SSL yani Secure Sockets Layer ürünleri, web sitelerinde gerçekleşen işlemleri, sunucu ve istemci arasında, sahip olduğu özelliklere göre karmaşık yapıda şifreleyerek, web sitelerinde gerçekleşen işlemleri güven altına alır.
HTTPS protokolünü kullanan bazı sitelerin Google Chrome’daki görüntüsü aşağıdaki gibidir. Bazılarında sadece yeşil kilit ikonu görülüyorken diğerlerinde yeşil kilit ikonunun yanında sitenin ait olduğu şirketin ünvanı da yer almaktadır.
Bu görsel farklılık, sitelerin SSL sertifika tipi ile ilgilidir. Domain Validation – DV veya Organization Validation – OV sertifika tiplerinde sadece yeşil kilit, Extended Validation – EV tipinde kilide ek olarak şirket adı gösterilir.
Sisteminizi HTTPS’e geçirmenizin öncelikli olarak 2 ana faydası var: İlki, özellikle popülerliğini yitirmemiş olan man-in-the-middle-attack yöntemine karşı güvenlik önlemidir.
Wikipedia’ya göre bu saldırının tanımı şu şekildedir:
Bir network üzerinde kurban bilgisayar ile diğer ağ araçları (yönlendirici, switch, modem ya da sunucu gibi) arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme ilkesine dayanan bir saldırı çeşidi.
Bu saldırı yöntemi için en temel güvenlik önlemi ise parola, kredi kartı numarası gibi değerli bilgilerin HTTPS gibi şifrelenmiş protokoller üzerinden gönderilmesidir. Paketler saldırganın eline geçse dahi içerikleri görüntülenemez ve değiştirilemez. Tek başına SSL site güvenliğini elbette sağlamayacaktır ama veri akışını şifrelemesinden dolayı ciddi bir güvenlik önlemi olarak kabul edilebilir. Özellikle blackhat SEO dünyasında sitelere saldırı gerçekleştirme ve hack işlemi sonrasında gizli backlink yaratma, günümüzde halen popülerliğini koruyor. Bu tür saldırılar sitenizin organik trafik performansını da negatif yönde etkiler.
Diğeri ise, SEO performansına olan katkısı. Google’ın arama algoritmasında mevcutta 200’den fazla metrik olduğu her fırsatta ifade ediliyor. Sitenizi SSL’e geçirmek tek başına illaki sıralamada sitenizi zıplatmayacaktır fakat Google bu konunun pozitif yönde bir metrik olduğunu resmi olarak açıkladı. Bizim de tüm “+” ‘ları toplayıp elimizden geldiğince arama sonuçlarındaki sıralamayı ve beraberinde trafiği artırmak nihai hedefimiz.
Gelelim SSL Sertifikası Tiplerine
SSL sertifikalar, CA (Certificate Authority) adlı güvenilir üçüncü parti kuruluşlar tarafından üretilir. CA’ler finans sektöründeki bankalara benzetilebilir. CA’ler, bir yandan internette hizmet veren siteler için dijital sertifikalar oluşturup imzalar bir yandan da tarayıcı üreticileri ile anlaşarak kök sertifikalarını tarayıcılara ekler. Bu sayede kullanıcı ziyaret ettiği site ile arasında üçüncü kişilerce dinlenmeyen güvenli bir bağlantı olduğuna emin olur.
DV sertifika tipinde, CA sadece, sitenin adres çubuğuna girdiğiniz Domain Name’e sahip olup olmadığını doğrulamaktadır. İlgili domain size aitse gerekli prosedürleri izleyerek bu sertifikayı alabilirsiniz.
OV sertifika tipinde, CA Domain Name’e ek olarak kayıtlardan şirketin adresini, telefonunu ve sertifikayı talep eden kişinin şirketin yetkili bir çalışanı olup olmadığını doğrular. Doğrulama genellikle telefonla arama yolu ile yapılır.
Sadece yeşil kilit ikonu olan bir sitede, kullanıcı açısından pek fark etmese de, sertifika olarak DV ve OV tiplerinden hangisi olduğunu anlamak için Chrome’da Developer Tools / Security tab’da sertifika içeriğine bakılabilir.
Anlaşılacağı üzere DV ve OV tipi sertifikalar kullanıcıyı DNS spoofing ataklardan korumaktadır. HTTP kullanılan bir durum için bu atağa örnek olarak bir otelin Wi-Fi ağına bağlanma senaryosu verilebilir. Otelin Wi-Fi ağındaki DNS sunucu, tarayıcınız www.garanti.com.tr’nin adresini sorduğunda tarayıcınızı şifrenizi çalmak üzere kurulmuş ve Garanti Bankası web sitesine benzeyen bir siteye yönlendirebilir ve şifrenizi çalabilirdi.
Yukarıdaki örnekte DV ve OV tipi sertifika ile HTTPS kullanıldığında ise aşağıdaki iki ihtimalden biri gerçekleşebilir.
- Bahsedilen Phishing site Garanti Bankası sertifikası yerine size kendi sertifikasını gönderir. Tarayıcınız Domain ismini sertifikayla eşleştiremediği için aşağıdaki uyarıya benzer bir uyarı çıkararak sizi uyarır.
- Site size Garanti’nin sitesinden ulaşabildiği sertifikayı gönderir. Tarayıcı sertifikadaki Public Key ile TLS akışını başlatır fakat karşı sunucuda Garanti’nin Private Key‘i olmadığı için mesaj okunamaz dolayısıyla iletişim kesilir.
Şimdi EV(Extended Validation) sertifikaları, DV ve OV tipleri ile karşılaştıralım.
EV tipi sertifika tipinde, CA OV tipindeki doğrulamalara ek olarak ilgili şirketin kurulu olduğu ülkedeki ticari sicil kayıtları, kuruluş belgesi, faaliyet raporu vb bir yığın prosedüre tabii tutulur. Uzun süren ve maliyet olarak külfetli bu süreç sonunda CA şirket için imzaladığı sertifikada şirketin ticari kimliğini de ekleyerek siteyi ziyaret eden kişinin gerçekten de doğru siteye girdiği konusunda daha fazla güven duymasını sağlar.
Son yıllarda, kar amacı gütmeyen ve ücretsiz SSL sertifika sağlamak üzere kurulan Let’s Encrypt ile efektif bir biçimde DV tipi sertifikalar otomatik olarak imzalanabilmekte ve yine otomatik olarak yenilenebilmektedir. Let’s Encrypt sertifikası üretmek isteyen siteler, ACME protokolünün implementasyonu olan Certbot adlı istemciyi kullanmaktadır.
SSL sertifikaları tiplerinden bahsettikten sonra, SSL geçişi süreçlerinde dikkat etmemiz gereken noktalara gelelim. Özellikle SEO kanalının SSL geçişi esnasında sorun yaşamaması adına, 2parçada hazırladığımız liste şu şekilde:
HTTPS’e geçiş öncesi yapılması gerekenler:
- SSL sertifikası seçimi;
- Satın almadan önce ne tip bir sertifikaya ihtiyacınız olduğunu belirleyin: Single, multi-domain ya da wildcard.
- 2048-bit anahtar şifrelemesi yapan sertifika olmasına dikkat edin.
- Sertifikanın SHA-2 (Secure Hash Algorithm) algoritmasını kullanıyor olduğundan emin olun.
- Sertifikanızın mobil uyumlu olup olmadığını kontrol edin.
- Sertifikanın geçerlilik süresini not alın ve muhakkak takibi için hatırlatma servisi gibi uygulamalar kullanın.
- Google Arama Konsolu (Search Console) hesabınıza sitenizin HTTP ve HTTPS sürümlerinin eklenmesi.
- Eğer sub-domain kullanıyorsanız tüm sub-domainlerinizin HTTPS’li sürümlerini de eklediğinizden emin olun.
- Unamo, Semrush, Searchmetrics gibi, anahtar kelime takibi (keyword tracking) uygulamaları kullanıyorsanız, ikinci bir profil daha yaratıp sitenizin HTTPS’li versiyonunu ekleyin; yani hesabınızın HTTPS’li bir kopyasını yaratın. Bu, geçiş sonrasında durumunuzu takip edebilmeniz için faydalı olacaktır.
- Organik aramalardan en çok trafik gelen ve dönüşüm (conversion) sağlayan sayfalarınızı ve pozisyonlarını not alın.
- Gerek reklam ağları gerekse sosyal medya eklentileri olsun, üçüncü parti (3rd party) tüm kaynakların HTTPS’i desteklediğinden ve doğru bir şekilde çalıştığından emin olun. Özellikle alışveriş reklamlarını kullanıyorsanız zorunlu GTIN geçişine göz atın ve reklam metinlerinizdeki URL değişimi nedeniyle ortaya çıkacak ekstra maliyet ve iş yükünü kontrol edin.
- HTTP Strict Transport Security (HSTS) uyguladığınızdan emin olun.
- Eğer bir test ortamınız varsa, aşağıdaki geçiş sonrası yapılması gerekenler kısmındaki maddeleri test ortamında gerçekleştirin.
- Hayat bu, ne olur ne olmaz, sitenizin güncel bir yedeğini (backup) alın.
HTTPS’e geçiş sonrası yapılması gerekenler
- Tüm sitenizi Deepcrawl ya da Botify gibi crawling toolları ile taratıp varsa kırık linklerinizi düzeltin.
- Canonical, next, prev, alternate gibi metataglarınızın HTTPS üzerinden çalıştığından emin olun.
- Sisteme HTTP üzerinden gelen tüm isteklerin 301 durum kodu ile HTTPS sürümüne yönlendiğinden emin olun.
- PDF, JS, CSS, SWF, JPG gibi tüm kaynakların HTTPS üzerinden çalıştığından emin olun.
- Domaininizi www ya da non-www sürümü, hangisini kullanıyorsanız, kullanmadığınız sürümün kullandığınız sürümün HTTPS’li sürümüne 301 durum kodu ile yönlendiğinden emin olun.
- Tüm sayfalarınızın HTTPS sürümünde çalıştığından emin olun.
- Yeni bir sitemap dosyası oluşturun ve Google arama konsoluna ekleyin. Eğer dinamik olarak sitemap oluşturan bir uygulamanız varsa, HTTPS’li URL ürettiğinden emin olun.
- robots.txt dosyanızın HTTPS’li versiyona göre kurallarının düzenlendiğinden emin olun.
- Disavow aracını kullandıysanız, import ettiğiniz dosyayı HTTPS’li sürüme göre düzenleyip arama konsolunda ilgili HTTPS’li profilinizden tekrar import edin.
- Eğer arama konsolunda Uluslararası Hedefleme altındaki Ülke ayarını kullanıyorsanız, HTTPS’li profilde de bu ayarın yapıldığına emin olun.
- Mobil uygulamanız içerisinde web URL’lerini API üzerinden Google vb. yerlere gönderiyorsanız, bir sorun olmadığını test edin.
- Eğer arama konsolunda URL parametreleri yapılandırması yaptıysanız, HTTPS’li profilde de bu ayarın yapıldığından emin olun.
- Çeşitli sebeplerle üçüncü partilere URL servisi gerçekleştiren uygulamalarınız varsa, HTTPS olarak servis verdiğinden emin olun.
- E-posta, kampanya ve varsa affiliate servislerinizin SSL üzerinden çalıştığını, SSL’e geçirildiğini kontrol edin.
- CDN servisi kullanıyorsanız SSL migrationın yapılmış olduğundan emin olun.
- Ölçümleme araçlarınızın HTTPS’li sürümü monitör ettiğinden emin olun.
- SSL sertifikanızın testini mutlaka yapın: SSL Server Test
Site içinde oluşturduğunuz ve site içi statik linklerinizi kontrol edin; HTTPS olarak yeniden düzenleyin. - Ek olarak Yandex ve Bing Webmasters Tools araçlarını kullanıyorsanız, hesaplarınızı kontrol edip benzer aksiyonları bu paneller üzerinde de uygulamayı ihmal etmeyin.
- HTTP ve HTTPS sürümlerin trafiğini ve Google arama sonucundaki performanslarını monitör edin.
- Google Arama Konsolu üzerinde yer alan indekslenme, trafik ve URL hataları raporlarını inceleyin. Gerektiği noktalarda aksiyon alın.
- Son olarak Google Arama Konsolu üzerinden ana sayfanızı Google gibi Getir aracını kullanarak Google’ın sitenize erişebildiğini test edin. Ardından dizine gönderin.
Referans: Bu yazının bir kısmı SSL Sertifika Tipleri Nelerdir? isimli yazıdan derlenmiştir.