Hassas iletişimde bulunmasalar dahi tüm web sitelerinizi her zaman HTTPS ile koruyun. HTTPS, hem web siteleriniz hem de kullanıcılarınızın kişisel bilgileri açısından önemli olan güvenlik ile veri bütünlüğünü sağlamanın yanı sıra birçok yeni tarayıcı özelliği (özellikle ilerleyici web uygulamaları için gerekli olanlar) için zorunludur.
HTTPS, web sitenizin bütünlüğünü korur
HTTPS, izinsiz kişilerin sitelerinizle kullanıcılarınızın tarayıcıları arasındaki iletişime müdahale etmelerini önler. İzinsiz giriş yapanlar arasında hem kasıtlı olarak kötü amaçlı saldırganlar hem de sayfalara reklam yerleştiren İSS'ler gibi meşru ancak izinsiz giriş yapan şirketler yer alır.
Saldırganlar, kullanıcılarınızı hassas bilgileri vermeye veya kötü amaçlı yazılım yüklemeye kandırmak ya da kendi kaynaklarını eklemek için korumasız iletişimlerden yararlanır. Örneğin, bazı üçüncü taraflar, kullanıcı deneyiminizi bozabilecek ve güvenlik açıkları oluşturabilecek reklamlar yerleştirir.
İzinsiz kişiler, web siteleriniz ile kullanıcılarınız arasında iletilen her korumasız kaynaktan yararlanır. Resimler, çerezler, komut dosyaları ve HTML'nin tümü istismar edilebilir. Saldırılar, ağın herhangi bir noktasında (ör. kullanıcının makinesi, kablosuz hotspot veya güvenliği ihlal edilmiş bir İSS) gerçekleşebilir. HTTPS, izinsiz kişilerin sitelerinizin kaynaklarına erişmesini zorlaştırır.
HTTPS, kullanıcılarınızın gizliliğini ve güvenliğini korur.
HTTPS, izinsiz kişilerin web sitelerinizle kullanıcılarınız arasındaki iletişimi pasif olarak dinlemelerini önler.
HTTPS ile ilgili yaygın bir yanlış kanı, yalnızca hassas iletişimleri işleyen web sitelerinin HTTPS'ye ihtiyacı olduğudur. Aslında, korunmayan her HTTP isteği, kullanıcılarınızın davranışları ve kimlikleri hakkında bilgi ortaya çıkarabilir.
Korunmayan web sitelerinizden birine yapılan tek bir ziyaret zararsız görünebilir ancak bazı saldırganlar, kullanıcılarınızın davranışları ve niyetleri hakkında çıkarımlar yapmak ve kimliklerini anonimlikten çıkarmak için kullanıcılarınızın toplu tarama etkinliklerine bakar. Örneğin, çalışanlar korunmasız tıbbi makaleleri okuyarak hassas sağlık durumlarını istemeden işverenleriyle paylaşabilir.
HTTPS, web'in geleceğidir
getUserMedia() ile fotoğraf çekme veya ses kaydetme, service worker ile çevrimdışı uygulama deneyimlerini etkinleştirme ya da progresif web uygulamaları oluşturma gibi güçlü yeni web platformu özellikleri, HTTPS üzerinden kullanıcıdan açık izin alınmasını gerektirir. Geolocation API gibi birçok eski API de yürütülmek için izin gerektirecek şekilde güncelleniyor. HTTPS, hem yeni hem de güncellenmiş özelliklerin izin iş akışlarının önemli bir bileşenidir.