HSTS Nedir, Nasıl Kaldırılır & Ne İşe Yarar?

HTTP Strict Transport Security (HSTS), web sitelerini ortadaki adam saldırılarına ve oturum ele geçirmeye karşı korumaya yardımcı olan bir web güvenlik politikası mekanizmasıdır. Web sunucularının, tarayıcılarla yalnızca güvenli HTTPS bağlantıları üzerinden iletişim kurmaları gerektiğini belirtmelerine olanak tanır. 

HSTS, web sunucusu ile tarayıcı arasındaki tüm iletişimin belirtilen süre boyunca şifrelenmesini sağlar.

Yukarıda HSTS nedir sorusunun yanıtını kısaca anlattık. Bir sonraki bölümde HSTS ne işe yarar sorusunun cevabını bulabilirsiniz.

HSTS Ne İşe Yarar?

HSTS bir gereklilik olmasa da, istemciler ve uygulamalar için güvenliği otomatik olarak artırabilecek basit bir önlemdir. HSTS, bazı yaygın siber güvenlik tehditlerini ortadan kaldırmak amacıyla geliştirilmiştir.

• Protokol düşürme: HTTPS bağlantısının, kazara ya da kötü niyetli kişiler tarafından HTTP bağlantısına dönüştürülmesidir. Bu durum, verilerin aktarım sırasında daha savunmasız hale gelmesine neden olur.
• Ortadaki adam (MITM) saldırıları: Bir bilgisayar korsanı, istemci ile web sunucusu arasındaki veri akışını ele geçirerek ya da kullanıcıları sahte bir HTTP sitesine yönlendirerek hassas bilgilere ulaşabilir. Ayrıca, kullanıcıya yetkisiz ve güvenilir olmayan sertifikalar sunarak bu sertifikaların kabulüyle güvenliği tehlikeye atabilir.
• Oturum çalma: Bir bilgisayar korsanı, kullanıcının oturum çerezlerini aktarım sırasında ele geçirerek o kullanıcı gibi davranmaya çalışır.

İlk senaryoda, HSTS başlığı HTTPS bağlantılarının HTTP bağlantılarına dönüşmesini engeller. Tarayıcı belirli bir web sitesinin HSTS durumunu hatırlar ve web sunucusu bunu Strict-Transport-Security yönergesini kullanarak istemciye geri iletir. 

İkinci senaryoda, müşterilerin daha önce eriştiği web siteleri aynı HSTS talimatını korur ve sahte sitelere hizmet vermeyi reddeder. Sertifika tabanlı MITM saldırıları söz konusu olduğunda, HSTS kullanıcıların bu tür geçersiz sertifikalara karşı kendilerini uyaran uyarı mesajlarını atlamalarını engeller. Normalde, tarayıcılar uyarı sayfasında bir ''I understand the risks (Riskleri anlıyorum)'' butonu sunar ve bu buton, süresi dolmamış bir HSTS başlığı önceki ziyaretlerden (veya bir ön yükleme listesinden) önbelleğe alınmışsa kaldırılır.

Üçüncü senaryoda, HSTS uygulaması tüm çerezlerin HTTPS üzerinden iletilmesini sağlayarak oturum çalmayı önler. Şifreleme, bu çerezlerin insan tarafından okunabilir olmasını engeller. 

HSTS yönlendirmeleri inanılmaz derecede hızlıdır, her HTTP isteğine çok az ölçülebilir gecikme ekler. Bu da HSTS'yi performans kaybı olmadan geniş ölçekte güvenliği artırmak için uygun bir seçenek haline getirir.

Yukarıda HSTS ne işe yarar sorusunun detaylarını sizin için anlattık, aşağıdaki bölümde HSTS kullandığından şu anda siteyi ziyaret edemezsiniz hatası ile ilgili detayları bulabilirsiniz.

HSTS Kullanıldığından Şu Anda Siteyi Ziyaret Edemezsiniz Hatası

Popüler tarayıcılarda HTTP Strict Transport Security (HSTS) hataları, sertifikanın süresinin dolması veya geçersiz olması, sunucu yapılandırmasının düzgün uygulanmaması, DNS sorununun düzeltilmemiş olması vb. gibi birden fazla nedenden dolayı ortaya çıkabilir. 

Aşağıdaki listede HSTS hatası nasıl düzeltilir sorusunun cevaplarını bulabilirsiniz: 

1. Süresi Dolmuş Sertifikalar

Bir web sitesinin SSL sertifikası süresi dolduğunda, kullanıcılar siteye erişmeye çalıştıklarında HSTS hata uyarısı alabilir.

2. Geçersiz Sertifikalar

SSL sertifikası güvenilir bir sertifika yetkilisi tarafından verilmemişse, tarayıcılar bu sertifikayı doğrulayamaz ve HSTS hatalarıyla karşılaşılabilir.

3. Geçersiz Sunucu Yapılandırmaları

Bir web sunucusu HTTPS trafiğini düzgün şekilde kabul edecek biçimde yapılandırılmamışsa, kullanıcılar siteye bağlanmaya çalıştığında HSTS hatası veya uyarı mesajı alabilir.

4. DNS Sorunları

Eğer DNS ile ilgili sorunlar varsa ya da alan adı düzgün yapılandırılmamışsa, kullanıcılar siteye erişmeye çalışırken HSTS hatasıyla karşılaşabilir.

5. Üçüncü Taraf Yazılım Müdahaleleri

Bazı güvenlik yazılımları veya tarayıcı eklentileri, HSTS protokolüne müdahale ederek sorunlara yol açabilir.

Eğer HTTPS yerine HTTP kullanırsanız, kullanıcı ile web sitesi arasındaki tüm iletişim düz metin olarak gerçekleşir.

Bu durumda finansal bilgiler, sosyal güvenlik numaraları, kredi kartı bilgileri, telefon numaraları, sağlık verileri, fiziksel adres ve giriş bilgileri gibi birçok hassas veri bilgisayar korsanları tarafından kolayca ele geçirilebilir.

HSTS Çalışma Mantığı

HTTP Strict Transport Security (HSTS) mekanizması, HTTP sitesinden HTTPS sitesine 301 yönlendirmesi uygulayarak çalışır. Bu mekanizmayı kullanan web siteleri, başlıklarında aşağıdaki kodu kullanır:

Strict-Transport-Security: max-age=expireTime; includeSubDomains; preload

Bu yöntem sayesinde, tarayıcıların bağlantı kurmak için yalnızca HTTPS üzerinden istek göndermesi sağlanır. İstek başarılı bir şekilde gerçekleştiğinde ise veri alışverişi devam eder.

Örneğin, bir kullanıcı tarayıcıya http://alanadiniz.com yazdığında, web sitesi otomatik olarak bu adresi https://alanadiniz.com adresine 301 yönlendirmesiyle yönlendirir.

HSTS Kullanmanın Avantajları ve Dezavantajları Neler?

HSTS kullanmak sadece güvenliğe yardımcı olmakla kalmaz, aynı zamanda SSL kurulumundaki boşluklardan kaynaklanan saldırılara karşı bir koruma sağlar ve aşağıdaki avantajları sunar:

1. Tüm bağlantıları HTTP'den HTTPS'ye dönüştürme

''includeSubdomains'' adlı bir yönerge, alt alan adları da dahil olmak üzere web sitesine bağlantı veren tüm tarayıcı isteklerini güvenli hale getirir. Bu özellik, SSL'in kısmi olarak çağrılmasından ve bazı komut dosyaları ve resimler için HTTP bağlantıları kullanan karışık içerikten kaynaklanan sorunu çözer.

2. Güvenli olmayan bağlantıların kaldırılması

Birçok kullanıcı güvenlik uyarılarını görmezden gelmeyi tercih etmektedir. HSTS depolandığında, kullanıcı uyarıdan kaçınmış olsa bile iletişim otomatik olarak durdurulur ve böylece potansiyel saldırı aralığı azalır.

3. Güvenli ortama sınırlamalar uygulamak

Web sitesini yalnızca güvenli modda kullanarak web sitesi sahiplerinin güvenini artırır.

4. Çerez zorlamasına karşı savunma

Oturum ele geçirme saldırısı bir tür MITM saldırısıdır ve HSTS ile tarayıcıyı bu tür saldırılara karşı koruyan ''includeSubdomains'' modu vardır.

5. Güvenli olmayan URL referanslarını dönüştürme

URL'lerin herhangi birinde HTTP'nin HTTPS ile değiştirilmesini zorunlu kılar. Bir kullanıcı veya komut dosyası yanlışlıkla bir HTTP bağlantısına başvurursa, HSTS tarayıcıya bağlantıyı HTTPS'ye geçirmesi talimatını verir. Bağlantı şifreli ve güvenli kalır ve hassas verileri açığa çıkarabilecek kasıtsız protokol düşüşlerini önler.

HSTS her ne kadar önemli avantajlar sunsa da, bazı dezavantajları da vardır. Bunlar aşağıdaki şekildedir: 

1. İlk Kurulum

HSTS’nin uygulanabilmesi için web sunucusunun yapılandırılması ve HTTP yanıtlarında Strict-Transport-Security başlığının yer alması gerekir. Ayrıca, karışık içerik uyarılarından kaçınmak için web sitesindeki tüm içeriğin yalnızca HTTPS üzerinden sunulması sağlanmalıdır. Buna aşağıdakiler de dâhildir:

• Görseller
• Komut dosyaları 
• Stil dosyaları 

2. Potansiyel Uyumluluk Sorunları

Çoğu modern web tarayıcısı HSTS'yi desteklese de, eski tarayıcılar veya cihazlarla uyumluluk sorunları yaşanabilir. Bu nedenle, web siteleri bu tür senaryoları zarif bir şekilde yönetebilmek için yedek mekanizmalar uygulamalıdır.

3. Erişim Kilitlenmesi Riski

Web sitesinin HTTPS yapılandırması düzgün şekilde korunmalı ya da HSTS başlığı uzun süreli olarak ayarlanmalıdır. Aksi takdirde, HTTPS bağlantısı kullanılamaz hale gelirse kullanıcılar siteye erişemez. Bu da erişim kilitlenmesi sorununa yol açabilir.

HSTS Nasıl Kaldırılır?

Web sitenizde SSL sertifikası ile ilgili sorunlar yaşıyorsanız ve HSTS nasıl kaldırılır diye merak ediyorsanız, bu bölümde Chrome, Firefox tarayıcısında HSTS nasıl kapatılır öğrenebilirsiniz:

Chrome Tarayıcısında HSTS Nasıl Devre Dışı Bırakılır?

• Tarayıcının adres çubuğuna chrome://net-internals/#hsts yazın.
• Aşağıya doğru kaydırın ve ''delete domain security policies'' (alan adı güvenlik ilkelerini sil) bölümüne, protokol olmadan (http/https yazmadan) sadece alan adını girin. Ardından ''delete'' (sil) butonuna tıklayın.
• Sonra yine protokol olmadan aynı alan adını ''query HSTS/PKP'' (HSTS/PKP sorgula) bölümüne girin ve ''query'' (sorgula) butonuna tıklayın.
• Eğer ekranda ''not found'' (bulunamadı) uyarısını görürseniz, güvenlik mekanizması başarıyla devre dışı bırakılmış demektir.

Firefox Tarayıcısında HSTS Nasıl Devre Dışı Bırakılır?

• Tarayıcında Geçmiş ayarlarını açın.
• Arama kutusuna alan adını yazarak silmek istediğin web sitesini bul.
• Siteyi bulduğunda, üzerine sağ tıklayıp ''Forget about this site (Bu siteyi unut)'' seçeneğini seçin.
• Tarayıcını yeniden başlat ve güvenlik mekanizmasının başarıyla devre dışı kaldığını göreceksin.

Apple Safari Tarayıcısında HSTS Nasıl Devre Dışı Bırakılır?

• Öncelikle Safari tarayıcısını kapatın.
• Ana dizinde yer alan ~/Library/Cookies/HSTS.plist dosyasını silin.
• Tarayıcıyı yeniden açtığınızda, HTTP Strict Transport Security mekanizmasının başarıyla devre dışı kaldığını göreceksiniz.

HSTS ve SEO İlişkisi

HSTS'nin uygulanması, Google'ın sıralama yapmak için kullandığı faktörlere olumlu bir etki sağlar.

Güvenlik

Son zamanlarda insanların verileriyle ilgili yaşanan tüm güven sorunları nedeniyle Google, bir bireyin kişisel bilgilerini güvende tutmak için elinden geleni yapmaktadır. Bu yüzden bir site ne kadar güvenli olursa, Google o sitenin sıralanmasına o kadar yardımcı olur.

Google, yüksek riskli bir web sitesine öncelik vermez. Çünkü kötü niyetli bir web sitesini ziyaret ettiğinizde başınıza gelenlerden neredeyse sorumlu olurlar.

Site Hızı

Site hızı, olumlu bir kullanıcı deneyimi ile ilişkili olduğu için web sitelerinin sıralanması söz konusu olduğunda önemli bir faktördür. Bir kullanıcı web sitenizi ziyaret ettiğinde ve sitenizin yüklenmesi uzun sürdüğünde, sitenizin yüklenmesini beklemez. Siteniz yeterince hızlı yüklenmezse, ziyaretçileriniz sitenizden çıkar.

Sonuç olarak hemen çıkma oranınız artar ve Google, kullanıcıların sitenizden memnun olmadığını görür. Google kullanıcılarını mutlu etmeyi sever, bu nedenle siteniz yavaşsa, siteniz sıralamalarını kaybetmeye başlarsınız.