HTTPS ve TLS Nedir 
Veri Taşırken Güveni Nasıl Sağlarız
“Veri hareket hâlindeyken korunmuyorsa, aslında kimseye ait değildir.”
— Ersan Karavelioğlu
HTTPS ve TLS Nedir
HTTPS, HTTP’nin
TLS (Transport Layer Security) ile şifrelenmiş hâlidir.
HTTPS görünen yüzdür;
TLS motorudur.
Neden HTTP Yetersizdir
HTTP açık metin taşır
Dinleyen herkes okuyabilir
Veri gizliliği yoktur
TLS Ne Sağlar
Gizlilik → Veri şifrelenir
Bütünlük → Değişiklik fark edilir
Kimlik Doğrulama → Karşı taraf gerçekten kim
Üçlü koruma
HTTPS Nasıl Çalışır
İstemci sunucuya bağlanır
TLS handshake başlar
Güvenli kanal kurulur
Sonra HTTP konuşur
TLS Handshake Nedir
Anahtarların güvenli şekilde anlaşılması
Şifreleme parametreleri belirlenir
Konuşmadan önce anlaşma yapılır
Sertifika (Certificate) Nedir
Sunucunun kimlik belgesidir
Domain + public key içerir
“Ben buyum” demenin dijital yolu
Certificate Authority (CA) Nedir
Güvenilen üçüncü taraf
Sertifikayı imzalar
Güven zinciri burada başlar
Tarayıcı Neye Güvenir
Sertifikanın imzasına
CA zincirine
Yeşil kilit buradan gelir
Man-in-the-Middle (MITM) Riski
Araya giren saldırgan
Veriyi okur/değiştirir
TLS yoksa kaçınılmazdır
HTTPS MITM’i Nasıl Engeller
Şifreleme
Bütünlük kontrolü
Sertifika doğrulaması
Üçlü kilit
TLS 1.2 vs TLS 1.3
TLS 1.3 daha hızlı
Daha az saldırı yüzeyi
Eski algoritmalar atıldı
Güvenlik sadeleşti
Zayıf Şifreleme Ne Demektir
Eski cipher’lar
Kırılabilir anahtarlar
TLS var ama güven yok
HTTPS Sadece Login İçin mi
Hayır
Tüm site HTTPS olmalıdır
Cookie’ler, token’lar korunur
HTTPS ve SEO İlişkisi
Arama motorları HTTPS ister
Güven sinyali sayılır
Performans + güvenlik
HSTS ile HTTPS Zorunlu Kılmak
Tarayıcıya “hep HTTPS” denir
SSL stripping biter
Geri dönüşü yoktur, dikkat ister
HTTPS XSS veya CSRF’yi Engeller mi
Hayır
HTTPS taşıma güvenliğidir
Uygulama açıklarını kapatmaz
Sertifika Yanlış Yapılandırılırsa
Mixed content
Güven uyarıları
Kilit kırılır
En Büyük Yanılgı
“HTTPS var, güvendeyiz.”
HTTPS bir
başlangıçtır
Güvenlik katmanlıdır
Son Söz Güven, Taşınırken Kazanılır
HTTPS ve TLS,
verinin yolculuğunu güvene alır.
Veri dururken değil, hareket ederken savunmasızdır.
Güvenli sistem, veriyi yolda korur.
“Veri yoldaysa, güvenlik de yolda olmalıdır.”
— Ersan Karavelioğlu
