HSTS Nedir? Nasıl Kurulur?

HSTS  nedir? Kullanıcı ve web tarayıcılarını, en baştan tarayıcıya gönderilen bir yanıt başlığı aracılığıyla bağlantısını nasıl ele alacakları konusunda bilgilendiren bir web sunucusu yönergesidir.  HSTS, web sunucunuz veya web barındırma hizmetiniz için güvenlik ayarları için oldukça önemlidir.

HSTS (HTTP Strict Transport Security) Nedir?

HTTP Strict-Transport-Securityyanıt başlığı (HSTS), tarayıcılara siteye yalnızca HTTPS kullanılarak erişilmesi gerektiğini ve gelecekte HTTP kullanılarak siteye erişme girişimlerinin otomatik olarak HTTPS’ye dönüştürülmesi gerektiğini bildirmektedir.  HTTP Strict Transport Security yanıtı, tarayıcıya HTTP kullanarak bir siteyi yüklememesi gerektiğini bunun yerine HTTP kullanarak siteye erişmeye yönelik tüm girişimleri otomatik olarak HTTPS isteklerine dönüştürerek giriş yaptırır.

Web Sitenizde Neden HSTS Kullanmalısınız?

Gelir kaynağınız olan mağazanızı veya evinizi asla kapıları kilitlemeden çıkmadığınız gibi aynı özeni web siteniz içinde göstermelisiniz. Veriler, dükkanınızdaki veya evinizdeki fiziksel öğeler kadar değerli olabilir, bu nedenle onları kilitli ve güvende tutmak da aynı derecede önemli olacaktır. İnsanlar web sitenize http:// üzerinden ulaşmanın bir yolunu yine de bulacaklarından, web sitenizi asma kilitle kilitlemek bazen yeterli olmaz. HSTS, varsa tarayıcıları ve uygulama bağlantılarını HTTPS kullanmaya zorlar. Birisi sadece www veya http:// yazsa bile otomatik olarak https yanıtı verilir.

HTTPS, Google’da küçük bir sıralama faktörüdür ve sayfa hızı ve mobil yanıt verebilirlik gibi diğer birçok faktörle birlikte bir “site kalitesi” puanı olarak kategorize edilir. Bu da aslında SEO sağlığınızı doğrudan etkileyecek bir yapıdır.

http://’den https://’ye 301 yönlendirmeleri ayarlamak, alan adınızı tamamen güvence altına almak için yeterli değildir. Tehlikeli saldırılar, HTTP’nin güvenli olmayan yeniden yönlendirmesinde hala mevcuttur. Dolayısıyla güvenlik için en önemli yanıt kodu HTST’dir.

Web Siteniz İçin HSTS Nasıl Kurulur?

İçerik yapınızda subdomainler kullanıyorsanız, Yalnızca HTTPS’yi kapsayacak bir Wildcard SSL Sertifikasına ihtiyacınız olacaktır. Bunların kurulu olduğundan ve doğru çalıştığından emin olun.

Aşağıdaki ilk aşamalar web uygulamalarınızı, kullanıcı girişinizi ve oturum yönetiminizi test edecektir. HSTS her 5 dakikada bir sona erecektir. Bir hafta ve bir ay boyunca test etmeye devam edin. Dağıtımınızda ortaya çıkabilecek sorunları düzeltin. Max-age=xxx’i değiştirin. Bir hafta = 604800; Bir Ay = 2592000. Testleriniz tamamlandıktan sonra ön yüklemeyi ekleyin.

HSTS’nin web uygulamalarınızla çalıştığından emin olduktan sonra, maksimum yaşı değiştirin.  Chromium Projesi’nin ön yükleme gönderiminizde görmek istediği şey de budur.

HSTS’nin SEO Açısından Faydaları

HSTS kullanmak, sitenize ekstra bir güvenlik katmanı eklemenin yanı sıra, web sayfalarınızın daha hızlı yüklenmesini sağladığından, size bir SEO artışı da sağlayabilir.

Hem arama sıralamaları hem de kullanıcı deneyimi söz konusu olduğunda yükleme süresinin çok önemli olduğunu biliyoruz. Yalnızca artan mobil kullanım ve Google’ın mobil öncelikli girişimi tüm hızıyla devam ederken, sayfa yükleme hızı her zamankinden daha önemli.

Geçen yılın başlarında Google , aşağıdaki sonuçlara varan bir çalışma yayınladı.

Ortalama bir mobil açılış sayfasının tamamen yüklenmesi için geçen ortalama süre 15,3 saniyedir: Ancak araştırmalar ayrıca, yüklenmesi üç saniyeden uzun süren mobil sayfalardan insanların yüzde 53’ünün ayrıldığını gösteriyor. İnternet kullanıcıları için hızın ne kadar önemli olduğunu açıklayan bir veri bu aslında. Tabii ki de web sitenizin hızını yalnızca HTST yanıt kodu ile sağlayamazsınız. Barındırma hizmetinizi sağladığınız firmanın sunucu hızından, web sitenizin içeriğini nasıl optimize ettiğinize kadar birçok kırılıma dayanır. Ama ana yapıyı kurmanın en temiz yolu hızlı bir sunucudan geçmektedir. Bu sunucu paketlerin incelemek için Turkticaret.Net’in hosting paketlerine göz atabilirsiniz.

Mobil siteler, sitede geçirilen ortalama süre, ziyaret başına sayfa sayısı ve hemen çıkma oranı gibi önemli etkileşim ölçümlerinde masaüstü sitelerin gerisinde kalıyor. Çevrimiçi olarak çok fazla alışveriş yapılıyor, ancak geride kalan siteler satış yapan siteler değil. Sayfa yükleme hızı , sitede geçirilen ortalama süre, ziyaret başına sayfa ve hemen çıkma oranı gibi metrikleri doğrudan etkiler. Düşük katılım metrikleri görüyorsanız, muhtemelen düşük satışlar göreceksiniz. Aslında gördüğünüz metrikler size çok şey anlatıyor. Hemen çıkma oranının yüksek olduğu bir senaryoda başarılı SEO ve dönüşüm görmeyi bekleyemezsiniz. Burada web sitenizin size söylemek istediği bir şey var. Kullanıcılar girdikleri URL’de aradıklarını bulamıyorlar. Aslında SEO dediğimiz yapı son zamanlarda arama niyetini ön planda tutuyor, yani niyetine uygun içerikle kullanıcının karşısına çıktığınızda bu sorun ortadan kalkabilir. Aynı zamanda hemen çıkma oranınızı etkileyen bir diğer yapı sayfanızın açılma hızıdır.

Bu etkileşim ölçümleri, genel SEO’nuzdaki temel faktörlerdir. Google’a güçlü etkileşim sinyali kalitesi ve iyi kullanıcı deneyimi sunan web sayfaları, daha yüksek bir sıralamayla sonuçlanabilir. Sayfa yükleme hızları çok önemli olduğundan, işletmelerin sitelerinin hızlı yüklenmesini sağlamak için ellerinden gelen her şeyi yapmaları gerekir. Hem mobil hem de masaüstü kullanıcıları için yapılabilecek tüm hız geliştirme işlemlerini yapmalısınız. Yapabileceğiniz şeylerden biri  HSTS’yi etkinleştirmek olmalıdır.

HSTS Gereksinimleri

• En baştan başlamak gerekirse bir domain ve hostinge sahip olmalısınız.
• Web sitenizin geçerli bir SSL Sertifikası olmalıdır. SSL’nizin geçerliliğini Turkticaret.Net’in SSL Sorgulama Aracı’nda kontrol edebilirsiniz .
• 301 Kalıcı Yönlendirme ile bütün HTTP bağlantılarını HTTPS’ye yönlendirin.

• Tüm subdomainler SSL Sertifikanızda yer almalıdır.
• HTTPS istekleri için temel alan adında bir HSTS başlığı sunun.

• Maksimum yaş en az 10886400 saniye veya 18 Hafta olmalıdır. İki yıllık değer seçebilirsiniz.
• Eğer varsa, includeSubDomains yönergesi belirtebilirsiniz.
• Önyükleme yönergesi belirtilmelidir.

Apache Web Sunucusu İçin HSTS Kurulumu

unu, public_html veya httpdoc gibi üst düzey belge kök klasöründeki .htaccess dosyanıza ekleyebilirsiniz.

İstemciyi yalnızca güvenli bağlantıları kullanmaya zorlamak için HTTP Strict Transport Security kullanın. Başlığı her zaman Strict-Transport-Security “max-age=300; includeSubDomains; preload”” olarak ayarlayın.

Lighttpd için HSTS Kurulumu

Bunu Lighttpd yapılandırma dosyanıza ekleyin /etc/lighttpd/lighttpd.conf

server.modules += ( “mod_setenv” ) $HTTP[“scheme”] == “https” { setenv.add-response-header = (“Strict-Transport-Security” => “max-age=300; includeSubDomains; preload”) }

NGINX için HSTS Kurulumu

Bu, site.conf dosyanıza giriyor ve  ek güvenlik parametreleriyle  değiştirilmiş bir öz oluşturduk.

add_header Strict-Transport-Security ‘max-age=300; includeSubDomains; preload; always;

IIS Sunucuları için HSTS Kurulumu

protected void Application_BeginRequest(Object sender, EventArgs e) { switch (Request.Url.Scheme) { case “https”: Response.AddHeader(“Strict-Transport-Security”, “max-age=31536000; includeSubDomains; preload”); break; case “http”: var path = “https://” + Request.Url.Host + Request.Url.PathAndQuery; Response.Status = “301 Moved Permanently”; Response.AddHeader(“Location”, path); break; } }

Önerilerimizi yükledikten sonra,  HSTS Ön Yükleme Başvuru Formu’na gidin  ve web sitenizi önyükleme listesinde listeleyin. Alan adınızın bu listeye dahil edilmesi zaman alacaktır.

HSTS Ön Yüklemesi nedir?

HSTS ön yüklemesi, tarayıcıda yerleşik bir işlevdir; bu işlev sayesinde, küresel bir ana bilgisayar listesi sitelerinde YALNIZCA HTTPS kullanımını zorunlu kılar.

Bu liste Chromium Project tarafından derlenmiştir  ve Chrome, Firefox ve Safari tarafından kullanılmaktadır. Bu siteler, politikayı uygulamak için HSTS yanıt başlıklarının yayınlanmasına bağlı değildir. Bunun yerine tarayıcı, alan adının YALNIZCA HTTPS kullanımını gerektirdiğinin zaten farkındadır ve herhangi bir bağlantı veya iletişim gerçekleşmeden önce HSTS’yi zorlar.

Bu, bir hacker saldırısının HTTP üzerinden yönlendirmelere müdahale etme ve kurcalama fırsatını ortadan kaldırır. HSTS yanıt başlığına bu senaryoda hala ihtiyaç duyulmaktadır ve önceden yüklenmiş HSTS listelerini kullanmayan tarayıcılar için yerinde bırakılmalıdır.