Önizleme için kullanılabilir: Otomatik HTTPS, göz atmanızı daha güvenli tutmanıza yardımcı olur

  • History |
  • |
  • 0 Yorum

Microsoft Edge 92'den itibaren kullanıcılar, web sitelerine bağlantılarınızı otomatik olarak HTTP'den HTTPS'ye geçiren Otomatik HTTPS özelliğini önizleyebilirsiniz.
Web'de gezinirken, Microsoft Edge adres çubuğunun bazı siteler için "güvenli değil" mesajı ve diğerleri için bir kilit simgesi görüntülediğini fark edebilirsiniz. Bu simgeler, bir sitenin HTTP üzerinden mi yoksa daha güvenli HTTPS protokolü üzerinden mi teslim edildiğini gösterir.

Siteler HTTP üzerinden yüklendiğinde, saldırganlar geçiş halindeki sayfa içeriğini görüntüleyebilir veya değiştirebilir ya da sizi beklediğinizden farklı bir konuma yönlendirebilir. Çoğu web sitesi artık bu ortadaki adam saldırılarına karşı korunmaya yardımcı olabilecek HTTPS'yi destekliyor. Ancak, bu sitelerin çoğu HTTPS gerektirecek şekilde yapılandırılmamıştır  , bu da site daha güvenli protokole yeniden yönlendirme yapmadan önce saldırganlara kısa bir fırsat penceresi bırakır. Bazı siteler, ziyaretleri HTTP'den HTTPS'ye hiç yönlendirmeyebilir, bu da bazı ziyaretçileri daha az güvenli bir bağlantıyla bırakır. Siz gezinirken bilgilerinizi korumaya yardımcı olmak için Otomatik HTTPS adlı bir özelliği sunuyoruz: artık Microsoft Edge 92 ile Canary ve Developer kanallarında önizleme için kullanılabilir.
Otomatik HTTPS, daha güvenli protokolü destekleme olasılığı yüksek sitelerde web sitelerine bağlantılarınızı HTTP'den HTTPS'ye geçirir. HTTPS özellikli web sitelerinin listesi, Microsoft'un web analizine dayanmaktadır ve yüz binlerce en iyi etki alanında daha güvenli bir bağlantı sağlanmasına yardımcı olur. Otomatik HTTPS, bağlantı hatalarını ve olası performans sorunlarını önlemek için varsayılan olarak yalnızca HTTPS özellikli etki alanlarında bağlantınızı yükseltir.
Bu protokol değiştirme işlemi otomatik olarak ve müdahaleci bildirimler olmadan gerçekleşir, böylece web siteleriyle bağlantınız hakkında düşünmek zorunda kalmazsınız—sadece her zamanki gibi göz atın! Daha da sıkı bir güvenlik istiyorsanız ve bağlantı hatalarıyla daha sık karşılaşma olasılığınız varsa, açma/kapatma düğmesini kullanarak tüm gezinmeleri HTTP'den HTTPS'ye geçirmeyi seçebilirsiniz edge://settings/privacy:
'Otomatik HTTPS ile daha güvenli bağlantılara otomatik olarak geç' yazan bir Edge ayarı açık.  Altındaki seçili radyo düğmesinde 'Her zaman HTTP'den HTTPS'ye geç (bağlantı hataları daha sık meydana gelebilir)' yazıyor.
Belirli Microsoft Edge 92 kullanıcıları için Canary ve Dev önizleme kanallarımızda bu özelliği denemeye başlıyoruz. Otomatik HTTPS'yi denemek istiyorsanız ve deneme henüz size ulaşmadıysa:
  1. edge://flags/#edge-automatic-httpsEdge 92 Canary/Dev'i ziyaret edin ve Otomatik HTTPS'yi etkinleştirin
  2. Microsoft Edge'i yeniden başlatmak için görünen “Yeniden Başlat” düğmesine basın.
  3. edge://settings/privacy"Otomatik HTTPS ile daha güvenli bağlantılara otomatik olarak geç" sayfasını ziyaret edin ve açın.
Herhangi bir sorunla karşılaşırsanız veya herhangi bir geri bildiriminiz varsa, düşüncelerinizi paylaşmak için lütfen uygulama içi geri bildirim düğmesini (veya Alt+Shift+I) kullanın!

Teknik detaylar

Geniş bir koruma kapsamı

Otomatik HTTPS, tüm kullanıcı gezinmeleri için geçerlidir. Adres çubuğuna bir URL yazın veya sizi yeni bir siteye götüren bir bağlantıya tıklayın, özellik bağlantınızı HTTPS'ye geçirip geçirmeyeceğinizi kontrol edecektir. Nasıl göz attığınız önemli değil—Otomatik HTTPS, güvenliğinizi korumanıza yardımcı olur.

Bilinen yetenekli etki alanları listesi

Güvenliğe ek olarak, üretkenlik ve performansın kullanıcılarımız için birinci sırada olduğunu biliyoruz. Etkinleştirildiğinde, Otomatik HTTPS varsayılan olarak yalnızca HTTPS'yi desteklemesi muhtemel etki alanlarındaki gezinmeleri yükseltmeye geçer. HTTPS özellikli etki alanlarını kapsamak, "önce HTTPS'yi deneyin ve HTTP'ye geri dönün" yaklaşımlarıyla olası performans veya güvenilirlik sorunlarının yanı sıra bağlantı hataları olasılığını da azaltır.
HTTPS özellikli etki alanlarının listesi, bir tarayıcı bileşeni aracılığıyla kullanıcının cihazına teslim edilir ve üzerinde listelenir edge://components/Microsoft, HTTPS üzerinden teslim edilen yüksek oranda trafik alan ve HTTPS gerektirecek şekilde yapılandırılmamış (yani, HSTS Ön Yükleme Listelerine zaten dahil edilmemiş) en iyi etki alanlarını temel alarak listeyi oluşturur .

Yerel önbelleğe alma ile karşılaşılan hataların azaltılması

Bazı kullanıcılar, tüm navigasyonların HTTPS kullanmasını tercih edebilir ve daha yüksek güvenlik karşılığında hata sayfalarıyla daha sık karşılaşmayı kabul edebilir. Ortaya çıkan bu hata sayfaları, bunun yerine HTTP üzerinden teslim edilen aynı URL'yi denemenizi sağlar:
"Bu sayfa şu anda çalışmıyor" başlıklı bir hata sayfası.  Alt metin, Otomatik HTTPS'nin bağlantınızı HTTPS'ye çevirdiğini ve aynı URL'yi http:// ile denemeyi teklif ettiğini söylüyor.
Yalnızca HTTP kullanımını zorlamak için özel olarak yapılandırılmış bir sitede meydana gelen bir hata örneği.
Otomatik HTTPS'yi bilinen yetenekli veya tüm etki alanlarında çalışacak şekilde yapılandırmış olmanızdan bağımsız olarak, özellik, gezinme hatasıyla sonuçlanan son etki alanlarını yerel olarak önbelleğe alır. Önbelleğe alınmış bir siteyi bir sonraki ziyaretinizde, Otomatik HTTPS, yükseltme girişimini atlayarak, yinelenen hata sayfalarından kaçınır ve göz atma işleminize odaklanmanızı sağlar.
Kullanıcılar, edge://settings/privacy adresini ziyaret ederek ve "Gözatma geçmişi"ni temizleyerek bu önbelleği temizleyebilir. Bir InPrivate oturumu sırasında depolanan tüm önbellek girdileri, InPrivate'ten ayrılırken otomatik olarak temizlenir.

Alt kaynak yükseltmeleri

HTTPS , yalnızca adres çubuğunda gösterilen en üst düzey belge değil tüm kaynaklar HTTPS üzerinden teslim edildiğinde sizi en iyi şekilde korur "Etkin" içerik alt kaynakları , ziyaret ettiğiniz sayfadaki içeriğin bir kısmına veya tamamına erişebilir. Bunlar HTTP üzerinden teslim edilirse, bir saldırgan sayfadaki içeriği yine de değiştirebilir. Aynı zamanda, belirli bir alt kaynak için HTTPS üzerinden teslimat desteklenmiyorsa, bunları HTTPS'ye geçirmek potansiyel olarak başka hatalara yol açabilir.
Otomatik HTTPS, yalnızca bilinen yetenekli etki alanlarında HTTPS'ye geçmek üzere yapılandırıldığında, özellik aynı ana bilgisayar etkin alt kaynaklarını HTTPS'ye yükseltir, çünkü bunların HTTPS'yi de desteklemesi daha olasıdır. Örneğin, http://contoso.com'da http://contoso.com/script.js yükseltilir, ancak http:// alt etki alanı. contoso.com/script.js ve http://microsoft.com/script.js olmaz. Bu özellik kapsamındaki etkin içerik alt kaynakları arasında komut dosyaları, iframe kaynakları ve fetch() istekleri bulunur; Eğer yapabilirsiniz MDN'yi üzerinde daha uzun bir listesini bulabilirsiniz .
"Her zaman değiştir" ayarı bir kez daha daha yüksek güvenlik için tasarlanmıştır: tüm aktif içerik alt kaynakları yükseltilecektir. Alt kaynakları yüklemedeki başarısızlıklar (ve dolayısıyla bazı site kesintileri) daha yaygın olabilir.

Geliştirici kılavuzu

Web sitesi sahiplerinin, üst düzey belgeler ve tüm alt kaynaklar dahil olmak üzere tüm içeriği HTTPS üzerinden sunmasını öneririz. Geliştiriciler , web sitelerini HTTPS gerektirecek şekilde yapılandırmayı da düşünmelidir , ancak bu tüm alan adları için uygun olmayabilir.
Alan adınızı bu şekilde yapılandırmadıysanız Otomatik HTTPS'nin etkilerini kendi web sitenizde gözlemleyebilirsiniz. DevTools'u açmak için F12'ye basın, ardından Konsol sekmesini getirin. "Konsol ayarları" altında, "Günlüğü koru"yu etkinleştirin:
Konsol ayarları tepsisinde “Günlüğü koru” onay kutusu işaretlenir.
Ardından http:// şemasını kullanarak sitenizi ziyaret edin (örn. http://example.com). Otomatik HTTPS, bağlantınızı HTTPS olarak değiştirirse konsolda bir mesaj görünür:
Konsol, example.com'da 'Otomatik HTTPS, bağlantınızı HTTPS'ye geçirdi' belirtir.
Görüntülenen tam mesaj, herhangi bir alt kaynağın yükseltilip yükseltilmediğine bağlıdır:
Senaryo Konsol Mesajı
Belge HTTPS'ye geçti, ancak hiçbir alt kaynak yükseltilmedi Otomatik HTTPS, bağlantınızı HTTPS olarak değiştirdi."
Otomatik HTTPS "HTTPS'yi desteklemesi muhtemel web sitelerinde yükseltme" olarak ayarlandığından, belge HTTPS'ye geçti ve aynı ana bilgisayar etkin alt kaynakları yükseltildi Otomatik HTTPS, bağlantınızı ve aynı ana bilgisayar alt kaynaklarınızı HTTPS'ye geçirdi."
Belge HTTPS'ye geçti ve Otomatik HTTPS "her zaman değiştir" olarak ayarlandığından tüm etkin alt kaynaklar yükseltildi Otomatik HTTPS, bağlantınızı ve alt kaynaklarınızı HTTPS'ye çevirdi."

Lütfen geri bildiriminizi paylaşın

Otomatik HTTPS hakkında ne düşündüğünüzü merak ediyoruz!