Sitenizde HTTPS kullanmanız tek başına yeterli değildir: ziyaretçinin ilk isteği hâlâ şifresiz HTTP üzerinden gidebilir ve araya giren bir saldırgan bu kısa anı “SSL stripping” tekniğiyle kötüye kullanabilir. HSTS tam da bu açığı kapatır.
HSTS Nedir?
HSTS (HTTP Strict Transport Security), sunucunun tarayıcıya “bu siteye yalnızca HTTPS ile bağlan” talimatı veren bir yanıt başlığıdır: Strict-Transport-Security: max-age=31536000; includeSubDomains. Tarayıcı bu başlığı bir kez gördükten sonra, belirtilen süre (max-age) boyunca adres çubuğuna http:// yazılsa bile isteği otomatik olarak HTTPS’e çevirir.
Hangi Saldırıları Engeller?
- SSL stripping: Ortadaki adam (MITM) saldırısında bağlantıyı şifresiz HTTP’ye düşürme girişimi engellenir.
- Protokol downgrade: Zorunlu HTTPS sayesinde tarayıcı şifresiz bağlantıyı hiç kabul etmez.
- Oturum çerezi çalma: Çerezler yalnızca şifreli kanaldan taşınır.
HSTS Nasıl Etkinleştirilir?
Web sunucunuza başlığı ekleyin. Nginx için: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; Tarayıcı ön-yükleme listesine (preload) girmek için preload direktifini ekleyip hstspreload.org üzerinden kaydolabilirsiniz. Önemli ön koşul: HSTS yalnızca geçerli bir SSL sertifikanız varken anlamlıdır; aksi halde site tamamen erişilemez hale gelebilir.
Durumunuzu Kontrol Edin
Güvenlik Başlıkları aracımız ile sitenizde HSTS’in aktif olup olmadığını, max-age ve includeSubDomains değerlerini anında görebilirsiniz. Sertifikanızın geçerliliğini ise SSL Sorgulama aracıyla doğrulayın. Yeni veya yenileme bir sertifikaya ihtiyacınız varsa İHS Telekom SSL sertifikalarını inceleyebilirsiniz.