CHROME’DAN HTTPS HAMLESİ
Google, birkaç yıldır arama sonuçlarında HTTPS kullanan sitelere daha fazla öncelik vermek ve veri girişi yapılan sayfalarda eğer HTTPS kullanılmıyorsa sayfanın güvensiz olduğu konusunda uyarıda bulunmak gibi yöntemlerle sitelerde HTTPS protokolünün kullanımını yaygınlaştırmaya çalışıyordu. Chrome’un yeni yayınlanan 68. sürümü ile bu yönde bir adım daha atılarak “güvenli değil” uyarıları HTTPS kullanmayan tüm sayfalarda verilmeye başladı.
Eski HTTP protokolünde kullanıcı ile site arasındaki trafik şifrelenmeden açık olarak gerçekleşir. Bu da uygun konumda olan üçüncü şahısların trafiği izleyebilmesine ve içeriğine bakabilmesine olanak tanır. HTTPS ise kullanıcı ile site arasındaki trafiği şifreleyerek üçüncü şahısların trafiği izleyebilmesinin önüne geçer. Uzunca bir süre gerek sertifika maliyetleri gerekse de kimsenin bu konuda bir zorunluluk hissetmemesi nedeni ile HTTPS kullanımı banka ve benzeri finans siteleri ve bir avuç büyük site ile sınırlıydı. Ancak Let’s Encrypt gibi girişimlerin ücretsiz sertifika sağlaması gibi gelişmeler HTTPS’YI hemen herkes için kullanılabilir kıldı ve yaygınlaştırdı.
Ancak hâlâ azımsanamayacak sayıda site HTTPS’YE geçmiş değil. Geçenlerin bir kısmı ise HTTPS’YI tümüyle zorunlu tutmuyor. Alexa sıralamasına göre dünyanın en popüler ilk 500 sitesinin yüzde 20’si hâlâ tümüyle HTTPS kullanmıyor. İlk 1 milyon sitede ise bu oran yüzde 50’lere yükseliyor. Türkiye kökenli sitelerde de tablo çok farklı değil. Hürriyet, Milliyet, Mynet, Star ve Cumhuriyet gibi popüler haber sitelerinden tutun da ÖSYM, MEB ve SGK gibi devlet sitelerine yaygın bir şekilde kullanılan pek çok site henüz HTTPS değil. Şimdi bu sayfaların tümü yüzde 60 civarında pazar payı ile en yaygın tarayıcı olan Chrome’da “Güvenli Değil” mesajı ile teşhir edilecek.
Hassas bilgilerin korunmasını bir yana bırakalım devletlerin ve şirketlerin kullanıcıların trafiklerini takip etmeyi alışkanlık haline getirdiği şu dönemde HTTPS kullanmak kullanıcılarına saygı duyan bir site için “olsa da olur olmasa da” değil “olmazsa olmaz” sayılmalı. Ancak herkesin konuya böyle bakmadığı da ortada. Eğer HTTPS kullanmayan siteleri kullanmak durumundaysanız site yöneticilerinden HTTPS’YE geçmelerini talep edin. Google’ın bu hamlesi ile beraber kullanıcılardan da talep gelmesi hâlâ geçmemekte ısrar eden sitelerin HTTPS’YE geçişini hızlandırabilir.