{"id":4636,"date":"2018-01-22T09:57:53","date_gmt":"2018-01-22T06:57:53","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=4636"},"modified":"2019-11-15T14:44:26","modified_gmt":"2019-11-15T11:44:26","slug":"https-does-not-mean-safe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/https-does-not-mean-safe\/4636\/","title":{"rendered":"“HTTPS” g\u00fcvenli demek de\u011fildir"},"content":{"rendered":"

D\u00fcr\u00fcst olal\u0131m; \u00e7o\u011fu insan bir URL\u2019nin sol taraf\u0131nda \u201cG\u00fcvenli\u201d kelimesi ile birlikte ye\u015fil bir kilit g\u00f6rd\u00fc\u011f\u00fcnde, sitenin g\u00fcvenli oldu\u011funu d\u00fc\u015f\u00fcn\u00fcr. \u201cBu site g\u00fcvenli bir ba\u011flant\u0131 kullan\u0131yor\u201d c\u00fcmlesini veya \u201chttps\u201d harfleri ile ba\u015flayan bir URL\u2019yi g\u00f6rd\u00fcklerinde de ayn\u0131 durum ge\u00e7erlidir. G\u00fcn\u00fcm\u00fczde giderek daha fazla site HTTPS\u2019ye ge\u00e7iyor. Asl\u0131nda \u00e7o\u011funun ba\u015fka se\u00e7enekleri yok. \u00d6yleyse sorun ne? Ne kadar \u00e7ok g\u00fcvenli site bulunursa o kadar iyidir, de\u011fil mi?<\/p>\n

\u015eimdi size k\u00fc\u00e7\u00fck bir s\u0131r verece\u011fiz: \u201cG\u00fcvenli\u201d sembol\u00fc, web sitesinin t\u00fcm tehditlerden uzak oldu\u011funu garanti etmez. \u00d6rne\u011fin kimlik h\u0131rs\u0131zl\u0131\u011f\u0131 yapan bir site, https adresinin yan\u0131nda me\u015fru olarak o i\u00e7 rahatlat\u0131c\u0131 ye\u015fil kilidi ekleyebilir. Peki bu nas\u0131l oluyor? Hadi \u00f6\u011frenelim.<\/p>\n

G\u00fcvenli ba\u011flant\u0131, g\u00fcvenli site anlam\u0131na gelmez<\/h2>\n

Ye\u015fil kilit, siteye bir sertifika verildi\u011fi ve bunun i\u00e7in bir \u00e7ift \u015fifreleme anahtar\u0131 olu\u015fturuldu\u011fu anlam\u0131na gelir. Bu t\u00fcr siteler siz ve site aras\u0131nda iletilen bilgileri \u015fifreler. Bu durumda, sayfa URL\u2019leri HTTPS ile ba\u015flar ve sondaki \u201cS\u201d harfi \u201cG\u00fcvenli\u201d ifadesini temsil eder.<\/p>\n

Tabii ki iletilen verileri \u015fifrelemek iyi bir \u015feydir. Bu, taray\u0131c\u0131n\u0131z ile site aras\u0131nda al\u0131n\u0131p verilen bilgilerin \u00fc\u00e7\u00fcnc\u00fc ki\u015filer (ISP\u2019ler, a\u011f y\u00f6neticileri, davetsiz misafirler vb.) taraf\u0131ndan eri\u015filebilir olmad\u0131\u011f\u0131 anlam\u0131na gelir. Merakl\u0131 g\u00f6zler konusunda kayg\u0131lanmadan \u015fifreleri veya kredi kart\u0131 bilgilerini girmenizi sa\u011flar.<\/p>\n

Ancak sorun, ye\u015fil kilidin ve verilen sertifikan\u0131n sitenin kendisi hakk\u0131nda hi\u00e7bir \u015fey ifade etmemesidir. Kimlik h\u0131rs\u0131zl\u0131\u011f\u0131 yapan bir sayfa, kolayca sertifika alabilir ve sizinle kendisi aras\u0131ndaki t\u00fcm trafi\u011fi \u015fifreleyebilir.<\/p>\n

Basit\u00e7e s\u00f6ylemek gerekirse, ye\u015fil kilitin garantiledi\u011fi tek \u015fey, girdi\u011finiz veriyi ba\u015fka kimsenin g\u00f6zetleyememesidir. Ancak \u015fifreniz yine de site taraf\u0131ndan (e\u011fer sahteyse) \u00e7al\u0131nabilir.<\/p>\n

Kimlik h\u0131rs\u0131zlar\u0131 bu y\u00f6ntemi aktif olarak kullan\u0131yor: Phishlabs<\/a>\u2018a g\u00f6re, g\u00fcn\u00fcm\u00fczde ya\u015fanan kimlik h\u0131rs\u0131zl\u0131\u011f\u0131 sald\u0131r\u0131lar\u0131n\u0131n d\u00f6rtte biri HTTPS sitelerinde ger\u00e7ekle\u015fiyor (bu oran, iki y\u0131l \u00f6nce y\u00fczde 1\u2019in alt\u0131ndayd\u0131). Dahas\u0131, kullan\u0131c\u0131lar\u0131n y\u00fczde 80\u2019inden fazlas\u0131<\/a>, yaln\u0131zca k\u00fc\u00e7\u00fck bir ye\u015fil kilidin ve URL\u2019nin yan\u0131ndaki \u201cG\u00fcvenli\u201d s\u00f6zc\u00fc\u011f\u00fcn\u00fcn varl\u0131\u011f\u0131n\u0131n, sitenin g\u00fcvenli oldu\u011fu anlam\u0131na geldi\u011fine inan\u0131yor ve verilerini bu sitelere girmeden \u00f6nce pek fazla d\u00fc\u015f\u00fcnm\u00fcyor.<\/p>\n

Peki kilit ye\u015fil de\u011filse?<\/h2>\n

Adres \u00e7ubu\u011funda hi\u00e7bir kilit g\u00f6r\u00fcnm\u00fcyorsa, bu web sitesinin \u015fifreleme kullanmad\u0131\u011f\u0131, standart HTTP kullanarak taray\u0131c\u0131n\u0131zla bilgi al\u0131\u015fveri\u015finde bulundu\u011fu anlam\u0131na gelir. Google Chrome, bu t\u00fcr web sitelerini \u201cg\u00fcvensiz\u201d olarak etiketlemeye ba\u015flad\u0131. Asl\u0131nda zarars\u0131z olabilirler, ancak siz ve sunucu aras\u0131ndaki trafi\u011fi \u015fifrelemezler. Web sitesi sahiplerinin \u00e7o\u011fu, Google\u2019\u0131n web sitelerini g\u00fcvensiz olarak etiketlemesini istemiyor; bu nedenle giderek daha fazla site HTTPS\u2019ye ge\u00e7iyor. Hassas verileri HTTP sitesine girmek her zaman k\u00f6t\u00fc bir fikirdir; \u00e7\u00fcnk\u00fc isteyen herkes bunlar\u0131 gizlice g\u00f6r\u00fcnt\u00fcleyebilir.<\/p>\n

G\u00f6rebilece\u011finiz ikinci bir i\u015faret ise, k\u0131rm\u0131z\u0131 \u00e7izgiyle \u00e7apraz \u00e7izilmi\u015f bir kilit simgesi ve k\u0131rm\u0131z\u0131 olarak i\u015faretlenmi\u015f HTTPS harfleridir. Bu i\u015faret, web sitesinin sertifikas\u0131n\u0131n bulundu\u011funu, ancak sertifikan\u0131n do\u011frulanmad\u0131\u011f\u0131n\u0131 veya zaman a\u015f\u0131m\u0131na u\u011frad\u0131\u011f\u0131n\u0131 g\u00f6sterir. Di\u011fer bir deyi\u015fle, sizinle sunucu aras\u0131ndaki ba\u011flant\u0131 \u015fifrelidir, ancak hi\u00e7 kimse bu alan\u0131n ger\u00e7ekten sitede belirtilen \u015firkete ait oldu\u011funu garanti edemez. En \u015f\u00fcpheli senaryo budur; bu t\u00fcr sertifikalar genelde yaln\u0131zca test ama\u00e7l\u0131 kullan\u0131l\u0131r.<\/p>\n

Alternatif olarak, sertifika zaman a\u015f\u0131m\u0131na u\u011fram\u0131\u015f ve site sahibi bunu hen\u00fcz yenileyememi\u015fse, taray\u0131c\u0131lar sayfay\u0131 g\u00fcvensiz olarak i\u015faretleyecek, ancak daha g\u00f6r\u00fcn\u00fcr olarak, k\u0131rm\u0131z\u0131 kilitli bir uyar\u0131 g\u00f6r\u00fcnt\u00fcleyecektir. Her iki durumda da, k\u0131rm\u0131z\u0131 uyar\u0131y\u0131 oldu\u011fu gibi kabul edin ve bu siteleri kullanmaktan ka\u00e7\u0131n\u0131n; hele ki\u015fisel verilerinizi bu sitelere asla girmeyin.<\/p>\n

Tuza\u011fa d\u00fc\u015fmemek i\u00e7in<\/h2>\n

\u00d6zetle, bir sitede sertifika ve ye\u015fil kilit bulunmas\u0131, yaln\u0131zca sizinle site aras\u0131nda iletilen verilerin \u015fifrelendi\u011fi ve sertifikan\u0131n g\u00fcvenilir bir sertifika yetkilisi taraf\u0131ndan verildi\u011fi anlam\u0131na gelir. Fakat bu, hi\u00e7bir HTTPS sitesinin k\u00f6t\u00fc ama\u00e7l\u0131 olmayaca\u011f\u0131 anlam\u0131na gelmez; bu da kimlik h\u0131rs\u0131zl\u0131\u011f\u0131 doland\u0131r\u0131c\u0131lar\u0131 taraf\u0131ndan \u00e7ok ustaca manip\u00fcle edilen bir ger\u00e7ektir.<\/p>\n

Bu nedenle bir site ilk bak\u0131\u015fta ne kadar g\u00fcvenli g\u00f6r\u00fcn\u00fcrse g\u00f6r\u00fcns\u00fcn, her zaman tetikte olun.<\/p>\n