Google, kullanıcıların %100’ü için güvenli olmayan HTTP isteklerini otomatik olarak HTTPS isteklerine yükselterek Chrome internet güvenliğini artırma yönünde önemli bir adım attı.
Bu özelliğe HTTPS Yükseltmeleri adı verilir ve URL’ye şifrelenmiş https:// protokolü üzerinden otomatik olarak bağlanmayı deneyerek http:// kullanan eski bağlantıların güvenliğini sağlar.
Bu özelliğin Google Chrome’da sınırlı bir şekilde kullanıma sunulması Temmuz ayında başladı, ancak 16 Ekim itibarıyla Google bu özelliği artık Stable kanalındaki tüm kullanıcıların kullanımına sunmuştur.
Google Mühendislik Programı Yönetim Lideri Chris Thompson’ın bir güncellemesi şöyle: “Geçen hafta trunk’ta HTTPS Yükseltmelerini varsayılan olarak etkinleştirdik ve şu anda %100 Kararlı sürüme geçiyoruz.”
HTTPS Yükseltmeleri nedir?
HTTPS yükseltmeleri, tüm ana çerçeve gezinmelerini otomatik olarak HyperText Aktarım Protokolünün güvenli sürümü olan HTTPS’ye yükseltirken, gerektiğinde HTTP’ye hızlı bir geri dönüş sağlayan bir Google Chrome özelliğidir.
Geçmişte, tarayıcılar genellikle HTTPS’yi destekleyebilen sitelere güvenli olmayan HTTP isteklerinde bulunuyordu.
Bunun nedeni, kullanıcıların eski bağlantılara tıklaması veya web sitelerindeki içeriğin yeni protokolü kullanacak şekilde yükseltilmemesi olabilir, HTTP protokolü üzerindeki bağlantılar şifrelenmez ve kimlik bilgilerinin veya diğer hassas verilerin çalınması amacıyla gözetlenebilir.
Google, bunun HTTP kaynaklarını şuradan yükleyerek de gerçekleşebileceğini söylüyor:
- HSTS (HTTP Sıkı Aktarım Güvenliği) kullanarak bir siteye ilk kez giren kullanıcı,
- Varsayılan olarak HTTPS kullanan ancak HSTS kullanmayan bir siteye erişme veya
- HTTPS’ye otomatik yönlendirme olmadan hem HTTPS’yi hem de HTTP’yi destekleyen bir siteyi ziyaret etmek.
Her durumda, gereksiz güvenli olmayan bağlantılar nedeniyle kullanıcıların gizliliği ve güvenliği tehlikeye atılıyor. Bu sorun çeşitli yapılandırmalarda devam etti ve potansiyel olarak birçok isteği etkiledi.
HSTS önyükleme listesi veya manuel olarak seçilen yükseltme listeleri gibi HTTPS’yi zorunlu kılan mevcut yöntemlerin sınırlamaları vardır. Ya karmaşık ve riskli kurulumlar içerirler ya da sınırlı sayıda siteye hitap ederler.
Ek olarak, HTTPS destekli sitelerin güncel bir listesini tutmak zorlu olabilir ve yoğun bant genişliği gerektirebilir, bu da çoğu zaman eski bilgilerin kullanıcılara ulaşmasına neden olur.
Google, HTTP yükseltmeleriyle güvenlik sorunlarını düzeltiyor
Bu güncellemeyle Chrome, gerekirse HTTP’ye hızlı bir geri dönüş mekanizması uygulayarak sayfa içi HTTP bağlantılarını otomatik olarak HTTPS’ye yükseltmeyi hedefliyor.
Tarayıcı ayrıca, HTTP ve HTTPS’de farklı içerik sunan web sunucularının otomatik yükseltmeleri engellemesine olanak tanıyan bir devre dışı bırakma başlığına da saygı gösterebilir.
Bu davranış, özellikle ana çerçeve gezinme isteklerinin yükseltilmesi ve yükseltilmiş isteklerdeki ağ hatalarının işlenmesiyle ilgili olarak Fetch spesifikasyonunda değişiklikler yapılmasını gerektirecektir.
Yükseltme, gezinmenin çeşitli yönlerini etkiler:
- Mevcut karma içerik politikaları tarafından yönetilen alt kaynak yükseltmeleriyle ana çerçeve gezinmeleriyle sınırlıdır.
- URL çubuğu veya JavaScript aracılığıyla başlatılan gezinmeler, yükseltmeler için uygundur.
- Yükseltme, yalnızca GET gibi bağımsız istekleri etkileyerek, yükseltilmiş sayfalardaki formlara yönelik mevcut karma içerik politikalarıyla uyumlu hale gelir.
- İlk HTTPS gezinmelerinden HTTP’ye yapılan yönlendirmeler de yükseltilir.
Bu otomatik yükseltme, sürüm düşürmeleri engellemese de mevcut normdan daha az güvenlik sunmaz.
Aktif saldırganlar yükseltme sürecini engelleyebilmesine rağmen, pasif saldırganlara maruz kalmayı sınırlar. Daha da önemlisi, bu değişiklik geliştiricilerin HTTP referanslarını düzeltme motivasyonunu azaltabilir.
Ancak, HTTP sayfalarının “Güvenli değil” olarak işaretlenmesi yönündeki mevcut eğilim göz önüne alındığında, bu yükseltme, özellikle HTTPS’ye güncellenmesi muhtemel olmayan sitelerde kullanıcıları korumaya yönelik proaktif bir önlemdir.