HSTS Nedir?
HTTP Strict Transport Security (HSTS), web sitelerinin güvenliğini artırmak için kullanılan bir güvenlik mekanizmasıdır. HSTS, tarayıcılara yalnızca HTTPS üzerinden iletişim kurmaları gerektiğini bildiren bir başlık (header) aracılığıyla çalışır. Bu sayede, kullanıcılar bir sitenin güvenli olup olmadığını kontrol etmek için yalnızca HTTPS bağlantıları üzerinden erişim sağlamış olurlar. HSTS, “man-in-the-middle” saldırılarına karşı koruma sağlar.
HSTS Başlığının Yapısı
HSTS başlığı, sunucu tarafından tarayıcılara iletilen özel bir HTTP başlığıdır. Temel olarak şu şekilde yapılandırılır:
“`
Strict-Transport-Security: max-age=expire-time; includeSubDomains; preload
“`
– `max-age`: HSTS başlığının geçerlilik süresini belirler. Süre, saniye cinsindendir. Örneğin, `max-age=31536000` ifadesi, başlığın 1 yıl boyunca geçerli olduğunu belirtir.
– `includeSubDomains`: Bu opsiyon, HSTS’nin yalnızca ana alan adında değil, tüm alt alan adlarında da geçerli olmasını sağlar.
– `preload`: Bu opsiyon, siteyi HSTS ön yükleme listesine eklemek için kullanılır. Bu liste, tarayıcıların başlatılmasının ardından belirli güvenli sitelere otomatik olarak HTTPS üzerinden erişmesini sağlar.
Nginx Konfigürasyon Dosyası
Nginx üzerinde HSTS’yi etkinleştirmek için öncelikle Nginx konfigürasyon dosyası düzenlenmelidir. Genellikle bu dosya `/etc/nginx/nginx.conf` veya belirli bir sitenin yapılandırmasını içeren dosyalarda yer alır.
HTTPS Ayarlarının Yapılandırılması
HSTS’yi etkinleştirmek için öncelikle Nginx sunucusunun HTTPS desteğine sahip olması gerekir. Gerekli SSL sertifikalarının ve anahtarlarının doğru bir şekilde yüklenmiş olduğundan emin olunmalıdır. Aşağıdaki örnek konfigürasyon bloğu, HTTPS ayarlarını da içermektedir:
“`
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/your/certificate.crt;
ssl_certificate_key /path/to/your/private.key;
HSTS başlığını eklemek için aşağıdaki satırı ekleyin
add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always;
location / {
Diğer ayarlar
}
}
“`
HSTS’nin Etkinleştirilmesi
Yukarıdaki `add_header` satırı, HSTS başlığının etkinleşmesini sağlar. `always` ifadesi, başlığın her türlü yanıt için sunulmasını garanti eder. Bu, sayfanın her yüklendiğinde HSTS başlığının tarayıcıya iletilmesini ifade eder.
HSTS’yi Test Etmek
HSTS’nin doğru bir şekilde etkinleştirildiğini doğrulamak için bazı testler gerçekleştirilebilir. Bir web tarayıcısı veya komut satırı aracı kullanarak aşağıdaki adımlar izlenebilir:
1. Tarayıcı Kullanarak Test Etme: Tarayıcıda, HTTPS bağlantısı kurarak “Geliştirici Araçları” (Developer Tools) bölümünde “Ağ” (Network) sekmesine gidilir. İlgili alanın seçilmesi ve HSTS başlığının varlığının kontrol edilmesi gerekir.
2. cURL Kullanarak Test Etme: Aşağıdaki komut kullanılarak HSTS başlığı sorgulanabilir:
“`
curl -I https://example.com
“`
Çıktıda `Strict-Transport-Security` başlığının görünmesi gerekir.
HSTS Ön Yükleme Listesine Ekleme
HSTS ön yükleme listesinin parçası olunmak istenirse, web sitesinin belirli kriterleri karşılaması gerekmektedir. Ek olarak, HSTS başlığında `preload` ifadesinin yer alması gerekmektedir. Web yöneticileri, [HSTS Preload Listesi](https://hstspreload.org/) sayfasından gerekli bilgileri elde edebilir ve siteyi bu listeye eklemek için başvuruda bulunabilir.
HSTS’nin Faydaları
HSTS’nin sağladığı temel faydalar şunlardır:
1. Güvenli İletişim: Kullanıcı ile sunucu arasındaki veri iletimini güvenli hale getirir.
2. Kötü Niyetli Saldırılara Karşı Koruma: Man-in-the-middle saldırılarına karşı önemli bir koruma sağlar.
3. Kullanıcı Güveni: Kullanıcıların web sitelerine daha fazla güven duymasını sağlar. HSTS’ye sahip siteler genellikle daha güvenli algılanır.
Dikkat Edilmesi Gereken Noktalar
– HSTS başlığı uygulandıktan sonra, geri dönüşü yoktur. Başlık süresinin dolması beklenmelidir.
– HSTS’nin yanlış yapılandırılması, kullanıcıların yalnızca HTTPS üzerinden erişim sağlamak zorunda kalmasına neden olabilir. Bu, bazı durumlarda erişim sorunlarına yol açabilir.
– HSTS yapısı ve süreleri doğru bir şekilde belirlenmelidir. Önerilen süre genellikle en az 6 ay ile 1 yıl arasında olmalıdır.
Sonuç
Nginx üzerinde HSTS’yi etkinleştirmek, web sitelerinin güvenliğini artırmak için önemli bir adımdır. Doğru bir konfigürasyon ile HSTS’nin avantajlarından yararlanmak mümkün olur. HSTS implementasyonu ile birlikte, alan adının HTTPS üzerinden erişilebilir olduğundan emin olmak, hem kullanıcı deneyimini hem de güvenliği artırır. Bu nedenle, her web yöneticisinin HSTS’yi dikkate alması gereken bir özellik olduğu sonucuna ulaşılmaktadır.
