Kategoriler
SEO

SSL siteler için HSTS

Web siteniz için SSL(HTTPS) etkinleştirmiş olabilirsiniz ancak bu yeterli mi? Google’a göre bu noktada yapmanız gereken bir şey daha var o da HSTS aktif etmek.

Web siteniz için SSL(HTTPS) etkinleştirmiş olması Google SEO için elbette önemli bir faktör, buna ek olarak HSTS aktif etmeyi de düşünebilirsiniz.

Bugün Google Webmasters Youtube kanalında canlı olarak konuşan John Mueller HTTPS konusunda açıklamalar yaptı, HSTS konusuna değindi ve Google’ın bu konuya da baktığını ve değerlendirme yaptığını açıkladı.

HSTS nedir?

Hypertext Strict Transport Security header ile yollanan bir web güvenliği standartıyken, bu sayede tarayıcıların belli bir siteyi ziyaret ederken güvenli HTTPS bağlantısı kurmasını sağlar. Böylece cookie çalınma girişimleri ve downgrade saldırıları da önlenir. Bu Strict-Transport-Security parametresiyle sağlanırken, tüm bağlantıların güvenli gerçekleşmesine dikkat eder, güvensiz HTTPS konusundaki olası ihmalleri önler. Header içinde bu parametrenin uygulanacağı bir zaman aralığı belirlenir.

HSTS uygulamadan önce:

HSTS ekleyip uygun bir header ayarlamadan önce dikkat etmeniz gereken birkaç püf nokta var;

  1. Web sitenizde hâli hazırda bir SSL sertifikası bulunmalı.
  2. Eğer alt domainleriniz varsa bunları korumak için wildcard kullanmalısınız.
  3. 301 yönlendirmeleri kullanarak tüm HTTP sayfalarınızı HTTPS olanlara yönlendirmelisiniz.
  4. Google’a göre en iyi uygulama maksimum iki yıllık olmalı.
  5. SubDomain ve preload headerları da eklenmelidir.

Sitenizi aşağıdaki URL’lerden sorgulayabilirsiniz:

https://hstspreload.org/

https://www.ssllabs.com/ssltest/analyze.html

HSTS uygulamanın en kolay yolu .htaccess dosyasına aşağıdaki kodu eklemektir ancak bazı hosting firmaları söylemeniz durumunda kendileri bunu yapmakta.

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

HSTS hakkında daha detaylı bilgiye Wikipedia -HTTP Katı Taşıma Güvenliği- maddesinden ulaşabilirsiniz ayrıca https://www.chromium.org/hsts