Malicious Apps In Play Store

Google, HSTS ile 45 (TLD) Uzantı için HTTPS Bağlantısını Zorunlu Hale Getirdi.

Google'ın sahip olduÄŸu 45 TLD, otomatik olarak HTTP  Strict Transport Security'i (HSTS) destekleyecektir.

 

Google sahip olduÄŸu 45 alan adı uzantısı için (TLD) güvenli baÄŸlantı (https://) kurmasını zorunlu hale getirerek evrensel ÅŸifremeleme yönündeki baskısını sürdürüyor.

TLD Nedir? : Bir URL'nin son kısmıdır (.com .org vb.)

 

Google sahip olduÄŸu 45 domain uzantısının tamamında zorunlu hale getirmek için için HSTS veya HTTP Strict Transport Security kullanacağını açıkladı.

 

Google GMail'i HTTPS'ye geçirdiÄŸi 2010 yılından bu yana evrensel ÅŸifreleme ve HTTPS Everywhere için baskılarını arttırıyor. Geçen yılda ise SSL'i zorunlu hale getirmek ve ÅŸifreletmek için bireysel web sitelerine yönelik baskısını gerçekten arttırdı .

Google 2018 yılından itibaren HTTP olarak yayın yapan web siteleri her ziyaretçi giriÅŸinde adres çubuÄŸunda " GÜVENLÄ° DEĞİL " ibaresi ile karşılayacağını söyledi.

 

Google'ın alan adı avantajlarının ne olduÄŸu neden daha cazip bir alan adı saÄŸlayıcısı haline geldiÄŸi de dahil olmak üzere , burada çözülmesi gereken çok ÅŸey var . BaÅŸtan BaÅŸlayalım.

 

 

HTTP Strict Transport Security Nedir

 

Çok teknik konulara girmeden , HSTS web tarayıcılarını yanlızca SSL (HTTPS) yoluyla sitenize baÄŸlanmaya zorlayan bir mekanizmadır. HSTS önyükleme listesi adında bir ÅŸey mevcut bu liste tarayıcılarda otomatik olarak saklanır ve ziyaret sırasında web sayfasını otomatik olarak HTTPS baÄŸlantıya gitmesini zorunlu kılar , Bu iÅŸlemde DOWN saldırılarını önlediÄŸi için yeni bir güvenlik katmanı oluÅŸturur.

 

Her hangi bir tarayıcı bir web siteninin HSTS Protokolünü aldığında - site sahibi HTTP Strict Transport Security aktif ettiÄŸinde - Bu web sitesinin birdaha asla HTTP baÄŸlantısı oluÅŸturamayacağını kendi HSTS listesinde güncelle . Ancak ilk giriÅŸlerde tarayıcı TÄ°TLE almadan önce yinede web sitesi savunmasız demekdir.Bu ufak bir detay ancak azda olsa güvenlik açığı var

Ancak Google Temelde sahip olduÄŸu tüm TLD'ler için için bu sorunu çözmüÅŸtür.

 

Tüm uzantıyı (TLD'yi) HSTS önyükleme listesine koymanın avantajı nedir?

HSTS önyükleme listesi, alan adı, alt alanlar ve TLD'leri içerebilir. 2015 yılına kadar hiç kimse bir TLD eklemeyi denemedi ancak Google ekledi. Åžimdi diÄŸer 44 TLD'sini ekledi. Bunun için sayısız avantajlar var.

 

Yeni BaÅŸlayanlar için , tüm TLD'lerini tarayıcı listesine ekleyebilirler . Bir SSL Sertifikası yüklediklerinde , bu TLD'ye sahip herhangi bir web sitesine otomatik olarak HTTPS baÄŸlantıları uygulanacaktır. 

Bu yönlendirme sayesinde web sitesine ilk kez baÄŸlantı kurmaya çalışan ziyaretçiler için saldırı riskini önler çünkü varsayılan olarak etki alanı zaten TLD düzeyindeki önyükleme listesindedir.

 

Ayrıca HSTS ön yükleme listesine girmenin aylar sürebileceÄŸide bir gerçek . Google site sahiplerinin endiÅŸe etmemelerini ve Domainlerini ön yükleme listesine yerleÅŸtirmelerini istedi.

Aynı zamanda Google kenidisini Alan adı kaydedicisi olarak daha cazip bir hale getiriyor. Ancak  Bu TLD'lerden yalnızca 3 tanesi - .google , .how ve .soy - aktif ve yakın zamanda .app ile de bu sisteme geçiÅŸ yaparak aktif konuma gelecektir.

 

 

Ne ÖÄŸrendik?

Bugünki konudan öÄŸrendiklerimiz ÅŸu ÅŸekilde;

  • Google, sahibi olduÄŸu tüm 45 TLD için HSTS önyükleme listesine ekleyerek güvenli baÄŸlantıları zorlamaktadır
  • HSTS ön yükleme listesi , Tüm tarayıcılarda indexlenen sitelere otomatik olarak HTTPS baÄŸlantısına gitmesini zorunlu kılar
  • Listeye bir TLD eklendiÄŸinde , bu TLD'ye sahip tüm web siteleri ve alt domainler otomatik olarak SSL baÄŸlantısı kurar