Tarayıcıda adres çubuğunda kilit simgesi görüyorsun ya hani… Ya da bazen “Bu site güvenli değil” diye bir uyarı çıkıyor. İşte tüm bu olayların arkasında HTTP, HTTPS ve SSL/TLS denen konular yatıyor. Ama bu kısaltmalar sadece harf oyunundan ibaret değil; senin verilerin, şifrelerin, oturumların kaderini belirleyen temel yapı taşları aslında.
Bu yazıda, bu protokollerin ne işe yaradığını, birbirlerinden farklarını ve neden HTTPS kullanmanın artık bir opsiyon değil, zorunluluk haline geldiğini konuşacağız.
1. HTTP Nedir?
HTTP (HyperText Transfer Protocol), web tarayıcınla bir web sunucusu arasında iletişimi sağlayan protokoldür. Bir siteyi ziyaret ettiğinde, tarayıcın HTTP üzerinden sunucuya bir istek (request) gönderir, sunucu da sana sayfanın içeriğini bir yanıt (response) olarak yollar.
Ancak HTTP şifreli değildir. Yani aradaki veri trafiği düz metin (plain text) olarak akar.
Bu ne demek? Şu demek:
- Bir kafenin Wi-Fi’ına bağlanırsın, HTTP kullanan bir siteye giriş yaparsın,
- O sırada ağdaki kötü niyetli biri senin kullanıcı adını, şifreni, çerezlerini kolayca okuyabilir.
2. HTTPS Nedir?
HTTPS (HTTP Secure ya da HTTP over SSL/TLS), HTTP’nin şifrelenmiş versiyonudur. Yani iletişim hâlindeki veriler şifrelenerek gönderilir.
HTTP + SSL/TLS = HTTPS
HTTPS’in Sağladığı Güvenlik Katmanları:
- Şifreleme: Veriler okunamaz hâle getirilir.
- Kimlik Doğrulama: Bağlandığın sunucu gerçekten o mu, emin olursun.
- Bütünlük: Veri aktarımı sırasında manipülasyon olmadığından emin olursun.
3. SSL / TLS Nedir?
HTTPS’in şifreleme kısmını sağlayan şey ise SSL ve onun güncel versiyonu olan TLS’dir.
- SSL (Secure Sockets Layer): Eski ve artık kullanılmayan protokoldür.
- TLS (Transport Layer Security): SSL’in daha güvenli ve modern halidir.
Not: Artık modern tarayıcılar SSL 2.0 / SSL 3.0 gibi eski protokolleri desteklemez. Günümüzde genellikle TLS 1.2 veya TLS 1.3 kullanılır.
Yani tarayıcıda HTTPS gördüğün anda, arkada TLS 1.3 çalışıyor olabilir — bu iyi bir şeydir.
4. HTTP ve HTTPS Arasındaki Farklar
| Özellik | HTTP | HTTPS |
|---|---|---|
| Şifreleme | ❌ Yok | ✅ Var (SSL/TLS ile) |
| Güvenlik | Zayıf | Yüksek |
| Performans | Bir tık daha hızlı olabilir | Yeni TLS 1.3 ile aradaki fark kapandı |
| SEO Etkisi | Olumsuz | Google, HTTPS’i tercih eder |
| Tarayıcı Desteği | Hepsi destekler | Hepsi destekler, hatta önerir |
| Sertifika | Gerekmez | SSL/TLS sertifikası zorunlu |
5. SSL Sertifikası Nedir?
Bir web sitesi HTTPS kullanacaksa, SSL sertifikası alması gerekir. Bu sertifika, sitenin kimliğini doğrular ve şifreli bağlantı kurmayı sağlar.
Sertifika Türleri:
- DV (Domain Validation) – En temel, sadece alan adı doğrulaması
- OV (Organization Validation) – Firma doğrulaması da içerir
- EV (Extended Validation) – Adres çubuğunda firma ismini bile gösterir (artık çok nadir)
Sertifika sağlayıcıları (CA – Certificate Authority) örnekleri:
- Let’s Encrypt (ücretsiz)
- DigiCert
- Sectigo
- GlobalSign
6. HTTPS Olmazsa Ne Olur?
- Formlardaki bilgiler herkes tarafından okunabilir
- Kimlik hırsızlığına açık hale gelirsin
- Modern tarayıcılar “güvenli değil” uyarısı verir
- SEO’da geride kalırsın
- Özellikle e-ticaret gibi alanlarda siteye güven azalır
7. TLS Hakkında Bilmen Gerekenler
- TLS 1.3, önceki sürümlere göre çok daha hızlı ve güvenlidir. El sıkışma (handshake) süresi daha kısadır.
- Perfect Forward Secrecy gibi özelliklerle şifrelenmiş verilerin gelecekte bile çözülmesini zorlaştırır.
- Tarayıcılar ve sunucular TLS sürümlerini pazarlık ederek belirler.
Sonuç
HTTP, veriyi iletir ama korumaz. HTTPS ise veriyi taşırken kalkan açar. Aralarındaki fark, e-postanı mektup olarak göndermekle zarfla göndermek arasındaki fark kadar net.
Modern web uygulamaları, mobil servisler, API uçları… hepsi artık HTTPS üzerinden çalışmalı. Sadece bir “güvenlik eklentisi” değil, sistemin temel taşı haline geldi.