SSL Sertifikası HSTS Preload List Süreci

HSTS (HTTP Strict Transport Security), web sitelerinin HTTPS protokolünü zorunlu kılan bir güvenlik mekanizmasıdır. SSL sertifikası kullanan siteler için HSTS, tarayıcıların HTTP isteklerini otomatik olarak HTTPS’e yönlendirmesini sağlar ve man-in-the-middle saldırılarını önler. Preload listesi ise, Google Chrome, Firefox ve Safari gibi büyük tarayıcıların yerleşik olarak kullandığı bir listedir. Bu listeye giren siteler, kullanıcılar siteyi ilk kez ziyaret etmeden bile HSTS kurallarını uygular. Bu süreç, SSL sertifikanızın tam potansiyelini ortaya çıkarır ve sitenizin güvenliğini maksimize eder. Bu makalede, HSTS preload listesine kaydolma sürecini adım adım ele alacağız, böylece kurumsal web yöneticileri pratik bir rehber elde edebilecek.

HSTS ve Preload Listesinin Temel Kavramları

HSTS, sunucu tarafından gönderilen bir HTTP başlığı ile çalışır. Bu başlık, tarayıcıya belirli bir süre boyunca (max-age değeri ile belirlenen) siteye yalnızca HTTPS üzerinden erişilmesini emreder. Preload listesi, bu başlığı daha da güçlendirir; çünkü tarayıcılar listeyi derleme zamanında hardcode eder. SSL sertifikası olmadan bu süreç işlevsiz kalır, zira HTTPS zorunluluğu için geçerli bir sertifika şarttır. Preload listesine kabul edilmek, sitenizin trafiğinin tamamını şifrelemeyi garanti altına alır ve SEO açısından da olumlu etki yaratır, zira Google güvenli siteleri tercih eder.

Preload direktifi, HSTS başlığına eklenerek etkinleştirilir. Bu, site sahiplerinin gönüllü olarak katıldığı bir programdır. Listeye giren siteler, kaldırma talebinde bulunana kadar kalıcı olarak korunur. Uygulama öncesi, sitenizin tüm trafiğinin HTTPS’e hazır olması kritik öneme sahiptir. Örneğin, bir e-ticaret sitesinde checkout sayfaları dahil her URL’nin sertifika ile erişilebilir olması gerekir. Bu kavramları anlamak, preload sürecinin temelini oluşturur ve hatalı uygulamaları önler.

• HSTS başlığı örneği: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
• Max-age değeri en az 1 yıl (31536000 saniye) olmalıdır.
• IncludeSubDomains, alt alan adlarını kapsar.

Preload Listesine Hazırlık Aşamaları

Sitenizi HSTS Uyumlu Hale Getirme

İlk adım, sunucunuzda HSTS başlığını doğru şekilde yapılandırmaktır. Apache için .htaccess dosyasına veya Nginx için server bloğuna ekleyin. SSL sertifikanızın wildcard mı yoksa multi-domain mi olduğuna göre includeSubDomains direktifini kullanın. Tüm sayfaları test edin; HTTP’den HTTPS’e redirect’ler kusursuz çalışmalı. Araçlar gibi online HSTS checker’lar ile doğrulayın. Bu aşamada, max-age değerini 31536000 saniye yapın ve preload direktifini ekleyin. Hazırlık en az 30 gün sürdürülmeli, zira tarayıcılar bu süreyi gözlemler.

Alt domainlerin tamamı HTTPS desteklemelidir. Örneğin, www.example.com, api.example.com ve mail.example.com gibi. Her birinde aynı HSTS başlığını uygulayın. Sertifika zincirinin tam olması şarttır; yoksa tarayıcılar uyarı verir. Bu hazırlık, preload başvurusunun onaylanmasını sağlar ve sitenizin preload-ready.json dosyasını üretmesine zemin hazırlar.

Preload-Ready JSON Dosyası Oluşturma

Site hazırlandıktan sonra, kök dizine preload-ready.json dosyası yerleştirin. Bu dosya, {"host":"example.com"} formatında olmalı. İçeriği dinamik üretmeyin; statik tutun. Dosyayı herkese açık hale getirin ve tarayıcıda erişilebilirliğini doğrulayın. Bu dosya, preload ekibinin sitenizin hazır olup olmadığını kontrol etmesini sağlar. Örnek bir yapı: Alan adınızı tam FQDN (Fully Qualified Domain Name) ile belirtin, nokta ile bitirmeyin. Bu adım, başvuru sürecinin bel kemiğidir ve hatalı JSON reddedilir.

Başvuru ve Doğrulama Süreci

Başvuru Gönderme Adımları

HSTS preload sitesine (hstspreload.org) gidin ve formu doldurun. Alan adınızı girin, preload-ready.json’un erişilebilir olduğunu onaylayın. Gönderim sonrası, onay bekleyin; bu几天 ila aylar sürebilir. Başvuru kabul edilirse, tarayıcı sürümlerinde preload edilir. Red durumunda, hataları düzeltip yeniden başvurun. Kurumsal siteler için, bu süreci IT ekibinizle koordine edin ve değişiklik loglarını tutun.

Kaldırma ve Bakım İşlemleri

Preload listesinden çıkmak isterseniz, kaldırma formunu kullanın. Max-age’i 0’a düşürün ve yeni bir preload-ready.json oluşturmayın. Tarayıcılar listeyi güncelleyene kadar (yaklaşık 3-6 ay) HSTS devam eder. Bakım için, sertifika yenileme dönemlerinde HSTS’i gözden geçirin. Bu süreç, sitenizin uzun vadeli güvenliğini sağlar.

HSTS preload listesi süreci, SSL sertifikanızın gücünü katlar ve kullanıcı verilerini korur. Kurumsal web yöneticileri için bu adımları takip etmek, uyumluluk standartlarını yükseltir. Uygulamaya hemen başlayın, sitenizi test edin ve güvenlik katmanınızı güçlendirin. Bu yatırım, hem kullanıcı güvenini artırır hem de olası cezaları önler.