Bu makalemizde HTTPS’nin ne anlama geldiğini ve güvenlikte ne gibi bir rol oynadığı konusunu işleyeceğiz.
Bildiğiniz üzere internet sitelerine, adres çubuğunda gördüğünüz HTTP (http://) protokolü ile bağlanıyoruz. Bazı internet sitelerinde ise bu protokolün HTTPS (https://) ile değiştiğini ve adres çubuğunun yeşil renge döndüğünü mutlaka görmüşsünüzdür. HTTP sonuna S eklenerek HTTPS olması HTTP Secure yani güvenli anlamına gelir. Ancak bu güvenli yazısı internet sitesinin güvenli olduğu anlamına gelmez. Bu yazı internet sitesi ile cihazınız arasındaki bağlantının güvenli olduğu anlamına gelir. Yani sizin siteye gönderdiğiniz her türlü veri, siteye şifrelenerek ulaşır.
Eğer yazılı anlatım kafa karıştırıcı geldiyse yukarıdaki şema ile durumu çok daha rahat anlayabilirsiniz. İnternet sitesine yazdığınız “123456” şifresi SSL sayesinde şifrelenerek internet sitesine “Qp7p6kc” (temsili) olarak ulaşır. İnternet sitesi, elinde bunu çözecek anahtar olduğundan bu verinin “123456” olduğunu anlar ve işleme “123456” şifresi ile devam eder. Bağlantıya sızmaya çalışan bir hacker olursa gerçek şifreyi değil de “Qp7p6kc” verisini elde eder. Elde ettiği veri 40-2048 bit arasında şifrelendiği için bu veriyi çözüp bunun “123456” olduğunu anlaması da oldukça zor olacaktır.
HTTPS Sitenin Güvenli Olduğunu Göstermez!
İşte dikkat etmeniz gereken kısım da tam burası. Toplumda HTTPS kullanan sitelerin tamamen güvenli olduğuna yönelik bir algı mevcut. Büyük firmaların destekleriyle yapılan sunumlarda bile insanlara “Girdiğiniz sitenin gerçek olup olmadığını veya dolandırıcı olup olmadığını adres çubuğunda HTTPS olup olmadığına bakarak anlayabilirsiniz.” gibi hatalı bilgiler veriliyor.
Sitenin SSL ile şifrelenmesi ve HTTPS protokolünü kullanması sadece site ile bağlantınızda araya üçüncü bir kişinin sızamamasını sağlar. Ancak HTTPS kullanan bir sitenin sizi kandırabilmesini ve dolandırabilmesini sağlayacak pek çok durum mevcut. Bu durumların bazıları:
- Site tamamen dolandırıcılık amacıyla açılmış bir E-Ticaret sitesiyse ve siz HTTPS kullanıyor diye siteye güvenirseniz kredi kartı gibi önemli bilgilerinizi kaydedebilir ve çalabilir. Aradaki bağlantı şifreli olsa da neticede siteye şifresiz veriler gidecektir.
- Eğer siz sitenin tam adına değil de sadece adres çubuğundaki HTTPS protokolüne dikkat ederseniz faceb00k (çift sıfır) gibi bir site açan dolandırıcı, 40TL gibi bir fiyata SSL sertifikası satın alabilir ve sitesini HTTPS protokolüyle erişilebilir hale getirebilir. Sonrasında da sizin Facebook’a girdiğinizi sandığınız bilgilerinizi ele geçirebilir.
HTTPS Gereksiz Midir?
Bu yazdıklarımızdan kesinlikle böyle bir anlam çıkarılmasın. HTTPS özellikle kullanıcıların bilgilerini girdiği internet sitelerinde gereklidir ve standart haline gelmesi gereken bir protokoldür. Yalnızca HTTPS’nin işlevini tam olarak bilmeyenlerin HTTPS kullanan sitelere girdiğinde kendilerini tamamen güvende hissetmeleri yanlış bir algıdır.
