ASMA KİLİT NE KADAR KORUR?
Web sayfalarını açtığımızda tarayıcımızın adres satırında görülen asma kilit işareti yani HTTPS kullanımı çoğu kullanıcı açısından sitenin güvenli sayılması için yeterli bulunuyor. Phishlabs'ın 2017'de yaptığı bir ankete göre asma kilitli web sitelerinin güvenli olduğunu düşünen kullanıcıların oranı yüzde 80'lerde. HTTPS, güvenlik yeterliliği açısından hiçbir zaman tek parametre değildi ancak sertifikaların pek de küçük olmayan ücretlerle satıldığı dönemde sitenin güvenilirliğini kanıtlamak açısından az-çok bir karşılığı vardı. Ancak gerek tarayıcıların baskısıyla HTTPS kullanımının artması gerekse de Let's Encrypt gibi ücretsiz sertifika sağlayıcıları bu durumu kökünden değiştirdi.
Phishlabs'ın 2018'in 3. çeyreği verilerine göre kullanıcıları başka bir site olduklarına ikna ederek hesap vb. bilgilerini çalan oltalama (phishing) sitelerinin yüzde 49'u HTTPS kullanıyor ve eğer başka bir filtreye takılmazlarsa bu nedenle tarayıcılarda "güvenli" olarak işaretleniyor. Bu oran 2017'de yüzde 20'lerdeydi. Oltalama sitelerinde HTTPS kullanımı bu kadar büyük bir hızla artarken sıradan sitelerde tablo pek hoş değil. Alexa sıralamasına göre en popüler ilk 500 sitenin yüzde 20'si hâlâ tümüyle HTTPS kullanmıyor. İlk 1 milyon sitede ise oranlar oltalama siteleri ile aşağı yukarı aynı. Ülkemizde de tablo pek farklı değil Hürriyet, Milliyet ve Cumhuriyet gibi gazete web sitelerinden tutun da MEB ve SGK gibi kurumlara dek pek çok web sitesi HTTPS kullanmıyor.
Bu verilere bakarak HTTPS'NIN güvenlik açısından bir anlamı kalmadığını düşünebilirsiniz. Ancak HTTPS ve sertifikaların tek fonksiyonu karşıdaki sitenin gerçekten adı yazan site olduğunu kanıtlamak değil. HTTPS karşıdaki site ile iletişiminizi şifreleyerek üçüncü şahısların bu iletişimi görmesini ya da değiştirmesini de engelliyor. Hem şirketlerin hem de devletlerin dijital gözetimden medet umduğu bir dönemde HTTPS bu tipteki gözetimden de büyük ölçekte korunmak anlamına geliyor.
HTTPS'NIN ve sertifikaların ne olup ne olmadığının farkına varmak önemli. HTTPS sizi twitter.com yerine tvvitter.com a girmekten korumaz. Hatta sizi tvvitter.com'un gerçekten tvvitter.com olduğuna ikna eder. Ancak tvvitter.com ya da bir başka site ile aranızdaki iletişime üçüncü şahısların bulaşmasının büyük ölçekte önüne geçer.