İçeriğe atla

HTTPS

Vikipedi, özgür ansiklopedi
17.24, 3 Ocak 2021 tarihinde Sp1dey (mesaj | katkılar) tarafından oluşturulmuş 24550091 numaralı sürüm (Gerekçe: + nedensiz içerik silinmesi)

HTTPS (HTTP Secure, Türkçe güvenli hiper metin aktarım iletişim protokolü) bir bilgisayar ağı üzerinden  güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP (hiper metin aktarım iletişim protokolü) uzantısıdır.[1][2] HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol  sık sık TLS üzerinden HTTP veya SSL üzerinden HTTP olarak da adlandırılır.

HTTPS için temel motivasyon, erişilen web sitesinin kimlik doğrulaması ve aktarılan verilerin alışverişi sırasında gizliliğin ve bütünlüğünün korunmasıdır. Ortadaki adam saldırılarına karşı korur. Bir istemci ve sunucu arasındaki iletişimin iki yönlü şifrelenmesi, haberleşmeyi gizlice dinlemeye ve kurcalamaya karşı korur.[3] Uygulamada, bu, bir saldırganın aksine, iletişim kurmayı amaçladığı web sitesiyle saldırganların müdahalesi olmaksızın iletişim kurulmasını güvence altına alır.

Geçmişte, HTTPS bağlantıları öncelikle World Wide Web'deki ödeme işlemleri, e-posta ve kurumsal bilgi sistemlerinde hassas işlemler için kullanılmıştır. 2018'den itibaren, HTTPS, öncelikli olarak web sitesinin her türünde sayfa gerçekliğini korumak için, güvenlikli olmayan HTTP' den daha sık olarak web sitelerinde hesapları ve kullanıcı iletişimlerini güvenli tutmak ve web' de gizlilik ihlal edilmeden gezinmek gibi işler için kullanılmaktadır

Genel bakış

URL ile başlayan HTTPS düzeni ve WWW etki alanı adı etiketi.

Bu HTTPS' deki yeknesak kaynak tanımlayıcısı (İng.Uniform Resource Identifier, URI) şeması, HTTP ile aynı kullanım söz dizimine(syntax) sahiptir. Ancak, HTTPS, trafiği korumak için tarayıcıyı SSL / TLS eklenmiş bir şifreleme katmanı kullanacak şekilde uyarır. SSL / TLS özellikle HTTP için uygundur, çünkü iletişimin sadece bir tarafı doğrulanmış olsa bile koruma sağlayabilir. Bu, genellikle yalnızca sunucunun kimliğinin doğrulandığı (sunucu sertifikası inceleyen istemci tarafından), Internet üzerinden HTTP işlemlerinde geçerlidir.

HTTPS, güvenli olmayan bir ağ üzerinden güvenli bir kanal oluşturur. Bu, yeterli şifre paketlerinin kullanılması ve sunucu sertifikasının doğrulanması ve güvenilir olması koşuluyla, dinleyicilere veortadaki adam saldırılarına karşı yeterli sayılabilecek bir koruma sağlar.

HTTPS, TLS'nin tamamen üst kısmında yer aldığından, temel HTTP protokolünün tamamı şifrelenebilir. Bu, istek URL'sini (belirli bir web sayfası talep edildi), sorgu parametrelerini, üst bilgileri ve çerezleri (çoğunlukla kullanıcıyla ilgili kimlik bilgilerini içeren) içerir. Ancak, ana makine (web sitesi) adresleri ve port numaraları zorunlu temel TCP / IP protokollerinin bir parçası olduğundan, HTTPS bunların açıklamasını koruyamaz. Pratikte bu, doğru şekilde yapılandırılmış bir web sunucusunda bile, dinleyicilerin web sunucusunun IP adresini ve port numarasını (URL'in tamamı olmasa da bazen hatta alan adını örneğin www.example.org gibi) çıkartabileceği anlamına gelir. İletişimin içeriğine olmasa da, iletişimin miktarı, (veri aktarımı) ve iletişimin süresi (oturum süresi) bilgilere ulaşabilir.

Web tarayıcıları, yazılımlarına önceden yüklenmiş olansertifika otoritelerine dayanarak HTTPS web sitelerine nasıl güvenebileceklerini bilirler. Web tarayıcı üreticileri ,Sertifika otoritelerine (örneğin Digicert, ComodoGoDaddy,GlobalSign ve let's Encrypt) geçerli sertifikalar sağlayacakları konusunda güvenirler . Bu nedenle, bir kullanıcı , bir HTTPS bağlantısı için bir web sitesine aşağıdaki belirtilenlerin sadece hepsi doğruysa  güvenmelidir :

  • Kullanıcı, tarayıcı yazılımının HTTPS' i doğru şekilde önceden yüklenmiş sertifika otoriteleriyle doğru şekilde uyguladığına güvenir.
  • Kullanıcı sertifika otoritelerinin yalnızca meşru web sitelerini onaylayacağına güvenir.
  • Web sitesi geçerli bir sertifika sağlar, yani sertifika güvenilir bir yetkili tarafından imzalanmış demektir.
  • Sertifika, web sitesini doğru bir şekilde tanımlar (ör., Tarayıcı "https://example.com" adresini ziyaret ettiğinde, alınan sertifika "example.com" için uygun şekilde ve başka bir varlık için değil).
  • (Kullanıcı protokolün şifreleme katmanının (SSL / TLS) dinleyicilere karşı yeterince güvende olduğuna güvenir.

HTTPS özellikle güvenliksiz ağlarda(örneğin Wi-Fi) ,herkesin aynı yerel ağda paketleri dinleyip HTTPS tarafından korunmayan hassas bilgileri keşfedebildiği, büyük önem taşır. Ayrıca, birçok ücretsiz  ve ücretli WLAN ağı, web sayfalarında kendi reklamlarını sunmak için paket enjeksiyonuna dahil olur. Ancak bu web sayfalarına malware enjekte etmek ve kullanıcıların özel bilgilerini çalmak için kötü amaçlı olarak kullanılabilir.[4]

HTTPS, Tor anonimliği ağındaki bağlantılar için de çok önemlidir. Zararlı Tor düğümleri, içerisinden geçen içeriği güvenli olmayan bir şekilde değiştirebilir veya zarar verebilir ve ayrıca kötü amaçlı yazılımları bağlantıya enjekte edebilir. Bu  Electronic Frontier Foundation ve Tor Project 'in  "Her yerde HTTPS' i(HTPPS Everywhere",   geliştirmelerinin sebeplerinden biridir ve Tor Browser Bundle bunu eklenti olarak içerir. [5]

Küresel kitle gözetimi ve kişisel bilgileri çalan suçlular hakkında daha fazla bilgi ortaya çıktıkça, kullanılan internet bağlantısının türüne bakılmaksızın tüm web sitelerinde HTTPS güvenliğinin kullanımı giderek önem kazanmaktadır.[6][7] Bir kullanıcının ziyaret etttiği web sitelerinin üstverileri tek tek bakıldığında çok hassas olmayabilir fakat bu bilgiler birleştirildiğinde kullanıcı hakkında gereğinden fazla bilgiyi ortaya koyabilir ve kullanıcının gizliliğini ihlal edebilir.[8][9]

HTTPS' in yayılması, sayfa yükleme sürelerini, boyutunu ve gecikmeyi azaltmak için tasarlanan HTTP/2'nin (ya da önceki model olan, artık kullanılmayan protokol SPDY) ,yani yeni nesil HTTP'lerin, kullanılmasına da olanak tanır.

Kullanıcıların ortadaki adam saldırılarından, özellikle deSSL stripping saldırısından korunmak için HTTPS ile HTTP Strict Transport Security (HSTS) kullanmaları önerilir.[10][11]

HTTPS, RFC 2660'da belirtilen az kullanılan Güvenli HTTP (S-HTTP) ile karıştırılmamalıdır.

Web sitelerinde kullanımı

Kasım 2017 itibarıyla, Alexa'nın en üst düzey 1.000.000 web sitesinin% 27,7'si varsayılan olarak HTTPS kullanıyor,[12]  İnternetin en popüler 141,387 web sitesinin %43.1' i HTTPS i güvenli olarak uyguluyor,[13] ve sayfa yüklemelerinin %70'i ( Firefox Telemetri ölçümlerine göre) HTTPS kullanıyor.[14]

Tarayıcı Entegrasyonu

Çoğu tarayıcı geçersiz bir sertifika aldığında ekrana bir uyarı mesajı bastırır. Eski tarayıcılar, geçersiz bir sertifikaya sahip bir siteye bağlanırken, kullanıcıya devam etmek isteyip istemediklerini soran bir iletişim kutusu sunar. Yeni tarayıcılar tüm pencerede bir uyarı görüntüler. Yeni tarayıcılar ayrıca sitenin güvenlik bilgilerini adres çubuğunda da belirgin bir şekilde gösterir. Genişletilmiş doğrulama sertifikaları, yeni tarayıcılarda adres çubuğunu yeşile döndürür. Çoğu tarayıcı da, şifrelenmiş ve şifrelenmemiş içeriğin bir karışımını içeren bir siteyi ziyaret ederken kullanıcıya uyarı gösterilir.

The Electronic Frontier Foundation, "İdeal bir dünyada, her web isteği HTTPS'yi varsayılan olarak kullanacak" diyerek, "HTTPS Her Yerde " Mozilla Firefox adında HTTPS'yi yüzlerce sık kullanılan web sitesi için varsayılan olarak etkinleştiren bir eklenti sağladı. Bu eklentinin bir beta sürümü Google Chrome ve Chromium için de kullanılabilir.[15][16]

Güvenlik

HTTPS' in güvenliğinin dayandığı TLS, genellikle uzun süreli açık ve özel anahtarları kullanarak daha sonra sunucu ile istemci arasındaki mesajların şifrelenmesinde kullanılacak olan kısa süreli oturum anahtarlarını oluşturur. X. 509 sertifikaları , sunucunun (ve bazen de istemcinin) kimliğini doğrulamak için kullanılır. Bunun sonucunda sertifika otoriteleri ve açık anahtar sertifikaları ,sertifika ve onun sahibi arasındaki ilişkiyi doğrulamak ve üretmek, imzalamak ve sertifikaların geçerliliğini yönetmek için gereklidir. Bu, kimlikleri bir güven ağı aracılığıyla doğrulamaktan daha faydalı olsa da,2013 kitlesel gözetleme ifşalamaları, sertifika otoritelerinin ortadaki adam saldırılarına izin veren potansiyel bir zayıf nokta olduklarına dikkat çekti. [17][18] Bu bağlamda önemli bir özellik ileriye dönük gizliliktir, bu da geçmişte kaydedilen şifreli iletişimin uzun vadeli gizli anahtarların veya parolaların gelecekte ele geçirilmesi geçmişteki oturum anahtarlarının ele geçirilmesine sebep olmaması olarak açıklanabilir. Tüm web sunucuları ileri gizlilik sağlamaz.

Bir site, tamamen HTTPS üzerinden çalışmalıdır , HTTP üzerinden yüklenen bir parçası varsa(örneğin güvensiz bir biçimde yüklenmiş bir komut dosyası olursa ) kullanıcı bazı saldırılara ve gözetlenmeye açık olacaktır. Ayrıca, bir web sitesinin sadece hassas bilgiler içeren sayfası(örneğin oturum açma sayfası) HTTPS üzerinden çalışırsa, geri kalan kısım düz HTTP üzerinden yükleneceği için saldırılara maruz kalacaktır. Bir yerde hassas bilgiler içeren bir sitede, siteye HTTPS yerine HTTP ile her erişildiğinde, kullanıcı ve oturum açıkta kalır. Benzer şekilde, HTTPS aracılığıyla sunulan bir sitedeki çerezlerin güvenli özniteliğe sahip olması gerekir.

Teknik

HTTP 'den Farkı

HTTPS URL'leri "https: //" ile başlar ve varsayılan olarak bağlantı noktası(port) 443'ü kullanırken, HTTP URL'leri "http: //" ile başlar ve varsayılan olarak bağlantı noktası(port) 80'i kullanır.

HTTP şifrelenmemiş ve ortadaki adam saldırısı ve dinleme saldırılarına açık olduğu için saldırganlar web sitesi hesaplarına erişim elde edip web sitesini değiştirebilir ya da kötü amaçlı yazılım enjekte edebilirler. HTTPS, bu tür saldırılara dayanacak şekilde tasarlanmıştır ve bunlara karşı güvenli olarak kabul edilir (SSL'nin eski, kullanımdan kaldırılmış sürümleri hariç).

Ağ katmanları

HTTP, TCP / IP modelinin en üst katmanında, iletimden önce bir HTTP mesajını şifreleyen ve varışta bir mesajın şifresini çözen TLS güvenlik protokolü (aynı katmanın alt alt katmanı olarak çalışır) gibi, Uygulama katmanında çalışır. HTTPS ayrı bir protokol değildir, ancak şifreli bir SSL / TLS bağlantısı üzerinden normal HTTP kullanılmasını ifade eder.

HTTPS mesajındaki her şey, başlıklar ve istek / yanıt yükü dahil şifrelenir. Aşağıdaki sınırlama bölümünde açıklanan olası CCA şifreleme saldırısı haricinde, saldırgan sadece iki taraf ile alan adları ve IP adresleri arasında bir bağlantı olduğunu bilir.

Server kurulumu

Bir web sunucusunu HTTPS bağlantısını kabul etmeye hazırlamak için, yönetici sunucu için açık anahtar sertifikası oluşturmalıdır. Bu sertifikanın web tarayıcısı tarafından uyarı vermeden kabul edilebilmesi için güvenilir bir sertifika otoritesi tarafından imzalı olması gerekir. Otorite ,sertifika sahibinin, bunu sunan web sunucusunun operatörü olduğunu onaylar. Web tarayıcıları genelliklebüyük sertifika yetkililerinin imza sertifikalarının bir listesiyle dağıtılır, böylece onlar tarafından imzalanan sertifikaları doğrulayabilirler.

Sertifika edinme

Let's Encrypt 2016 Nisanda [19] web sitelerine ücretsiz ve otomatik SSL/TLS sertifikaları sağlamaya başladı. [20] Electronic Frontier Foundation' a göreElectronic Frontier Foundation'a göre, "Let's Encrypt", HTTP'den HTTPS'ye geçişi "tek bir komut vermek kadar kolay" veya "tek bir tuşa tıklayarak" yapacak.[21]. Web hostlarının ve bulut sağlayıcılarının büyük bir kısmı, müşterileri için ücretsiz sertifikalar sağlayan Let's Encrypt 'in ürününü kullanıyor.

Erişim kontrolünde kullanmak

Sistem, bir web sunucusuna erişimi yetkili kullanıcılara sınırlamak için istemci kimlik doğrulaması amacıyla da kullanılabilir. Bunu yapmak için site yöneticisi, genellikle her kullanıcı için bir sertifika oluşturur ve tarayıcıya yüklenen bir sertifika oluşturur. Normalde bu, yetkili kullanıcının adını ve e-posta adresini içerir ve kullanıcının kimliğini doğrulamak için, muhtemelen bir parola bile girmeden, her yeniden bağlantıda sunucu tarafından otomatik olarak kontrol edilir.

Özel(gizli) Anahtarın Açığa çıkması durumunda

Bu bağlamda önemli bir özellik mükemmel ileri gizliliktir (PFS). Bir HTTPS oturumu oluşturmak için kullanılan uzun vadeli asimetrik gizli anahtarlardan birine sahip olmak, kısa süreli oturum anahtarının türetilmesini daha kolay hale getirmemeli, daha sonrasında konuşmanın şifresini çözülmesine sebep olmamalıdır.Diffie – Hellman anahtar değişimi (DHE) ve Eliptik eğri Diffie – Hellman anahtar değişimi (ECDHE) 2013'te bu özelliğe sahip olduğu bilinen 2 yöntemdir. Firefox, Opera ve Chromium Browser oturumlarının yalnızca% 30'u bunu kullanır ve Apple'ın Safari ve Microsoft Internet Explorer oturumlarının yaklaşık% 0'ı kullanır.  Daha büyük internet sağlayıcıları arasında yalnızca Google 2011'den bu yana PFS'yi desteklemektedir (Eylül 2013).

Bir sertifikanın süresi dolmadan bazı durumlarda(örneğin özel anahtarın gizliliği tehlikeye girmiş olduğunda) iptal edilebilir. Firefox gibi popüler tarayıcıların daha yeni sürümleri,[22] Opera,[23] ve Internet Explorer üzerinde Windows Vista[24] Çevrimiçi Sertifika Durum Protokolü (OCSP) uygulayarak bu durumun oluşup oluşmadığını doğrular. Tarayıcı, sertifikanın seri numarasını sertifika otoritesine veya temsilcisine OCSP aracılığıyla gönderir ve otorite yanıt verir; tarayıcıya sertifikanın hala geçerli olup olmadığını söyler.[25]

Sınırlamalar

SSL ve TLS şifreleme iki modda yapılandırılabilir: basit ve karşılıklı. Basit modda, kimlik doğrulama sadece sunucu tarafından gerçekleştirilir. Karşılıklı versiyonunda ise, kullanıcının kullanıcı kimlik doğrulaması için web tarayıcısında bir kişisel istemci sertifikası yüklemesini gerektirir. Her iki durumda da koruma seviyesi, yazılımın uygulanmasının doğruluğuna ve kullanımdaki kriptografik algoritmalara bağlıdır.

SSL / TLS, bir web tarayıcısı tarafından sitenin endekslenmesini engellemez ve bazı durumlarda şifrelenmiş kaynağın URI'si, yalnızca yakalanan istek / yanıt boyutunu bilmesiyle çıkarılabilir.[26] Bu, bir saldırganın şifresiz bir saldırıya izin veren düz metin (açık statik içerik) ve şifrelenmiş metin (statik içeriğin şifrelenmiş sürümü) erişimine sahip olmasını sağlar.

TLS, HTTP'nin altındaki bir protokol düzeyinde çalıştığı ve üst düzey protokoller hakkında bilgisi olmadığı için, TLS sunucuları belirli bir adres ve bağlantı noktası(port) birleşimi için yalnızca bir sertifika sunabilir. Geçmişte, bu, HTTPS ile ad tabanlı sanal barındırma kullanmanın uygun olmadığı anlamına geliyordu. Birçok eski tarayıcı bu uzantıyı desteklemese de, bağlantıyı şifrelemeden önce sunucu adını sunucuya gönderen Sunucu Adı Gösterimi (SNI) adlı bir çözüm bulunmaktadır.SNI desteği, Windows Vista'dakiFirefox 2, Opera 8, Safari 2.1, Google Chrome 6 ve Internet Explorer 7'den beri kullanılabilir.[27][28][29]

Mimari açıdan:

  • SSL / TLS bağlantısı TLS bağlantısını başlatan ilk ön makine tarafından yönetilir. Eğer, herhangi bir sebepten (yönlendirme, trafik optimizasyonu, vb.), bu ön makine uygulama sunucusu değilse ve verileri deşifre etmek durumundaysa kullanıcı kimlik doğrulama bilgilerini veya sertifikayı uygulama sunucusuna iletmek için çözümler bulunmalıdır çünkü sunucu kimlerin kendine bağlanacağını bilmelidir.
  • SSL / TLS için karşılıklı kimlik doğrulaması ile SSL / TLS oturumu, bağlantıyı başlatan ilk sunucu tarafından yönetilir. Şifreleme işleminin zincirleme sunucularda yayılması gerektiğinde, oturum zamanaşımı yönetimi, uygulanması son derece zor hale gelir.
  1. Karşılıklı SSL / TLS ile güvenlik maksimumdur, ancak istemci tarafında SSL / TLS bağlantısını sonlandırmanın ve sunucu oturumunun tüm ilgili istemci uygulamalarının süresinin dolmasını veya kapatılmasını beklemek dışında kullanıcının bağlantısını kesmenin bir yolu yoktur.

Blackhat Conference 2009'da SSL stripping adı verilen karmaşık bir ortadaki adam saldırısı türü sunuldu. Bu tür bir saldırı, HTTPS tarafından sağlanan güvenliği https: bağlantısını http: bağlantısına dönüştürerek yeniliyor ve az sayıda İnternet kullanıcısı, tarayıcı arayüzüne aslında "https" yazıyor: bir bağlantıya tıklayarak güvenli bir siteye geçtiklerini sanarken farkında olmadan HTTPS yerine HTTP kullanıyorlar. Saldırgan daha sonra istemci ile net olarak iletişim kurar. Bu durum,HTTP Strict Transport Security adlı HTTP'de bir karşı önlemin geliştirilmesini sağladı.[30] 

HTTPS' in , bir dizitrafik analizi saldırısına karşı savunmasız görülmüştür. Trafik analizi saldırıları, şifrelenmiş trafiğin kendisiyle ilgili özellikleri bulmak için trafiğin zamanlaması ve büyüklüğündeki değişikliklere dayanan bir yan kanal saldırısıdır. Trafik analizi , SSL/TLS şifrelemesinin trafiğin içeriğini değiştirirken minimal seviyede boyutu ve zamanlamayı etkilenmesi sayesinde mümkün olur. Mayıs 2010'da,Microsoft Research veIndiana Üniversitesi'nden araştırmacılar tarafından hazırlanan bir araştırma makalesinde, ayrıntılı hassas kullanıcı verilerinin paket boyutları gibi yan kanallardan çıkarılabileceğini keşfettiklerini söylediler. Daha spesifik olarak araştırmacılar, bir dinleyicinin kullanıcıların hastalıkları/tedavileri/ameliyatları , ailesi ve kendisinin gelirleri ve yatırım sırları gibi bilgileri HTTP korumasında olan vergi,yatırım,sağlık gibi işlerle ilgili web uygulamalarından çıkarabilirler. Bu çalışma, HTTPS'nin trafik analizine karşı savunmasızlığını ortaya koysa da, yazarlar tarafından sunulan yaklaşım, manuel analiz gerektirdi ve özellikle HTTPS tarafından korunan web uygulamalarına odaklandı.

Google, Yahoo! ve Amazon dahil olmak üzere çoğu modern web sitesinin HTTPS kullanması,  Wi-Fi bağlantı noktalarına erişmeye çalışan birçok kullanıcı için sorunlara yol açıyor çünkü Wi-Fi hotspot oturum açma sayfası kullanıcı HTTP kaynağını açmaya çalıştığında yükleyemiyor.[31][32]Nonhttps.com17 Ekim 2018 tarihinde Wayback Machine sitesinde arşivlendi. veya nothttps.com gibi bazı web siteleri, her zaman HTTP tarafından erişilebileceklerini garanti eder.

Tarih

Netscape Communications ,Netscape Navigator web tarayıcısı için 1994 yılında HTTPS'yi oluşturdu.[33] Başlangıçta, HTTPS SSL protokolü ile kullanıldı. SSL, Aktarım Katmanı Güvenliği'ne (TLS) dönüştükçe, HTTPS, Mayıs 2000'de RFC 2818 tarafından resmî olarak belirtildi.

Ayrıca Bkz.

Kaynakça

  1. ^ "Secure your site with HTTPS". Google Support. Google, Inc. 15 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Şubat 2015. 
  2. ^ "What is HTTPS?". Comodo CA Limited. 15 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Şubat 2015. Hyper Text Transfer Protocol Secure (HTTPS) is the secure version of HTTP [...] 
  3. ^ "HTTPS Everywhere FAQ". 20 Nisan 2018 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  4. ^ "Hotel Wifi JavaScript Injection". 21 Aralık 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  5. ^ "Tor". torproject.org. The Tor Project, Inc. 23 Haziran 2014 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  6. ^ Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (13 Kasım 2014). "Embracing HTTPS". The New York Times. 22 Nisan 2018 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  7. ^ Gallagher, Kevin (12 Eylül 2014). "Fifteen Months After the NSA Revelations, Why Aren't More News Organizations Using HTTPS?". Freedom of the Press Foundation. 2 Aralık 2016 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  8. ^ "HTTPS as a ranking signal". Google Webmaster Central Blog. Google Inc. 6 Ağustos 2014. 8 Mart 2016 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. You can make your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...] 
  9. ^ Grigorik, Ilya; Far, Pierre (26 Haziran 2014). "Google I/O 2014 - HTTPS Everywhere". Google Developers. 15 Mart 2018 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  10. ^ "How to Deploy HTTPS Correctly". 14 Mart 2018 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  11. ^ "HTTP Strict Transport Security". Mozilla Developer Network. 15 Mayıs 2012 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  12. ^ "HTTPS usage statistics on top websites". statoperator.com. 7 Kasım 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  13. ^ "SSL Pulse". Trustworthy Internet Movement. 3 Ekim 2015. 15 Mayıs 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  14. ^ "Arşivlenmiş kopya". 14 Haziran 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Nisan 2018. 
  15. ^ Peter Eckersley: Encrypt the Web with the HTTPS Everywhere Firefox Extension 25 Kasım 2018 tarihinde Wayback Machine sitesinde arşivlendi. EFF blog, 17 June 2010
  16. ^ HTTPS Everywhere 5 Haziran 2011 tarihinde Wayback Machine sitesinde arşivlendi. EFF projects
  17. ^ Law Enforcement Appliance Subverts SSL 15 Mart 2014 tarihinde Wayback Machine sitesinde arşivlendi., Wired, 2010-04-03.
  18. ^ New Research Suggests That Governments May Fake SSL Certificates 4 Ocak 2016 tarihinde Wayback Machine sitesinde arşivlendi., EFF, 2010-03-24.
  19. ^ Catalin Cimpanu. "Let's Encrypt Launched Today, Currently Protects 3.8 Million Domains". Softpedia News. 29 Ağustos 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  20. ^ Kerner, Sean Michael (18 Kasım 2014). "Let's Encrypt Effort Aims to Improve Internet Security". eWeek.com. Quinstreet Enterprise. 
  21. ^ Eckersley, Peter (18 Kasım 2014). "Launching in 2015: A Certificate Authority to Encrypt the Entire Web". Electronic Frontier Foundation. 4 Nisan 2018 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  22. ^ "Mozilla Firefox Privacy Policy". Mozilla Foundation. 27 Nisan 2009. 26 Mayıs 2009 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  23. ^ "Opera 8 launched on FTP". Softpedia. 19 Nisan 2005. 12 Temmuz 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 Mayıs 2009. 
  24. ^ Lawrence, Eric (31 Ocak 2006). "HTTPS Security Improvements in Internet Explorer 7". MSDN. 1 Ekim 2017 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  25. ^ Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C (Haziran 1999). "Online Certificate Status Protocol – OCSP". Internet Engineering Task Force. 25 Kasım 2017 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  26. ^ Pusep, Stanislaw (31 Temmuz 2008). "The Pirate Bay un-SSL". 8 Mart 2009 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  27. ^ Lawrence, Eric (22 Ekim 2005). "Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2". Microsoft. 26 Ocak 2010 tarihinde kaynağından arşivlendi |arşiv-url= kullanmak için |url= gerekiyor (yardım). 
  28. ^ "Server Name Indication (SNI)". inside aebrahim's head. 30 Haziran 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  29. ^ Pierre, Julien. "Browser support for TLS server name indication". Bugzilla (2001-12-19). Mozilla Foundation. 8 Ekim 2018 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  30. ^ "sslstrip".  [ölü/kırık bağlantı]
  31. ^ "How to Force a Public Wi-Fi Network Login Page to Open". 31 Aralık 2017 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  32. ^ "iOS: What To Do When Your Public Wi-Fi Won't Connect All the Way". 28 Ocak 2018 tarihinde |arşiv-url= kullanmak için |url= gerekiyor (yardım) arşivlendi. 
  33. ^ Walls, Colin (2005). Embedded software. Newnes. s. 344. ISBN 0-7506-7954-9. 9 Şubat 2019 tarihinde kaynağından arşivlendi.