HTTPS

Vikipedi, özgür ansiklopedi
Gezinti kısmına atla Arama kısmına atla

HTTPS (HTTP Secure,Türkçe güvenli hiper metin aktarım iletişim protokolü) bir bilgisayar ağı üzerinden  güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP( hiper metin aktarım iletişim protokolü) uzantısıdır.[1][2] HTTPS'te, iletişim protokolü Taşıma Katmanı Güvenliği (TLS) veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı (SSL) ile şifrelenir. Bu nedenle protokol  sık sık  HTTP üzerinden TLS veya HTTP üzerinden SSL olarak da adlandırılır.

HTTPS için temel motivasyon, erişilen web sitesinin kimlik doğrulaması ve aktarılan verilerin alışverişi sırasında gizliliğin ve bütünlüğünün korunmasıdır. Ortadaki adam saldırılarına karşı korur. Bir istemci ve sunucu arasındaki iletişimin iki yönlü şifrelenmesi, haberleşmeyi gizlice dinlemeye ve kurcalamaya karşı korur.[3] Uygulamada, bu, bir saldırganın aksine, iletişim kurmayı amaçladığı web sitesiyle saldırganların müdahalesi olmaksızın iletişim kurulmasını güvence altına alır.

Geçmişte, HTTPS bağlantıları öncelikle World Wide Web'deki ödeme işlemleri, e-posta ve kurumsal bilgi sistemlerinde hassas işlemler için kullanılmıştır. 2018'den itibaren, HTTPS, öncelikli olarak web sitesinin her türünde sayfa gerçekliğini korumak için, güvenlikli olmayan HTTP' den daha sık olarak web sitelerinde hesapları ve kullanıcı iletişimlerini güvenli tutmak ve web' de gizlilik ihlal edilmeden gezinmek gibi işler için kullanılmaktadır

Genel bakış[değiştir | kaynağı değiştir]

URL ile başlayan HTTPS düzeni ve WWW etki alanı adı etiketi.

Bu HTTPS' deki yeknesak kaynak tanımlayıcısı (İng.Uniform Resource Identifier, URI) şeması, HTTP ile aynı kullanım söz dizimine(syntax) sahiptir. Ancak, HTTPS, trafiği korumak için tarayıcıyı SSL / TLS eklenmiş bir şifreleme katmanı kullanacak şekilde uyarır. SSL / TLS özellikle HTTP için uygundur, çünkü iletişimin sadece bir tarafı doğrulanmış olsa bile koruma sağlayabilir. Bu, genellikle yalnızca sunucunun kimliğinin doğrulandığı (sunucu sertifikası inceleyen istemci tarafından), Internet üzerinden HTTP işlemlerinde geçerlidir.

HTTPS, güvenli olmayan bir ağ üzerinden güvenli bir kanal oluşturur. Bu, yeterli şifre paketlerinin kullanılması ve sunucu sertifikasının doğrulanması ve güvenilir olması koşuluyla, dinleyicilere veortadaki adam saldırılarına karşı yeterli sayılabilecek bir koruma sağlar.

HTTPS, TLS'nin tamamen üst kısmında yer aldığından, temel HTTP protokolünün tamamı şifrelenebilir. Bu, istek URL'sini (belirli bir web sayfası talep edildi), sorgu parametrelerini, üst bilgileri ve çerezleri (çoğunlukla kullanıcıyla ilgili kimlik bilgilerini içeren) içerir. Ancak, ana makine (web sitesi) adresleri ve port numaraları zorunlu temel TCP / IP protokollerinin bir parçası olduğundan, HTTPS bunların açıklamasını koruyamaz. Pratikte bu, doğru şekilde yapılandırılmış bir web sunucusunda bile, dinleyicilerin web sunucusunun IP adresini ve port numarasını (URL'in tamamı olmasa da bazen hatta alan adını örneğin www.example.org gibi) çıkartabileceği anlamına gelir. İletişimin içeriğine olmasa da, iletişimin miktarı, (veri aktarımı) ve iletişimin süresi (oturum süresi) bilgilere ulaşabilir.

Web tarayıcıları, yazılımlarına önceden yüklenmiş olansertifika otoritelerine dayanarak HTTPS web sitelerine nasıl güvenebileceklerini bilirler. Web tarayıcı üreticileri ,Sertifika otoritelerine (örneğin Digicert, ComodoGoDaddy,GlobalSign ve let's Encrypt) geçerli sertifikalar sağlayacakları konusunda güvenirler . Bu nedenle, bir kullanıcı , bir HTTPS bağlantısı için bir web sitesine aşağıdaki belirtilenlerin sadece hepsi doğruysa  güvenmelidir :

  • Kullanıcı, tarayıcı yazılımının HTTPS' i doğru şekilde önceden yüklenmiş sertifika otoriteleriyle doğru şekilde uyguladığına güvenir.
  • Kullanıcı sertifika otoritelerinin yalnızca meşru web sitelerini onaylayacağına güvenir.
  • Web sitesi geçerli bir sertifika sağlar, yani sertifika güvenilir bir yetkili tarafından imzalanmış demektir.
  • Sertifika, web sitesini doğru bir şekilde tanımlar (ör., Tarayıcı "https://example.com" adresini ziyaret ettiğinde, alınan sertifika "example.com" için uygun şekilde ve başka bir varlık için değil).
  • (Kullanıcı protokolün şifreleme katmanının (SSL / TLS) dinleyicilere karşı yeterince güvende olduğuna güvenir.

HTTPS özellikle güvenliksiz ağlarda(örneğin Wi-Fi) ,herkesin aynı yerel ağda paketleri dinleyip HTTPS tarafından korunmayan hassas bilgileri keşfedebildiği, büyük önem taşır. Ayrıca, birçok ücretsiz  ve ücretli WLAN ağı, web sayfalarında kendi reklamlarını sunmak için paket enjeksiyonuna dahil olur. Ancak bu web sayfalarına malware enjekte etmek ve kullanıcıların özel bilgilerini çalmak için kötü amaçlı olarak kullanılabilir.. [4]

HTTPS, Tor anonimliği ağındaki bağlantılar için de çok önemlidir. Zararlı Tor düğümleri, içerisinden geçen içeriği güvenli olmayan bir şekilde değiştirebilir veya zarar verebilir ve ayrıca kötü amaçlı yazılımları bağlantıya enjekte edebilir. Bu  Electronic Frontier Foundation ve Tor Project 'in  "Her yerde HTTPS' i(HTPPS Everywhere",   geliştirmelerinin sebeplerinden biridir ve Tor Browser Bundle bunu eklenti olarak içerir. [5]

Küresel kitle gözetimi ve kişisel bilgileri çalan suçlular hakkında daha fazla bilgi ortaya çıktıkça, kullanılan internet bağlantısının türüne bakılmaksızın tüm web sitelerinde HTTPS güvenliğinin kullanımı giderek önem kazanmaktadır.[6][7] Bir kullanıcının ziyaret etttiği web sitelerinin üstverileri tek tek bakıldığında çok hassas olmayabilir fakat bu bilgiler birleştirildiğinde kullanıcı hakkında gereğinden fazla bilgiyi ortaya koyabilir ve kullanıcının gizliliğini ihlal edebilir.[8][9]

HTTPS' in yayılması, sayfa yükleme sürelerini, boyutunu ve gecikmeyi azaltmak için tasarlanan HTTP/2'nin (ya da önceki model olan, artık kullanılmayan protokol SPDY) ,yani yeni nesil HTTP'lerin, kullanılmasına da olanak tanır.

Kullanıcıların ortadaki adam saldırılarından, özellikle deSSL stripping saldırısından korunmak için HTTPS ile HTTP Strict Transport Security (HSTS) kullanmaları önerilir..[10][11]

HTTPS, RFC 2660'da belirtilen az kullanılan Güvenli HTTP (S-HTTP) ile karıştırılmamalıdır.

Web sitelerinde kullanımı[değiştir | kaynağı değiştir]

Kasım 2017 itibariyle, Alexa'nın en üst düzey 1.000.000 web sitesinin% 27,7'si varsayılan olarak HTTPS kullanıyor,[12]  İnternetin en popüler 141,387 web sitesinin %43.1' i HTTPS i güvenli olarak uyguluyor,[13] ve sayfa yüklemelerinin %70'i ( Firefox Telemetri ölçümlerine göre) HTTPS kullanıyor.[14]

Tarayıcı Entegrasyonu[değiştir | kaynağı değiştir]

Çoğu tarayıcı geçersiz bir sertifika aldığında ekrana bir uyarı mesajı bastırır. Eski tarayıcılar, geçersiz bir sertifikaya sahip bir siteye bağlanırken, kullanıcıya devam etmek isteyip istemediklerini soran bir iletişim kutusu sunar. Yeni tarayıcılar tüm pencerede bir uyarı görüntüler. Yeni tarayıcılar ayrıca sitenin güvenlik bilgilerini adres çubuğunda da belirgin bir şekilde gösterir. Genişletilmiş doğrulama sertifikaları, yeni tarayıcılarda adres çubuğunu yeşile döndürür. Çoğu tarayıcı da, şifrelenmiş ve şifrelenmemiş içeriğin bir karışımını içeren bir siteyi ziyaret ederken kullanıcıya uyarı gösterilir.

The Electronic Frontier Foundation, "İdeal bir dünyada, her web isteği HTTPS'yi varsayılan olarak kullanacak" diyerek, "HTTPS Her Yerde " Mozilla Firefox adında HTTPS'yi yüzlerce sık kullanılan web sitesi için varsayılan olarak etkinleştiren bir eklenti sağladı. Bu eklentinin bir beta sürümü Google Chrome ve Chromium için de kullanılabilir.[15][16]

Güvenlik[değiştir | kaynağı değiştir]

HTTPS' in güvenliğinin dayandığı TLS, genellikle uzun süreli açık ve özel anahtarları kullanarak daha sonra sunucu ile istemci arasındaki mesajların şifrelenmesinde kullanılacak olan kısa süreli oturum anahtarlarını oluşturur. X. 509 sertifikaları , sunucunun (ve bazen de istemcinin) kimliğini doğrulamak için kullanılır. Bunun sonucunda sertifika otoriteleri ve açık anahtar sertifikaları ,sertifika ve onun sahibi arasındaki ilişkiyi doğrulamak ve üretmek, imzalamak ve sertifikaların geçerliliğini yönetmek için gereklidir. Bu, kimlikleri bir güven ağı aracılığıyla doğrulamaktan daha faydalı olsa da,2013 kitlesel gözetleme ifşalamaları, sertifika otoritelerinin ortadaki adam saldırılarına izin veren potansiyel bir zayıf nokta olduklarına dikkat çekti. [17][18] Bu bağlamda önemli bir özellik ileriye dönük gizliliktir, bu da geçmişte kaydedilen şifreli iletişimin uzun vadeli gizli anahtarların veya parolaların gelecekte ele geçirilmesi geçmişteki oturum anahtarlarının ele geçirilmesine sebep olmaması olarak açıklanabilir. Tüm web sunucuları ileri gizlilik sağlamaz.

Bir site, tamamen HTTPS üzerinden çalışmalıdır , HTTP üzerinden yüklenen bir parçası varsa(örneğin güvensiz bir biçimde yüklenmiş bir komut dosyası olursa ) kullanıcı bazı saldırılara ve gözetlenmeye açık olacaktır. Ayrıca, bir web sitesinin sadece hassas bilgiler içeren sayfası(örneğin oturum açma sayfası) HTTPS üzerinden çalışırsa, geri kalan kısım düz HTTP üzerinden yükleneceği için saldırılara maruz kalacaktır. Bir yerde hassas bilgiler içeren bir sitede, siteye HTTPS yerine HTTP ile her erişildiğinde, kullanıcı ve oturum açıkta kalır. Benzer şekilde, HTTPS aracılığıyla sunulan bir sitedeki çerezlerin güvenli özniteliğe sahip olması gerekir.

Teknik[değiştir | kaynağı değiştir]

HTTP 'den Farkı[değiştir | kaynağı değiştir]

HTTPS URL'leri "https: //" ile başlar ve varsayılan olarak bağlantı noktası(port) 443'ü kullanırken, HTTP URL'leri "http: //" ile başlar ve varsayılan olarak bağlantı noktası(port) 80'i kullanır.

HTTP şifrelenmemiş ve ortadaki adam saldırısı ve dinleme saldırılarına açık olduğu için saldırganlar web sitesi hesaplarına erişim elde edip web sitesini değiştirebilir ya da kötü amaçlı yazılım enjekte edebilirler. HTTPS, bu tür saldırılara dayanacak şekilde tasarlanmıştır ve bunlara karşı güvenli olarak kabul edilir (SSL'nin eski, kullanımdan kaldırılmış sürümleri hariç).

Ağ katmanları[değiştir | kaynağı değiştir]

HTTP, TCP / IP modelinin en üst katmanında, iletimden önce bir HTTP mesajını şifreleyen ve varışta bir mesajın şifresini çözen TLS güvenlik protokolü (aynı katmanın alt alt katmanı olarak çalışır) gibi, Uygulama katmanında çalışır. HTTPS ayrı bir protokol değildir, ancak şifreli bir SSL / TLS bağlantısı üzerinden normal HTTP kullanılmasını ifade eder.

HTTPS mesajındaki her şey, başlıklar ve istek / yanıt yükü dahil şifrelenir. Aşağıdaki sınırlama bölümünde açıklanan olası CCA şifreleme saldırısı haricinde, saldırgan sadece iki taraf ile alan adları ve IP adresleri arasında bir bağlantı olduğunu bilir.

Server kurulumu[değiştir | kaynağı değiştir]

Bir web sunucusunu HTTPS bağlantısını kabul etmeye hazırlamak için, yönetici sunucu için açık anahtar sertifikası oluşturmalıdır. Bu sertifikanın web tarayıcısı tarafından uyarı vermeden kabul edilebilmesi için güvenilir bir sertifika otoritesi tarafından imzalı olması gerekir. Otorite ,sertifika sahibinin, bunu sunan web sunucusunun operatörü olduğunu onaylar. Web tarayıcıları genelliklebüyük sertifika yetkililerinin imza sertifikalarının bir listesiyle dağıtılır, böylece onlar tarafından imzalanan sertifikaları doğrulayabilirler.

Sertifika edinme[değiştir | kaynağı değiştir]

Let's Encrypt 2016 Nisanda [19] web sitelerine ücretsiz ve otomatik SSL/TLS sertifikaları sağlamaya başladı. [20] Electronic Frontier Foundation' a göreElectronic Frontier Foundation'a göre, "Let's Encrypt", HTTP'den HTTPS'ye geçişi "tek bir komut vermek kadar kolay" veya "tek bir tuşa tıklayarak" yapacak.[21]. Web hostlarının ve bulut sağlayıcılarının büyük bir kısmı, müşterileri için ücretsiz sertifikalar sağlayan Let's Encrypt 'in ürününü kullanıyor.

Erişim kontrolünde kullanmak[değiştir | kaynağı değiştir]

Sistem, bir web sunucusuna erişimi yetkili kullanıcılara sınırlamak için istemci kimlik doğrulaması amacıyla da kullanılabilir. Bunu yapmak için site yöneticisi, genellikle her kullanıcı için bir sertifika oluşturur ve tarayıcıya yüklenen bir sertifika oluşturur.Normalde bu, yetkili kullanıcının adını ve e-posta adresini içerir ve kullanıcının kimliğini doğrulamak için, muhtemelen bir parola bile girmeden, her yeniden bağlantıda sunucu tarafından otomatik olarak kontrol edilir.

Özel(gizli) Anahtarın Açığa çıkması durumunda[değiştir | kaynağı değiştir]

Bu bağlamda önemli bir özellik mükemmel ileri gizliliktir (PFS). Bir HTTPS oturumu oluşturmak için kullanılan uzun vadeli asimetrik gizli anahtarlardan birine sahip olmak, kısa süreli oturum anahtarının türetilmesini daha kolay hale getirmemeli, daha sonrasında konuşmanın şifresini çözülmesine sebep olmamalıdır.Diffie – Hellman anahtar değişimi (DHE) ve Eliptik eğri Diffie – Hellman anahtar değişimi (ECDHE) 2013'te bu özelliğe sahip olduğu bilinen 2 yöntemdir. Firefox, Opera ve Chromium Browser oturumlarının yalnızca% 30'u bunu kullanır ve Apple'ın Safari ve Microsoft Internet Explorer oturumlarının yaklaşık% 0'ı kullanır.  Daha büyük internet sağlayıcıları arasında yalnızca Google 2011'den bu yana PFS'yi desteklemektedir (Eylül 2013).

Bir sertifikanın süresi dolmadan bazı durumlarda(örneğin özel anahtarın gizliliği tehlikeye girmiş olduğunda) iptal edilebilir. Firefox gibi popüler tarayıcıların daha yeni sürümleri,[22] Opera,[23] ve Internet Explorer üzerinde Windows Vista[24] Çevrimiçi Sertifika Durum Protokolü (OCSP) uygulayarak bu durumun oluşup oluşmadığını doğrular. Tarayıcı, sertifikanın seri numarasını sertifika otoritesine veya temsilcisine OCSP aracılığıyla gönderir ve otorite yanıt verir; tarayıcıya sertifikanın hala geçerli olup olmadığını söyler.[25]

Sınırlamalar[değiştir | kaynağı değiştir]

SSL ve TLS şifreleme iki modda yapılandırılabilir: basit ve karşılıklı. Basit modda, kimlik doğrulama sadece sunucu tarafından gerçekleştirilir. Karşılıklı versiyonunda ise, kullanıcının kullanıcı kimlik doğrulaması için web tarayıcısında bir kişisel istemci sertifikası yüklemesini gerektirir. Her iki durumda da koruma seviyesi, yazılımın uygulanmasının doğruluğuna ve kullanımdaki kriptografik algoritmalara bağlıdır.

SSL / TLS, bir web tarayıcısı tarafından sitenin endekslenmesini engellemez ve bazı durumlarda şifrelenmiş kaynağın URI'si, yalnızca yakalanan istek / yanıt boyutunu bilmesiyle çıkarılabilir.[26] Bu, bir saldırganın şifresiz bir saldırıya izin veren düz metin (açık statik içerik) ve şifrelenmiş metin (statik içeriğin şifrelenmiş sürümü) erişimine sahip olmasını sağlar.

TLS, HTTP'nin altındaki bir protokol düzeyinde çalıştığı ve üst düzey protokoller hakkında bilgisi olmadığı için, TLS sunucuları belirli bir adres ve bağlantı noktası(port) birleşimi için yalnızca bir sertifika sunabilir. Geçmişte, bu, HTTPS ile ad tabanlı sanal barındırma kullanmanın uygun olmadığı anlamına geliyordu. Birçok eski tarayıcı bu uzantıyı desteklemese de, bağlantıyı şifrelemeden önce sunucu adını sunucuya gönderen Sunucu Adı Gösterimi (SNI) adlı bir çözüm bulunmaktadır.SNI desteği, Windows Vista'dakiFirefox 2, Opera 8, Safari 2.1, Google Chrome 6 ve Internet Explorer 7'den beri kullanılabilir.[27][28][29]

Mimari açıdan:

  • SSL / TLS bağlantısı TLS bağlantısını başlatan ilk ön makine tarafından yönetilir. Eğer, herhangi bir sebepten (yönlendirme, trafik optimizasyonu, vb.), bu ön makine uygulama sunucusu değilse ve verileri deşifre etmek durumundaysa kullanıcı kimlik doğrulama bilgilerini veya sertifikayı uygulama sunucusuna iletmek için çözümler bulunmalıdır çünkü sunucu kimlerin kendine bağlanacağını bilmelidir.
  • SSL / TLS için karşılıklı kimlik doğrulaması ile SSL / TLS oturumu, bağlantıyı başlatan ilk sunucu tarafından yönetilir. Şifreleme işleminin zincirleme sunucularda yayılması gerektiğinde, oturum zamanaşımı yönetimi, uygulanması son derece zor hale gelir.
  1. Karşılıklı SSL / TLS ile güvenlik maksimumdur, ancak istemci tarafında SSL / TLS bağlantısını sonlandırmanın ve sunucu oturumunun tüm ilgili istemci uygulamalarının süresinin dolmasını veya kapatılmasını beklemek dışında kullanıcının bağlantısını kesmenin bir yolu yoktur.

Blackhat Conference 2009'da SSL stripping adı verilen karmaşık bir ortadaki adam saldırısı türü sunuldu. Bu tür bir saldırı, HTTPS tarafından sağlanan güvenliği https: bağlantısını http: bağlantısına dönüştürerek yeniliyor ve az sayıda İnternet kullanıcısı, tarayıcı arayüzüne aslında "https" yazıyor: bir bağlantıya tıklayarak güvenli bir siteye geçtiklerini sanarken farkında olmadan HTTPS yerine HTTP kullanıyorlar. Saldırgan daha sonra istemci ile net olarak iletişim kurar. Bu durum,HTTP Strict Transport Security adlı HTTP'de bir karşı önlemin geliştirilmesini sağladı. [30] 

HTTPS' in , bir dizitrafik analizi saldırısına karşı savunmasız görülmüştür. Trafik analizi saldırıları, şifrelenmiş trafiğin kendisiyle ilgili özellikleri bulmak için trafiğin zamanlaması ve büyüklüğündeki değişikliklere dayanan bir yan kanal saldırısıdır. Trafik analizi , SSL/TLS şifrelemesinin trafiğin içeriğini değiştirirken minimal seviyede boyutu ve zamanlamayı etkilenmesi sayesinde mümkün olur. Mayıs 2010'da,Microsoft Research veIndiana Üniversitesi'nden araştırmacılar tarafından hazırlanan bir araştırma makalesinde, ayrıntılı hassas kullanıcı verilerinin paket boyutları gibi yan kanallardan çıkarılabileceğini keşfettiklerini söylediler. Daha spesifik olarak araştırmacılar, bir dinleyicinin kullanıcıların hastalıkları/tedavileri/ameliyatları , ailesi ve kendisinin gelirleri ve yatırım sırları gibi bilgileri HTTP korumasında olan vergi,yatırım,sağlık gibi işlerle ilgili web uygulamalarından çıkarabilirler. Bu çalışma, HTTPS'nin trafik analizine karşı savunmasızlığını ortaya koysa da, yazarlar tarafından sunulan yaklaşım, manuel analiz gerektirdi ve özellikle HTTPS tarafından korunan web uygulamalarına odaklandı.

Google, Yahoo! ve Amazon dahil olmak üzere çoğu modern web sitesinin HTTPS kullanması,  Wi-Fi bağlantı noktalarına erişmeye çalışan birçok kullanıcı için sorunlara yol açıyor çünkü Wi-Fi hotspot oturum açma sayfası kullanıcı HTTP kaynağını açmaya çalıştığında yükleyemiyor.[31][32]Nonhttps.com veya nothttps.com gibi bazı web siteleri, her zaman HTTP tarafından erişilebileceklerini garanti eder.

Tarih[değiştir | kaynağı değiştir]

Netscape Communications ,Netscape Navigator web tarayıcısı için 1994 yılında HTTPS'yi oluşturdu.[33] Başlangıçta, HTTPS SSL protokolü ile kullanıldı. SSL, Aktarım Katmanı Güvenliği'ne (TLS) dönüştükçe, HTTPS, Mayıs 2000'de RFC 2818 tarafından resmi olarak belirtildi.

Ayrıca Bkz.[değiştir | kaynağı değiştir]

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ "Secure your site with HTTPS". Google Support. Google, Inc. 15 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015. 
  2. ^ "What is HTTPS?". Comodo CA Limited. 15 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015. Hyper Text Transfer Protocol Secure (HTTPS) is the secure version of HTTP [...] 
  3. ^ "HTTPS Everywhere FAQ". 20 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 3 May 2012.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  4. ^ "Hotel Wifi JavaScript Injection". 21 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 July 2012.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  5. ^ The Tor Project, Inc. "Tor". torproject.org.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım)
  6. ^ Konigsburg, Eitan; Pant, Rajiv; Kvochko, Elena (November 13, 2014). "Embracing HTTPS". The New York Times. 22 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |author2= ve |last2= kullanıldı (yardım); Birden fazla |author3= ve |last3= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  7. ^ Gallagher, Kevin (September 12, 2014). "Fifteen Months After the NSA Revelations, Why Aren't More News Organizations Using HTTPS?". Freedom of the Press Foundation. 2 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  8. ^ "HTTPS as a ranking signal". Google Webmaster Central Blog. Google Inc. August 6, 2014. 8 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015. You can make your site secure with HTTPS (Hypertext Transfer Protocol Secure) [...]  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  9. ^ Grigorik, Ilya; Far, Pierre (June 26, 2014). "Google I/O 2014 - HTTPS Everywhere". Google Developers. 15 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |author2= ve |last2= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  10. ^ "How to Deploy HTTPS Correctly". 14 Mart 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 June 2012.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  11. ^ "HTTP Strict Transport Security". Mozilla Developer Network. 15 Mayıs 2012 tarihinde kaynağından arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  12. ^ "HTTPS usage statistics on top websites". statoperator.com. 7 Kasım 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 2017-11-03.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  13. ^ "SSL Pulse". Trustworthy Internet Movement. 2015-10-03. Erişim tarihi: 2015-10-19.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  14. ^ https://letsencrypt.org/stats/
  15. ^ Peter Eckersley: Encrypt the Web with the HTTPS Everywhere Firefox Extension EFF blog, 17 June 2010
  16. ^ HTTPS Everywhere EFF projects
  17. ^ Law Enforcement Appliance Subverts SSL, Wired, 2010-04-03.
  18. ^ New Research Suggests That Governments May Fake SSL Certificates, EFF, 2010-03-24.
  19. ^ Catalin Cimpanu. "Let's Encrypt Launched Today, Currently Protects 3.8 Million Domains". Softpedia News. 29 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: April 12, 2016.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  20. ^ Kerner, Sean Michael (November 18, 2014). "Let's Encrypt Effort Aims to Improve Internet Security". eWeek.com. Quinstreet Enterprise. Erişim tarihi: February 27, 2015.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  21. ^ Eckersley, Peter (November 18, 2014). "Launching in 2015: A Certificate Authority to Encrypt the Entire Web". Electronic Frontier Foundation. 4 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: February 27, 2015.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  22. ^ "Mozilla Firefox Privacy Policy". Mozilla Foundation. 27 April 2009. 26 May 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 May 2009.  Bilinmeyen parametre |deadURL= görmezden gelindi (|deadurl= kullanımı öneriliyor) (yardım); Bilinmeyen parametre |archiveURL= görmezden gelindi (|archiveurl= kullanımı öneriliyor) (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  23. ^ "Opera 8 launched on FTP". Softpedia. 19 April 2005. Erişim tarihi: 13 May 2009. 
  24. ^ Lawrence, Eric (31 January 2006). "HTTPS Security Improvements in Internet Explorer 7". MSDN. 1 Ekim 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 May 2009.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  25. ^ Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C (June 1999). "Online Certificate Status Protocol – OCSP". Internet Engineering Task Force. 25 Kasım 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 13 May 2009.  Birden fazla |author= ve |last= kullanıldı (yardım); Birden fazla |author2= ve |last2= kullanıldı (yardım); Birden fazla |author3= ve |last3= kullanıldı (yardım); Birden fazla |author4= ve |last4= kullanıldı (yardım); Birden fazla |author5= ve |last5= kullanıldı (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  26. ^ Pusep, Stanislaw (31 July 2008). "The Pirate Bay un-SSL". 8 March 2009 tarihinde kaynağından arşivlendi. Erişim tarihi: 6 March 2009.  Bilinmeyen parametre |deadURL= görmezden gelindi (|deadurl= kullanımı öneriliyor) (yardım); Bilinmeyen parametre |archiveURL= görmezden gelindi (|archiveurl= kullanımı öneriliyor) (yardım); Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  27. ^ Lawrence, Eric (22 October 2005). "Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2". Microsoft. 26 Ocak 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 May 2009.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  28. ^ "Server Name Indication (SNI)". inside aebrahim's head. 30 Haziran 2017 tarihinde kaynağından arşivlendi.  Birden fazla |URL= ve |url= kullanıldı (yardım)
  29. ^ Pierre, Julien. "Browser support for TLS server name indication" (2001-12-19). Bugzilla. Mozilla Foundation. Erişim tarihi: 2010-12-15.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  30. ^ "sslstrip". Erişim tarihi: 2011-11-26.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  31. ^ "How to Force a Public Wi-Fi Network Login Page to Open". 31 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 2017-12-30.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  32. ^ "iOS: What To Do When Your Public Wi-Fi Won't Connect All the Way". 28 Ocak 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 2017-12-30.  Birden fazla |URL= ve |url= kullanıldı (yardım); Birden fazla |accessdate= ve |access-date= kullanıldı (yardım)
  33. ^ Lua error in Modül:Kaynak/KB1/Araçlar at line 105: Called with an undefined error condition.