HTTPS

Eş anlamlılar: HTTP Secure

HTTPS (HTTP Secure), standart HTTP protokolünün TLS/SSL şifrelemesi üzerinden çalışan güvenli versiyonudur. Tarayıcıda kilit simgesi ile gösterilir, 443 portunu kullanır. Google sıralamasında pozitif etkiye sahip, modern web için zorunludur.

HTTPS Nedir?

HTTPS (HyperText Transfer Protocol Secure), standart HTTP protokolünün TLS/SSL şifrelemesi üzerinden tünellenmesi ile oluşan güvenli iletişim protokolüdür. Tarayıcı adres çubuğunda yeşil/gri kilit simgesi ile gösterilir. 443 numaralı TCP portunu kullanır (HTTP 80 portunu kullanır).

HTTPS Ne Sağlar?

  • Gizlilik: Trafik şifrelenir — kredi kartı, şifre, kişisel veriler korunur
  • Bütünlük: Veri transferi sırasında değiştirilemez
  • Kimlik doğrulama: Sitenin gerçekten iddia ettiği site olduğundan emin olunur
  • Performans: HTTP/2 ve HTTP/3 yalnızca HTTPS üzerinde çalışır

Neden HTTPS Şart?

  • SEO: Google 2014'ten beri HTTPS'i ranking faktörü olarak kullanır
  • Tarayıcı uyarıları: Chrome HTTP siteleri "Not Secure" olarak işaretler
  • Yasal: KVKK, GDPR, PCI-DSS HTTPS'i zorunlu kılar
  • Kullanıcı güveni: Kilit simgesi olmayan sitelere form doldurulmaz
  • HTTP/2 ve HTTP/3: Hız artırıcı modern protokoller yalnızca HTTPS'te
  • Service Worker, PWA: HTTPS olmadan çalışmaz

HTTPS Kurulumu

  1. SSL/TLS sertifikası edinilir (DV, OV, EV veya Let's Encrypt)
  2. CSR oluşturulur sunucuda
  3. Sertifika kurulur (cPanel/Plesk otomatik, manuel için Nginx/Apache config)
  4. HTTP → HTTPS yönlendirmesi yapılır (301 redirect)
  5. HSTS başlığı eklenir
  6. Mixed content (http:// kaynaklar) temizlenir

HTTP/2 ve HTTP/3

HTTPS geçişi sadece güvenlik değil, performans sağlar:

  • HTTP/2: Multiplexing, server push, header compression. %20-40 hız artışı.
  • HTTP/3 (QUIC): UDP tabanlı, 0-RTT, bağlantı migration. Mobil bağlantılarda %30+ hız artışı.

HSTS (HTTP Strict Transport Security)

HTTPS sitelere her zaman HTTPS ile bağlanmayı zorlayan başlık:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

HSTS preload listesine eklendiğinde, tarayıcılar hiç HTTP denemesi yapmaz.

Mixed Content Problemi

HTTPS sitede HTTP kaynak (resim, script, CSS) yüklenirse tarayıcı "Mixed Content" uyarısı verir. Çözüm: tüm kaynakları HTTPS'e çekmek, protocol-relative URL kullanmaktan kaçınmak.

HTTPS Test Araçları

  • SSL Labs — A+ notu hedefi
  • Mozilla Observatory — kapsamlı güvenlik başlıkları kontrolü
  • Chrome DevTools Security tab
  • whynopadlock.com — mixed content tespiti

İlgili Terimler