HSTS Checker
Web sitenizin HTTP Strict Transport Security yapılandırmasını doğrulayın. Preload uygunluğunu kontrol edin ve güvenlik önerileri alın.
HSTS Güvenliğini Anlamak
HTTP Strict Transport Security (HSTS), web sitelerini protokol sürüm düşürme saldırıları ve çerez hırsızlığı gibi ortadaki adam saldırılarına karşı korumaya yardımcı olan bir web güvenlik politikası mekanizmasıdır.
01HSTS Nedir?
HSTS, tarayıcılara belirli bir süre boyunca sitenize yalnızca HTTPS kullanarak erişmelerini söyleyen bir HTTP yanıt başlığıdır. Tarayıcı bu başlığı aldığında, siteye HTTP üzerinden erişme girişimleri istek yapılmadan önce otomatik olarak HTTPS'e dönüştürülür.
Bu, saldırganların ilk HTTP isteğini yakalayıp kullanıcıları kötü amaçlı sitelere yönlendirmesini engeller.
02HSTS Neden Kritik?
HSTS olmadan, sitenizde HTTPS olsa bile kullanıcılar yine de önce HTTP üzerinden bağlanmaya kandırılabilir. Saldırganlar bu anı yakalayarak SSL stripping saldırıları gerçekleştirebilir; burada sunucunuzla şifreli bağlantıyı sürdürürken kullanıcıya şifresiz bir sürüm sunarlar.
HSTS Direktifleri Açıklaması
max-age
Tarayıcının siteye yalnızca HTTPS üzerinden erişilmesi gerektiğini ne kadar süre (saniye) hatırlayacağını belirtir. Önerilen: 31536000 (1 yıl) veya daha fazla.
includeSubDomains
Mevcut olduğunda, HSTS politikası ana bilgisayarın tüm alt alanlarına uygulanır. Tam alan koruması için gereklidir.
preload
Tarayıcı preload listelerine dahil edilmeye onay verildiğini gösterir. Preload edildiğinde, HSTS ilk ziyarette bile uygulanır.
HSTS max-age ≥1 yıl, includeSubDomains ve preload direktifi ile etkin. Maksimum koruma.
HSTS etkin ancak önemli direktifler eksik veya max-age çok kısa. Kısmi koruma.
HSTS etkin değil veya ciddi şekilde yanlış yapılandırılmış. Site sürüm düşürme saldırılarına açık.
HSTS Neden Önemli?
SSL Stripping'i Önler
Saldırganlar ilk HTTP isteğini yakalayıp bağlantıyı düşüremez.
Çerez Koruması
Oturum çerezleri şifresiz bağlantılar üzerinden çalınamaz.
Kullanıcı Güveni
Kullanıcıların her zaman güvenli bağlantıyı gösteren kilit simgesini görmesini garanti eder.
SEO Avantajları
Arama motorları güvenli siteleri tercih eder. HSTS tutarlı HTTPS erişimini sağlar.
HSTS'in Önlediği Saldırılar
SSL Stripping
HTTPS'i HTTP'ye düşüren, trafik yakalamaya izin veren ortadaki adam saldırısı.
Oturum Ele Geçirme
Şifresiz HTTP bağlantıları üzerinden iletilen oturum çerezlerini çalma.
DNS Sahteciliği
Preload ile birlikte, sahte DNS yanıtları bile HTTP bağlantılarını zorlayamaz.
Protokol Düşürme
Tarayıcıları TLS/SSL protokollerinin daha zayıf, savunmasız sürümlerini kullanmaya zorlama.
Diğer Güvenlik Araçlarını Keşfedin
Kapsamlı web sitesi analizi ve güvenlik test araçları setimize göz atın.
Tüm Araçları Gör