SSL Sertifikası HSTS Header Konfigürasyonu

HSTS (HTTP Strict Transport Security), web sitelerinin HTTPS protokolünü zorunlu kılan bir güvenlik mekanizmasıdır. SSL sertifikası kullanan siteler için HSTS header’ı, tarayıcılara gelecekteki tüm isteklerin yalnızca güvenli bağlantı üzerinden yapılmasını talimat verir. Bu sayede, orta adam (MITM) saldırıları gibi tehditlere karşı koruma sağlar ve kullanıcı verilerinin güvenliğini artırır. Özellikle e-ticaret, finansal hizmetler ve hassas veri işleyen platformlar için vazgeçilmezdir. Bu makalede, SSL sertifikası ile entegre HSTS header konfigürasyonunu adım adım inceleyerek, pratik uygulama rehberi sunacağız.

HSTS Header’ının Temel Yapısı ve Direktifleri

HSTS header’ı, HTTP yanıtlarında Strict-Transport-Security başlığı altında iletilir ve belirli direktiflerden oluşur. Temel syntax’ı şu şekildedir: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload. Burada max-age değeri, tarayıcının bu kuralı ne kadar süre saklayacağını saniye cinsinden belirtir. Örneğin, 31536000 saniye bir yıla denk gelir ve üretim ortamlarında önerilen minimum değerdir. includeSubDomains direktifi, alt alan adlarını da kapsar; preload ise sitenin HSTS preload listesine dahil olmasını sağlar.

Direktifleri doğru yapılandırmak kritik öneme sahiptir. max-age’i çok kısa tutmak etkinliği azaltır, çok uzun tutmak ise test aşamalarında sorun yaratabilir. Preload kullanımı için, sitenizin önce includeSubDomains ile tam uyumlu hale gelmesi ve hstspreload.org üzerinden başvuru yapılması gerekir. Bu yapılandırma, SSL sertifikasının tam potansiyelini ortaya koyar ve PCI DSS gibi uyumluluk standartlarını destekler.

Max-Age Direktifi ve Önerilen Değerler

Max-age, HSTS politikasının geçerlilik süresini belirler. Geliştirme ortamında 300 saniye gibi kısa bir değerle başlayın, üretimde ise en az 6 ay (15768000 saniye) kullanın. Bu süre, tarayıcının HTTP isteklerini otomatik olarak HTTPS’e yönlendirmesini sağlar. Değeri belirlerken, sertifika yenileme döngüsünü göz önünde bulundurun; sertifika süresi bitmeden HSTS süresini kısaltmak için yeni bir header gönderin. Pratikte, bu direktif SSL’in güvenilirliğini pekiştirerek, karışık içerik uyarılarını önler ve SEO puanını olumlu etkiler.

IncludeSubDomains ve Preload Direktifleri

IncludeSubDomains, www.example.com gibi ana alanın yanı sıra api.example.com gibi alt alanları da kapsar. Bu, subdomain’lerin ayrı SSL konfigürasyonu gerektirmeden korunmasını sağlar. Preload direktifi ise Chromium tabanlı tarayıcıların (Chrome, Edge) sabit bir listeye dahil olmasını tetikler; başvuru için domain’iniz tam HSTS uyumlu olmalıdır. Uygulamada, önce preload olmadan test edin, sonra başvurun. Bu adımlar, kapsamlı bir güvenlik katmanı oluşturur ve olası bypass’ları engeller.

Sunucu Tarafında HSTS Header Konfigürasyonu

SSL sertifikası yüklü sunucularda HSTS’u etkinleştirmek, web sunucu yazılımına göre değişir. Apache ve Nginx gibi popüler sunucularda header modülleri üzerinden yapılır. Öncelikle, SSL/TLS konfigürasyonunuzun aktif olduğundan emin olun; ardından HSTS header’ını HTTP ve HTTPS yanıtlarına ekleyin. Bu işlem, .htaccess veya sunucu yapılandırma dosyalarında gerçekleştirilir ve yeniden başlatma gerektirebilir.

Uygulama sırasında, header’ı yalnızca HTTPS yanıtlarında gönderdiğinizden emin olun; HTTP üzerinden göndermek politika hatasına yol açar. Ayrıca, redirect’leri doğru yönetin: HTTP’den HTTPS’e 301 yönlendirme ile HSTS’u birleştirin. Bu entegrasyon, sitenizin güvenlik profilini güçlendirir ve kullanıcı deneyimini iyileştirir.

Apache Sunucusunda Yapılandırma

Apache’de mod_headers etkinleştirin ve httpd.conf veya sites-available konfigürasyonunda şu bloğu ekleyin: <IfModule mod_headers.c> Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” </IfModule>. Bu, VirtualHost bloğu içinde HTTPS portu (443) altında yer almalıdır. .htaccess alternatifi için: Header always set Strict-Transport-Security “max-age=31536000”. Değişiklik sonrası apachectl configtest ile doğrulayın ve graceful restart yapın. Bu adımlar, SSL sertifikasıyla sorunsuz çalışır ve loglarda header’ı inceleyerek teyit edin.

Nginx Sunucusunda Yapılandırma

Nginx’te server bloğunda add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always; satırını ekleyin. HTTPS sunucu bloğuna (listen 443 ssl;) yerleştirin. Örnek: server { listen 443 ssl http2; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; add_header Strict-Transport-Security …; }. nginx -t ile syntax kontrolü yapın ve nginx -s reload ile uygulayın. Subdomain kapsama için ana server bloğunu güncelleyin; bu, yüksek trafikli sitelerde performansı etkilemez.

HSTS Uygulamasını Test Etme ve İyileştirme

Konfigürasyon sonrası, HSTS’un doğru çalıştığını doğrulamak şarttır. Tarayıcı geliştirici araçlarında Network sekmesinden header’ı kontrol edin. SSL Labs veya securityheaders.com gibi araçlar kapsamlı raporlar sunar. Preload durumunda, tarayıcıyı yeniden başlatıp HTTP isteği deneyin; otomatik HTTPS’e yönlenmeli. Sorun giderme için, max-age’i sıfırlayın (0 değeriyle).

Potansiyel sorunlar arasında, CDN uyumsuzluğu veya eski tarayıcı desteği yer alır. CDN’lerde (Cloudflare gibi) header’ı proxy seviyesinde ayarlayın. Düzenli denetimlerle, HSTS’u SSL ekosisteminizin temel taşı haline getirin. Bu yaklaşım, uzun vadeli güvenlik sağlar ve uyumluluk denetimlerini kolaylaştırır.

Sonuç olarak, SSL sertifikası ile HSTS header konfigürasyonu, web sitenizin güvenliğini katmanlı hale getirir. Yukarıdaki adımları takip ederek, hızlı ve hatasız bir uygulama gerçekleştirebilirsiniz. Düzenli güncellemelerle bu özelliği optimize edin; böylece kullanıcılarınıza en üst düzey korumayı sunmuş olursunuz. Bu yatırım, hem teknik altyapınızı güçlendirir hem de güvenilirlik algısını artırır.