Neden yalnızca https sunmuyorum?
Ana nedenler tarayıcıların varsayılan davranışı ve geriye dönük uyumluluktur .
Varsayılan davranış
Bir son kullanıcı (yani, protokoller veya güvenlik bilgisi olmadan) tarayıcısına web sitesi adresini yazdığında, tarayıcı varsayılan olarak HTTP kullanır. Tarayıcıların neden bu davranışı seçtiğiyle ilgili daha fazla bilgi için bu soruya bakın.
Bu nedenle, kullanıcılar büyük olasılıkla web sitenize erişemeyecektir.
Geriye dönük uyumluluk
Eski sistemlere ve eski tarayıcılara sahip bazı kullanıcıların HTTPS'yi desteklememesi veya büyük olasılıkla güncel bir kök sertifikaları veritabanına sahip olmaması mümkündür veya bazı protokolleri desteklemez.
Bu durumda, ya web sitesine erişemezler ya da bir güvenlik uyarısı alırlar. Son kullanıcılarınızın güvenliğinin HTTPS'yi zorlayacak kadar önemli olup olmadığını belirlemeniz gerekir.
Birçok web sitesi hâlâ HTTP'yi dinler ancak otomatik olarak HTTPS'ye yeniden yönlendirir ve gerçekten eski kullanıcıları yok sayar tarayıcılar.
HSTS'yi kurmazsam birisi http://www.example.com sahtesini yapabilir mi?
Bir saldırgan http://www.example.com
'u taklit etmek isterse, etki alanının kontrolünü ele geçirmesi veya bir şekilde IP adresinin kontrolünü ele geçirmesi gerekir.
Şunu kastettiğinizi varsayıyorum: Bir saldırgan ortadaki adam saldırısı yapabilir mi?
Bu durumda evet, ancak HSTS ile veya HSTS olmadan bile:
-
HSTS olmadan : Bir saldırgan kolaylıkla sunucunuzun ve kullanıcının ortasında olabilir ve aktif (yani içeriği değiştirebilir) veya pasif (ör. kulak misafiri olabilir) olabilir
-
HSTS ile : Bir kullanıcı HTTP kullanarak siteyi ilk kez ziyaret etmeyi denediğinde, bir saldırgan kullanıcıyı HTTP kullanmaya zorlayabilir. Ancak saldırganın saldırısını gerçekleştirebileceği zaman sınırlı bir zaman aralığı vardır.
Ne yapmalısınız?
Pek çok web sitesi gibi, HTTP bağlantılarına izin vermeli ve sunucunuzun kullanıcıyı HTTPS sürümüne yönlendirmesini sağlamalısınız. Bu şekilde, tarayıcıların varsayılan davranışını geçersiz kılarsınız ve kullanıcılarınızın HTTPS sürümünü kullanmasını sağlarsınız.
Uygun protokoller veya kök sertifikaları olmayan eski sistemler siteye erişemez (veya en azından bir uyarı alırsınız) ), ancak kullanıcı tabanınıza bağlı olarak bu bir sorun olmamalıdır.
Sonuç
HTTP'yi devre dışı bırakmak yarardan çok zarar verir. Gerçekte daha fazla güvenlik sağlamaz.
Bir kaynağı korumak için eklenen herhangi bir güvenlik, kullanıcılarının çoğunun ona erişmesini engelliyorsa işe yaramaz. Son kullanıcılarınız, tarayıcıları varsayılan olarak HTTP'ye ayarlı olduğu için web sitenize erişemiyorsa ve siz de HTTP bağlantılarını dinlemiyorsanız, bunun faydası nedir?
HTTPS sürümüne HTTP 301 yönlendirmesini gerçekleştirmeniz yeterlidir.
İlgili sorular