30 Kasım 2018

Asma kilit ne kadar korur?

İsmail Gökhan Bayram

bilisim@evrensel.net igbayram

DİĞER YAZILARI

Google’ın yapay zeka destekli kaçışı 8 Mart 2025

GPT-4.5: Maksimum fiyat, minimum ilerleme 1 Mart 2025

Yapay zekada fiyat savaşları 8 Şubat 2025

Stargate, OpenAI’ı kurtarabilir mi? 25 Ocak 2025

Yapay Zekanın arkasındaki görünmez maliyet 4 Ocak 2025

Geniş dil modellerinde yeni rakip: DeepSeek V3 28 Aralık 2024

Çocukları çevrimiçi tehlikelerden kim koruyacak? 14 Aralık 2024

Sosyal medyaya yaş sınırlaması çocukları koruyabilir mi? 30 Kasım 2024

Medyanın arama tekeli ile imtihanı 23 Kasım 2024

Teknoloji patronları ABD seçiminin galiplerinden 9 Kasım 2024

YAZI ARŞİVİ

Web sayfalarını açtığımızda tarayıcımızın adres satırında görülen asma kilit işareti yani HTTPS kullanımı çoğu kullanıcı açısından sitenin güvenli sayılması için yeterli bulunuyor. PhishLabs'ın 2017'de yaptığı bir ankete göre asma kilitli web sitelerinin güvenli olduğunu düşünen kullanıcıların oranı yüzde 80'lerde. HTTPS, güvenlik yeterliliği açısından hiçbir zaman tek parametre değildi ancak sertifikaların pek de küçük olmayan ücretlerle satıldığı dönemde sitenin güvenilirliğini kanıtlamak açısından az-çok bir karşılığı vardı. Ancak gerek tarayıcıların baskısıyla HTTPS kullanımının artması gerekse de Let's Encrypt gibi ücretsiz sertifika sağlayıcıları bu durumu kökünden değiştirdi.

PhishLabs'ın 2018'in 3. çeyreği verilerine göre kullanıcıları başka bir site olduklarına ikna ederek hesap vb. bilgilerini çalan oltalama (phishing) sitelerinin yüzde 49'u HTTPS kullanıyor ve eğer başka bir filtreye takılmazlarsa bu nedenle tarayıcılarda "güvenli" olarak işaretleniyor. Bu oran 2017'de yüzde 20'lerdeydi. Oltalama sitelerinde HTTPS kullanımı bu kadar büyük bir hızla artarken sıradan sitelerde tablo pek hoş değil. Alexa sıralamasına göre en popüler ilk 500 sitenin yüzde 20'si hâlâ tümüyle HTTPS kullanmıyor. İlk 1 milyon sitede ise oranlar oltalama siteleri ile aşağı yukarı aynı. Ülkemizde de tablo pek farklı değil Hürriyet, Milliyet ve Cumhuriyet gibi gazete web sitelerinden tutun da MEB ve SGK gibi kurumlara dek pek çok web sitesi HTTPS kullanmıyor.

Bu verilere bakarak HTTPS'nin güvenlik açısından bir anlamı kalmadığını düşünebilirsiniz. Ancak HTTPS ve sertifikaların tek fonksiyonu karşıdaki sitenin gerçekten adı yazan site olduğunu kanıtlamak değil. HTTPS karşıdaki site ile iletişiminizi şifreleyerek üçüncü şahısların bu iletişimi görmesini ya da değiştirmesini de engelliyor. Hem şirketlerin hem de devletlerin dijital gözetimden medet umduğu bir dönemde HTTPS bu tipteki gözetimden de büyük ölçekte korunmak anlamına geliyor.

HTTPS'nin ve sertifikaların ne olup ne olmadığının farkına varmak önemli. HTTPS sizi twitter.com yerine tvvitter.com a girmekten korumaz. Hatta sizi tvvitter.com'un gerçekten tvvitter.com olduğuna ikna eder. Ancak tvvitter.com ya da bir başka site ile aranızdaki iletişime üçüncü şahısların bulaşmasının büyük ölçekte önüne geçer.