HSTS (HTTP Strict Transport Security - HTTP Katı Taşıma Güvenliği), HTTP oturumlarının HTTPS oturumlarına yönlendirilmesi üzerine geliştirilmiş bir protokoldür (RFC 6797). HSTS'nin nasıl işlediğinden önce neden HTTP oturumlarından HTTPS oturumlarına geçmenin daha güvenli olduğunu anlayalım.
bkz: Protokol (Ağ Protokolü) Nedir ve Ne İşe Yarar?
SSL sertifikası olmayan HTTP oturumlarında modem ile bilgisayar arasına sızan kötü niyetli kişiler, kullanıcıların çeşitli platformlarda kullandıkları kullanıcı adı, parola ya da kredi kartı gibi bilgilerini ağı dinleyerek öğrenebilmektedirler. Bu amaçla internet siteleri SSL sertifikaları alarak input alanlarına girilen bilgileri şifrelemekte ve böylece sızma sonucu ağı dinleyen kişiler şifrelenmiş bilgileri gördükleri için gerçek kullanıcı adı, parola ve kredi kartı numarası gibi bilgilere erişememektedirler. SSL sertifikasına sahip internet siteleri de şifrelenmiş oturumlarını HTTPS protokolü üzerinden verirler. Dolayısıyla HTTP protokolü üzerinden bir internet sitesine girmiş bir ziyaretçinin güvenliği için HTTPS protokololüne yönlendirilmesi gerekmektedir.
Not: Artık google chrome gibi güncey web tarayıcıları zaten SSL sertifikası olmayan oturumları güvenli değil olarak işaretlemektedir. Güvenli değil olarak etiketlenmiş internet sitelerinde SSL sertifikası bulunmamasından dolayı kullanıcılar, sitedeki input alanlarını kullandıklarında ağa sızan kişiler bu input alanlarına yazılan kullanıcı adı, parola vb. içerikleri olduğu gibi görebilirler. Bunun haricinde güvenli değil olarak işaretlenmiş internet sitelerinin ziyaretçilerine doğrudan bir zararı yoktur.
HSTS, internet sitesine gelen tüm talepleri HTTPS protokolü üzerinden çalışmaya zorlar ve HTTP taleplerini de ya HTTPS'ye yönlendirir; ya da hiç çalıştırmaz. Bu işlem için user-agent'lara başlık ekler (max-age) ve aşağıdaki prosedürü uygular:
- http protokololü üzerinden gelen request'leri otomatik olarak https'ye yönlendir. örneğin http://www.siteadi.com/hakkimizda request'i otomatik olarak https://www.siteadi.com/hakkimizda url'sine yönlendirilir.
- Sitenin geçerli bir sertifikası yoksa ve güvenli bağlantı kurulamıyorsa http talebini dikkate alma ve erişimi engelle.
bkz: TCP/IP Nedir?
bkz: IP Adresi Nedir?
bkz: TCP Nedir?
bkz: internet nedir?
bkz: SSH Nedir?