HSTS Nedir? Web Sitenizi “Zorla” Güvenceye Alma Rehberi
- Aşkım Çağlar Gedik
- 8 Tem
- 2 dakikada okunur
Güncelleme tarihi: 11 Tem
İnternette güvenlik artık sadece “SSL var mı?” sorusundan ibaret değil. Tarayıcıların web sitenize nasıl bağlandığı, bu bağlantının nasıl yönlendirildiği ve ziyaretçinin verisinin hangi protokol üzerinden aktarıldığı da en az sertifika kadar kritik.
İşte bu noktada devreye HSTS giriyor.Yani tam adıyla: HTTP Strict Transport Security.
🛡️ HSTS Nedir? Ne İşe Yarar?
Kısa cevap:
Tarayıcıya şunu “zorla” söyletir: “Bu siteye yalnızca HTTPS üzerinden bağlan.”
Uzun cevap:
HSTS, web sunucusunun tarayıcıya "Ben her zaman güvenli (HTTPS) bağlantı isterim, HTTP kabul etmem" demesidir. Böylece kullanıcı yanlışlıkla bile olsa siteye güvensiz bağlantıyla ulaşamaz.
🧪 Gerçek Hayattan Senaryo:
Bir kullanıcı, sitenize “http://” ile girerse ne olur?Normalde tarayıcı bunu otomatik “https://”e çevirir. Ama bu esnada bir “ortadaki adam” (man-in-the-middle) saldırısıyla kullanıcı yönlendirilebilir.
HSTS varsa?Tarayıcı doğrudan HTTPS’e bağlanır, yönlendirme bile yapılmaz. Risk sıfıra iner.
🔧 HSTS Nasıl Kurulur?
Sunucunuz Apache, Nginx veya başka bir yapı olabilir.Genelde Strict-Transport-Security adında bir HTTP başlığı tanımlanarak yapılır.
Örnek Apache ayarı:
apacheHeader always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Bu ne demek?
max-age=31536000: 1 yıl boyunca geçerli olsun.
includeSubDomains: Tüm alt alan adlarını da kapsasın.
preload: Tarayıcılar beni “önceden” bilsin. (Birazdan açıklayacağız.)
🚨 Preload Ne Demek?
Google başta olmak üzere pek çok tarayıcı üreticisi bir HSTS preload listesi tutar.Eğer sitenizi bu listeye aldırırsanız, kullanıcı daha sizin sitenizi bile ziyaret etmeden tarayıcısı zaten biliyor olur:
“Bu siteye sadece HTTPS ile gidilir.”
Bu da hem hız hem güvenlik açısından ekstra avantaj sağlar.
🤔 Kimler HSTS Kullanmalı?
E-ticaret siteleri
Üye girişi olan platformlar
Form, ödeme, sipariş, yorum gibi veri alışverişi yapan her sistem
Marka güvenliği ve SEO’yu önemseyen işletmeler
⚠️ Dikkat Et!
HSTS bir kere aktif olduğunda, HTTP'ye dönüşe izin vermez.Yani:
Sitenizin her sayfası HTTPS ile çalışıyor olmalı
SSL sertifikanız sürekli aktif olmalı
Alt alan adlarınızda da HTTPS doğru yapılandırılmış olmalı
Yoksa tarayıcı “güvenli değil” der ve sitenizi göstermeyi reddedebilir.
✉️ Çağlar Yorumu:
HSTS Nedir Dijitalde güven sadece bir kilit simgesi değil, bir algıdır.HSTS, belki bir kullanıcının hiç fark etmeyeceği bir detaydır ama Google fark eder, güvenlik duvarları fark eder, en önemlisi algoritmalar fark eder.Moweb olarak önerimiz şu: Bir web sitesine emek veriyorsan, onu baştan sona güvenli yap. O güven bir gün sana satış olarak döner.
Yorumlar