Birçoğumuzun duymuş olabileceği HTTPS nedir, ne işe yarar ve nasıl kurulur? Google Webmasters kanalında John Mueller’in anlatımıyla HTTPS ve ona dair detayları öğrenebildiğimiz bir video yayınlandı. Bu içerik, HTTPS'nin nasıl çalıştığına, neden kullanmak isteyebileceğimize, HTTP'den HTTPS'e geçişin nasıl planlanacağına ve bu konuda karşılaşabileceğimiz bazı genel sorulara cevap olacak.
Gelin hep birlikte HTTPS’i keşfedelim.
Öncelikle en basit soruyla başlayalım. HTTPS nedir ve neden web sitemizde HTTPS kullanmalıyız?
HTTPS, web siteniz ve kullanıcılarınız arasında güvenli bir bağlantıdır.Hem web sitenizi, hem de kullanıcıyı istenmeyen faaliyetlerden korur.
HTTPS’in güvenlik konusunda bize sağladığı 3 şey vardır.
- Bunların birincisi, kimlik doğrulamadır.
Gerçekten websitesiyle mi iletişimdesiniz? HTTPS’in bu özelliği sayesinde kullanıcılar, bir aracı ile değil, web sitesinin kendisiyle direk etkileşimde olduğunu bilir.
- İkincisi veri bütünlüğüdür.
Sitenin verilerine müdahale edilmiş olabilir mi? HTTPS, kullanıcıların, kendilerine sunulan içeriği olması gerektiği şekilde gördüğünün garantisini verir.
- Güvenlik konusundaki üçüncü faydası ise şifrelemedir.
Kullanıcıların girdikleri bilgiler ile görüntüledikleri içerikler, sadece kullanıcı ve web sitesi arasında tutulmalıdır. HTTPS bizlere bunu da sağlar.
HTTPS’i oluşturan bu 3 madde, güvenilir modern web için kaçınılmazdır. Kullanıcının, web sitesinde kendini güvende hissetmesi esastır.
HTTPS, modern webin çok temel bir öğesi olduğu için, birçok modern tarayıcı özelliği için de bir gerekliliktir. Özellikle coğrafi konum, formlarda otomatik doldurma, kamera erişimi, Aşamalı Web Uygulamaları (PWA), push bildirimleri, önbelleğe alma ve birçok özelliğe erişmek için HTTPS'e ihtiyacımız var.
Modern tarayıcılarda HTTPS bilgisini görebiliriz. Varsayılan özellik olarak kabul edildiğinden, modern bir internet tarayıcısından HTTPS bulunmayan bir web sitesini ziyaret ettiğimizde bununla alakalı bildirimi rahatlıkla görebiliriz.
Tüm bunlara ek olarak, HTTPS’i başarılı bir şekilde kullanan web siteleri, SERP’te ufak bir sıralama artışı yakalar.
Saydığımız tüm bu maddeler HTTPS kullanmanın faydalarını bize açık bir şekilde gösteriyor.
HTTPS URL’leri, HTTP URL’lerinden farklıdır. Bu sebeple geçiş yapmak için tüm ziyaretçileri HTTP’den HTTPS’e yönlendirmeliyiz. Bunun için genelde sunucu (Server) kısmında 301 yönlendirmesi yöntemi kullanılır. HTTPS’e geçiş, site taşıma (Site migration) işlemlerinden biridir.
HTTPS’e geçiş için atılacak adımlara göz atalım.
- İlk olarak HTTPS sitemizi kurmalıyız.
Bunun için barındırıcımızdan (Hosting) yardım almamız gerekebilir. Ek olarak bir HTTPS sertifikasına ihtiyacımız olacak. Sertifika çeşitleri Domain SSL, Organization SSL ve Extended Validation SSL olarak üçe ayrılır. Chrome gibi modern internet tarayıcıları tarafından desteklenen tüm sertifikalar iş görecektir. Ücretsiz sertifikalar da son derece kullanışlıdır. Bu kısımda atılacak adımlar web sitesinden web sitesine değişkenlik gösterebilir. Bazen ufak bir ayarı değiştirmek yeterli olabilirken, diğer durumlarda bu işlem daha uzun sürebilir.
- İkinci olarak Google Search Console’da doğrulama işlemi yapmalıyız.
Bu çok kritik adım sayesinde HTTPS sürümümüzün hatalarını gözlemleyebiliriz. Diğer bir seçenek olarak, alan adını (Domain) tümüyle doğrulayarak HTTP ve HTTPS verilerimizi bir arada görüntüleyebiliriz. Search Console’da aynı ayarları kullandığımızdan emin olmalıyız.
Özellikle uluslararası hedefleme, URL kaldırma, URL parametre ve tarama sıklığı ayarları ile Google disavow dosyasını gözden geçirmeliyiz. Search Console'da ortak sahiplerimiz varsa onları da eklemeliyiz.
- Üçüncü olarak HTTPS sitemizi kapsamlı bir şekilde test etmeliyiz.
Bu aşamada HTTPS sitemizi bazı kullanıcılarımızın bile denemesine izin verebiliriz. Tüm bu süreç boyunca gözümüzden kaçanlar olabilir ve HTTPS sürümümüze geçmeden önce bunları tespit etmek ve düzeltmek en iyisidir.
a. Test edilebilecek şeylerden birisi, karışık içerikten kaçınmaktır.
Karışık içerik, HTTPS üzerindeki bir sayfanın HTTP'den öğeler içermesidir. Örneğin, gömülü resimlerimiz, reklamlarımız veya HTTP ile analitik komut dosyamız olabilir. Bu, güvenlik açısından kötüdür ve tarayıcılar, onu tanıdıklarında kullanıcıları uyaracaktır.
b. Dahili bağlantıları kontrol etmeliyiz.
Web sitemizdeki tüm dahili bağlantıların da HTTPS sürümüne gittiğinden emin olmalıyız. Bunu kontrol etmek için çeşitli araçları kullanabiliriz.
c. Yapılandırılmış verileri kontrol etmeliyiz.
“ rel = canonical ” veya “ rel = alternate hreflang ” link öğelerini kullanıyorsak, bunları HTTPS'e ayarlamalıyız. Yapılandırılmış veri (Structured data) kullanıyorsak, tüm URL'lerin HTTPS sürümüne karşılık geldiğinden emin olmalıyız.
d. Site haritası dosyalarımızı kontrol etmeliyiz.
Site haritası dosyaları, sitemizin daha verimli bir şekilde taranmasına ve dizine eklenmesine yardımcı olur. Bu nedenle, site haritamızdaki URL’leri gözden geçirmeliyiz.
Tüm bu adımların sonunda HTTPS sitemiz artık hazır. Artık kalıcı değişikliğimize geçebiliriz.
Dördüncü olarak HTTP sürümünden HTTPS sürümüne tüm istekleri iletmek için sunucu kısmında 301 yönlendirme yöntemini kullanmalıyız.
Bu işlemin başarılı bir şekilde tamamlandığından emin olmak için, tek tek sitenin belli kısımlarını kontrol edebilir veya bunu otomatik yapabileceğimiz araçlar yardımıyla tek seferde de halledebiliriz.
Bir site haritası (Sitemap) dosyamız varsa, bunu da göndermenin tam zamanı. Arama motorları artık HTTPS URL'lerimizi kullanmaya başlayacak.
Beşinci adımımız, Search Console'da taşıma işlemimizin etkilerini izleme zamanı.
Olası hataları, sorun yaratmadan önce yakalamak için başlangıçta Search Console'u düzenli olarak kontrol etmemiz çok faydalı olacaktır. Özellikle site haritası dosyalarımızın normal şekilde işlendiğini, beklenmedik tarama hataları görünmediğini, dizin kapsamı raporunun HTTPS sitesi için bir artış gösterip göstermediğini ve elbette kullanıcılarımızın HTTPS sitemizi SERP’te bulduğunu kontrol etmeliyiz.
Her şeyin beklediğimiz gibi çalıştığından emin olduktan ve oturması için birkaç ay verdikten sonra, HSTS'i etkinleştirmeyi düşünebiliriz.
HSTS (HTTP Strict Transport Security) , yani HTTP Katı Taşıma Güvenliği, tarayıcılara artık sitemizin HTTP sürümünü kontrol etmeleri gerekmediğini bildiren bir güvenlik politikası mekanizmasıdır. Bizim açımızdan uzun vadeli bir taahhüt gibi düşünülebilir.
HSTS'i kurmak oldukça kolaydır. Sunucumuzun yanıtlarına, tarayıcılara artık sitemizin URL'lerinin eski HTTP sürümünü kontrol etmelerine gerek olmadığını söyleyen bir başlık eklememiz yeterlidir.
Sitemizi HSTS ön yükleme listesine (HSTS Preload List) ekleyerek aşama kaydedebiliriz. Bu liste, HTTPS'i taahhüt eden sitelerin paylaşıldığı listedir. https://hstspreload.org/ adresinden kontrol edebilirsiniz.
Bu oldukça büyük bir adımdır. Bu nedenle HSTS; HTTPS sitenizde her şeyin doğru çalıştığından kesinlikle eminseniz önerilir.
HTTPS konusuna giriş bu şekilde özetlenebilir. Ancak böyle bir özet kafalarda soru işareti bırakabilir, bu çok normal. Bu yüzden akla gelebilecek bazı soruları şu şekilde cevaplayabiliriz.
- Yönlendirmeleri ne kadar süreyle tutmamız gerekir?
+ İdeal olarak yönlendirmeler sonsuza kadar yerinde kalmalıdır. Siteniz taşındıktan sonra HTTP'den HTTPS'e yeniden yönlendirmemek için bir neden olmamalıdır.
- Sadece bazı sayfaları HTTPS'e taşıyabilir miyiz? (Giriş sayfası vb.)
+ Evet, teknik olarak bu mümkün. Ancak tüm siteyi HTTPS’e taşıma işlemi uzun bir işlem olmadığından ve nihai amacımız da bu olduğundan sitenin tamamına uygulanması önerilir.
- Ne tür bir sertifika almalıyım?
+ Chrome gibi modern bir tarayıcıda desteklenen herhangi bir sertifika uygundur. Ücretsiz elde edebileceğiniz sertifikalar da mevcuttur.
- HTTPS’e taşıma işlemi ne kadar sürer?
+ Google'ın HTTPS taşıma konusunda çok fazla deneyimi vardır. Bu nedenle, her şeyi doğru bir şekilde ayarladıysanız, genellikle çoğu sitede bir haftadan kısa bir sürede işlenir. Pratikte, kullanıcılar yine de yeniden yönlendirileceğinden tam zamanlama çok da önemli değildir.
- Bir şeyler ters giderse geri dönebilir miyiz?
+ Evet, ama tavsiye edilmiyor. Geri dönmek yerine, sorunu çözmeyi ve ilerlemeyi öneririz.
Google Webmasters kanalında John Mueller’in anlatımıyla HTTPS ve ona dair detayları öğrenebileceğiniz videoya buradan ulaşabilirsiniz.
Bu yazımızda HTTPS’e hızlı bir giriş yaptık. HTTPS konusunda edindiğimiz bu bilgiler, hepimize bu yolda yardımcı olacaktır. Bir sonraki içeriğimizde görüşmek üzere.