WordPress web siteniz için doğru HTTPS sertifikasını seçme
Yayınlanan: 2019-09-27Bir önceki yazımızda WordPress HTTPS, SSL ve TLS – web sitesi yöneticileri için bir rehber, HTTPS ve diğer tüm teknik terimlerin ne olduğunu ve nasıl çalıştığını açıkladık. Bu makalede, HTTPS sertifikalarını, WordPress web siteniz için sertifika edinmenin farklı yollarını ve neden bir sertifika için ödeme yapıp yapmamanız gerektiğini tartışıyoruz. Hemen dalalım.
HTTPS sertifikası nedir?
HTTPS sertifikalarının nasıl ve nedenlerini tartışmadan önce, bir sertifikanın ne olduğunu tartışmamız gerekir. Bir sertifika şu amaçlarla kullanılır:
- web sunucusu ve web tarayıcısı arasındaki trafiği şifrelemek,
- bağlandığınız web sunucusunun gerçekten iddia ettiği kişi olduğunu doğrulayın (bir tanımlama aracı).
Bir HTTPS sertifikası (TLS sertifikası), bir tarayıcı tarafından güvenilen bir varlığın o web sitesinin kimliği için kefil olabileceğine dair kriptografik kanıt içerir. Bu varlığa Sertifika Yetkilisi (CA) denir. HTTPS sertifikaları söz konusu olduğunda CA'lar çok önemli bir rol oynar.
Kimliğinizi bağımsız olarak doğrulayan ve kimliğinizi başkalarına kanıtlamanız için size bir "pasaport" (sertifika) sağlayan bir "pasaport ofisi"ne benzer bir Sertifika Yetkilisi düşünebilirsiniz. Ancak birisinin (bir web tarayıcısının) “pasaportunuzu” doğrulaması için “pasaport”u (sertifikayı) veren “pasaport ofisine” (Sertifika Otoritesi) güvenmeleri gerekir. Bir pasaporta benzer şekilde, bir sertifikanın sahteciliği zorlaştıran yerleşik güvenlik özellikleri olacaktır.
Başka bir deyişle, web sitenize HTTPS üzerinden hizmet vermek için, size WordPress web sitenizin kimliğini kanıtlayan bir sertifika sağlamak için bir Sertifika Yetkilisine ihtiyacınız vardır (siz kim olduğunuzu söylüyorsunuz).
Farklı HTTPS sertifika türleri
Hemen belli olmasa da, alabileceğiniz 3 farklı sertifika türü vardır:
- Etki Alanı Doğrulama (DV)
- Organizasyon Doğrulama (OV)
- Genişletilmiş Doğrulama (EV).
DV sertifikaları açık ara en yaygın sertifikalardır. Bir DV sertifikası aldığınızda, beklediğiniz normal tarayıcı kullanıcı arayüzünü göreceksiniz. Bunun tarayıcıdan tarayıcıya ve hatta bir tarayıcı sürümünden diğerine farklılık gösterdiğini unutmayın, ancak genellikle bir asma kilit ve bazen "güvenli" kelimesini görürsünüz.
OV sertifikalarını elde etmek DV sertifikalarına göre daha zordur çünkü daha fazla doğrulama gerektirirler. Ancak, nadiren hiç kullanılırlar. Son kullanıcıya tamamen aynı görünürler, DV sertifikalarına göre somut bir fayda sağlamazlar ve daha pahalıya mal olurlar.
Bu, EV sertifikalarını bırakır - Genişletilmiş Doğrulama sertifikalarının, bir kuruluşun bir tane alabilmesi için kapsamlı bir doğrulama süreci gerektirmesi gerekir. Çok daha pahalıdırlar ve tarihsel olarak, kullanıcı arayüzleri açısından tarayıcılar tarafından biraz farklı muamele görmüşlerdir.
Ancak Chrome, Firefox ve Safari'nin son sürümlerinde bu gösterge çok daha az göze çarpan bir bölüme taşınmıştır. Bunun nedeni büyük ölçüde EV sertifikalarının son kullanıcılara anlamlı bir güven düzeyi ilettiğine dair hiçbir kanıt olmamasıdır. Bazı durumlarda, EV aslında son kullanıcılar için daha fazla kafa karışıklığına neden olabilir. Öyle ki, İnternetin en popüler web sitelerinin büyük çoğunluğu EV sertifikalarından DV sertifikalarına geçiş yapıyor.
WordPress web siteniz için ne tür bir sertifikaya ihtiyacınız var?
Kısacası, WordPress web siteniz için bir Etki Alanı Doğrulama (DV) sertifikası istiyorsunuz. Genişletilmiş Doğrulama (EV) sertifikasına ihtiyaç duymanız için gerçek bir neden yok, özellikle de tarayıcılar bir sertifikaya sahip olmanın herhangi bir avantajını hemen hemen ortadan kaldırıyor (artı, onlar da oldukça pahalı).
HTTPS Sertifikası Alma
Geleneksel olarak, bir HTTPS sertifikası almak, bir Sertifika Yetkilisine (CA) onlar için yıllık bir ücret ödemek anlamına geliyordu. İşlem manueldi ve yöneticiler için oldukça can sıkıcıydı.
Neyse ki, 2012'de Mozilla, Let's Encrypt olarak bilinen şey üzerinde çalışmaya başladı; Internet Security Research Group (ISRG) tarafından yürütülen kar amacı gütmeyen bir sertifika yetkilisi. Herkese ücretsiz olarak HTTPS sertifikaları sağlar. Birkaç ay içinde internetteki en büyük CA haline gelmesi şaşırtıcı değil.
Let's Encrypt, ücretsiz bir CA olmanın yanı sıra, ACME protokolünü kullanan ilk CA olduğu için devrim niteliğindeydi. ACME protokolü, otomatik sertifika yenilemeye izin verir. Bu, Let's Encrypt'in daha güvenli olan daha kısa ömürlü (90 gün) sertifikalar oluşturmasını sağlar. Ayrıca sistem yöneticilerinin Certbot gibi araçlar sayesinde sertifikalarını yenileme konusunda endişelenmelerine gerek yok.
HTTPS sertifika sınırlamalarını şifreleyelim
Let's Encrypt'in WordPress web siteniz için çalışmasını sağlamak için çevrimiçi binlerce makale olmasına rağmen, sertifikalarını kullanamayacağınız durumlar olabileceğinin farkında olmak önemlidir. Bu, özellikle web barındırma planınızın bir parçası olarak bir HTTPS sertifikası ödüyorsanız veya web sunucunuz üzerinde tam denetime sahip değilseniz geçerlidir.
Bu durumda, bir sertifikaya para harcamadan önce barındırma sağlayıcınızın müşteri desteğiyle Let's Encrypt sertifikası kullanıp kullanamayacağınızı kontrol edin. Günümüzde, WordPress barındırma hizmetlerinin çoğu Let's Encrypt sertifikalarını desteklemektedir.
Barındırma planınızla Let's Encrypt sertifikası kullanmak mümkün değilse, ticari bir HTTPS sertifikasına ihtiyacınız olabilir veya potansiyel olarak çevrimiçi bir WordPress güvenlik duvarı / CDN hizmeti kullanabilirsiniz. Çoğu, hizmetlerinin bir parçası olarak ücretsiz HTTPS sertifikaları sunar.
WordPress'inizi HTTPS'ye Ayarlama
HTTPS sertifikası almanın ve web sunucunuzda HTTPS'yi etkinleştirmenin yanı sıra, WordPress sitenizin de HTTPS için ayarlandığından emin olmak isteyeceksiniz. Bunu eklenti kullanmadan yapabilirsiniz, ancak çoğu WordPress yöneticisinin Really Simple SSL gibi popüler bir eklenti kullanması muhtemelen daha kolaydır. Böyle bir eklenti ile tüm bağlantılarınızın web sitenizin HTTPS sürümünü doğru bir şekilde gösterdiğinden emin olursunuz.
Arama motorlarının HTTP ve HTTPS web sitelerini farklı siteler olarak ele aldığını da belirtmek önemlidir. Bu nedenle, daha önce yapmadıysanız, HTTPS sitenizi de Google Search Console'a göndermelisiniz.
Ücretsiz HTTPS sertifikaları gerçekten iyi mi?
Birçok WordPress web sitesi sahibi, Let's Encrypt'ten ücretsiz HTTPS sertifikası kullanma konusunda hala şüpheci. Bazıları, güvenliği ciddiye almadıkları bir imajı sergilemekten endişe duyuyor, bu nedenle müşterileri kaybetmekten korkuyorlar. Bazıları ücretsiz HTTPS sertifikalarının ücretli sertifikalar kadar iyi olmadığını düşünüyor. Onları suçlamıyorum – hiçbir iyi ürün/hizmet gerçekten bedavaya mevcut değil. Ancak, bu farklı bir durum.
Let's Encrypt bir kullanıcı olarak sizin için ücretsizdir, ancak ücretsiz bir proje değildir. Google, Facebook, Microsoft, Cisco ve diğerleri gibi sponsorlar sayesinde ücretsiz HTTPS sertifikaları verebilirler! Diyelim ki tüm bu büyük şirketler WordPress web sitesi HTTPS sertifikanız için ödeme yapıyor.
Let's Encrypt tamamen gelişmiş bir sertifika yetkilisidir. Let's Encrypt'in ücretsiz TLS sertifikaları ile ücretli olan arasında özellikle şifreleme yetenekleri açısından farklı bir şey yoktur. Bunu söyledikten sonra, maliyeti haklı çıkarabiliyorsanız, bir HTTPS sertifikası için ödeme yapmanın bir zararı yoktur.
HTTPS sitemi "güvenli" yapar mı?
Ne yazık ki hiçbir şey %100 güvenli değildir ve HTTPS kesinlikle bu kuralın bir istisnası değildir. HTTPS, WordPress web sitesi güvenlik programınızın yalnızca küçük bir parçasıdır. İzin veriyor:
- kullanıcılarınızın aynı ağ üzerindeki meraklı gözlerle iletişimleri kesilmeden web sitenize güvenli bir şekilde bağlanmalarını sağlar.
- web sitesi güvenliği olan sürekli zorluğun bir kısmına yardımcı olur.
Bununla birlikte, gümüş bir kurşun değildir: şüphesiz HTTPS'yi uygulamanız ve zorlamanız gerekirken, bu, WordPress web sitenizin güvenliğini sağlamayı tamamladığınız anlamına gelmez.
WordPress web sitemin güvenli olduğundan emin olmak için başka ne yapabilirim?
WordPress web sitenizin güvenliğini artırmak için yapabileceğiniz çok şey var. Aşağıdakilerle başlamanızı öneririz:
- WordPress güvenlik duvarı kullanın,
- Güçlü WordPress şifre politikalarını uygulayın,
- Bir dosya bütünlüğü izleme eklentisi kurun,
- WordPress'te meydana gelen tüm değişikliklerin bir günlüğünü tutun,
- WordPress çekirdeğini, kullandığınız tüm eklentileri, temaları ve yazılımları güncel tutun.