektiğini ve HSTS ön yükleme listesine eklenmek istendiğini bildirir.

Dikkat Edilmesi Gerekenler:

  • HSTS'yi etkinleştirmeden önce web sitenizin tamamen HTTPS uyumlu olduğundan emin olun.
  • max-age değerini kademeli olarak artırın. Başlangıçta daha kısa bir süre belirleyip, zamanla artırabilirsiniz.
  • preload direktifini kullanmadan önce HSTS politikanızın doğru şekilde yapılandırıldığından emin olun.
  • HSTS'yi devre dışı bırakmak için max-age değerini 0 olarak ayarlayabilirsiniz.