Malicious Apps In Play Store

Google, HSTS ile 45 (TLD) Uzantı için HTTPS Bağlantısını Zorunlu Hale Getirdi.

Google'ın sahip olduğu 45 TLD, otomatik olarak HTTP  Strict Transport Security'i (HSTS) destekleyecektir.

 

Google sahip olduğu 45 alan adı uzantısı için (TLD) güvenli bağlantı (https://) kurmasını zorunlu hale getirerek evrensel şifremeleme yönündeki baskısını sürdürüyor.

TLD Nedir? : Bir URL'nin son kısmıdır (.com .org vb.)

 

Google sahip olduğu 45 domain uzantısının tamamında zorunlu hale getirmek için için HSTS veya HTTP Strict Transport Security kullanacağını açıkladı.

 

Google GMail'i HTTPS'ye geçirdiği 2010 yılından bu yana evrensel şifreleme ve HTTPS Everywhere için baskılarını arttırıyor. Geçen yılda ise SSL'i zorunlu hale getirmek ve şifreletmek için bireysel web sitelerine yönelik baskısını gerçekten arttırdı .

Google 2018 yılından itibaren HTTP olarak yayın yapan web siteleri her ziyaretçi girişinde adres çubuğunda " GÜVENLİ DEĞİL " ibaresi ile karşılayacağını söyledi.

 

Google'ın alan adı avantajlarının ne olduğu neden daha cazip bir alan adı sağlayıcısı haline geldiği de dahil olmak üzere , burada çözülmesi gereken çok şey var . Baştan Başlayalım.

 

 

HTTP Strict Transport Security Nedir

 

Çok teknik konulara girmeden , HSTS web tarayıcılarını yanlızca SSL (HTTPS) yoluyla sitenize bağlanmaya zorlayan bir mekanizmadır. HSTS önyükleme listesi adında bir şey mevcut bu liste tarayıcılarda otomatik olarak saklanır ve ziyaret sırasında web sayfasını otomatik olarak HTTPS bağlantıya gitmesini zorunlu kılar , Bu işlemde DOWN saldırılarını önlediği için yeni bir güvenlik katmanı oluşturur.

 

Her hangi bir tarayıcı bir web siteninin HSTS Protokolünü aldığında - site sahibi HTTP Strict Transport Security aktif ettiğinde - Bu web sitesinin birdaha asla HTTP bağlantısı oluşturamayacağını kendi HSTS listesinde güncelle . Ancak ilk girişlerde tarayıcı TİTLE almadan önce yinede web sitesi savunmasız demekdir.Bu ufak bir detay ancak azda olsa güvenlik açığı var

Ancak Google Temelde sahip olduğu tüm TLD'ler için için bu sorunu çözmüştür.

 

Tüm uzantıyı (TLD'yi) HSTS önyükleme listesine koymanın avantajı nedir?

HSTS önyükleme listesi, alan adı, alt alanlar ve TLD'leri içerebilir. 2015 yılına kadar hiç kimse bir TLD eklemeyi denemedi ancak Google ekledi. Şimdi diğer 44 TLD'sini ekledi. Bunun için sayısız avantajlar var.

 

Yeni Başlayanlar için , tüm TLD'lerini tarayıcı listesine ekleyebilirler . Bir SSL Sertifikası yüklediklerinde , bu TLD'ye sahip herhangi bir web sitesine otomatik olarak HTTPS bağlantıları uygulanacaktır. 

Bu yönlendirme sayesinde web sitesine ilk kez bağlantı kurmaya çalışan ziyaretçiler için saldırı riskini önler çünkü varsayılan olarak etki alanı zaten TLD düzeyindeki önyükleme listesindedir.

 

Ayrıca HSTS ön yükleme listesine girmenin aylar sürebileceğide bir gerçek . Google site sahiplerinin endişe etmemelerini ve Domainlerini ön yükleme listesine yerleştirmelerini istedi.

Aynı zamanda Google kenidisini Alan adı kaydedicisi olarak daha cazip bir hale getiriyor. Ancak  Bu TLD'lerden yalnızca 3 tanesi - .google , .how ve .soy - aktif ve yakın zamanda .app ile de bu sisteme geçiş yaparak aktif konuma gelecektir.

 

 

Ne Öğrendik?

Bugünki konudan öğrendiklerimiz şu şekilde;

  • Google, sahibi olduğu tüm 45 TLD için HSTS önyükleme listesine ekleyerek güvenli bağlantıları zorlamaktadır
  • HSTS ön yükleme listesi , Tüm tarayıcılarda indexlenen sitelere otomatik olarak HTTPS bağlantısına gitmesini zorunlu kılar
  • Listeye bir TLD eklendiğinde , bu TLD'ye sahip tüm web siteleri ve alt domainler otomatik olarak SSL bağlantısı kurar