Web Sitenizi HTTPS’ye Nasıl Geçirebilirsiniz: Tam Adım Adım Kılavuz

Web sitenizi HTTP’den HTTPS’ye geçirmek artık isteğe bağlı değildir — herhangi bir modern web sitesi için temel bir gerekliliktir. HTTPS (Hypertext Transfer Protocol Secure), sunucunuz ile ziyaretçilerinizin tarayıcıları arasında değiş tokuş edilen verileri şifreler ve hassas bilgileri kesintiye uğratmadan, değiştirilmeden ve dinlenmeden korur. Güvenliğin ötesinde, HTTPS doğrudan Google arama sıralamalarınızı, tarayıcı güven göstergelerini ve kullanıcı dönüşüm oranlarını etkiler. Siteniz hala düz HTTP üzerinde çalışıyorsa, aktif olarak trafik, güven ve gelir kaybediyorsunuz.

Bu kapsamlı rehber, SSL sertifikası almaktan son yapılandırmanızı doğrulamaya kadar, web sitenizi HTTPS’ye doğru şekilde geçirmek için gereken her adımda size yol gösterir.

HTTPS’ye Geçiş Neden Önemlidir

Teknik adımlara dalmadan önce, tam olarak neyin tehlikede olduğunu anlamak değerlidir:

• Güvenlik: HTTPS, giriş kimlik bilgileri, ödeme ayrıntıları ve kişisel bilgiler dahil olmak üzere aktarım sırasında verileri korumak için SSL/TLS şifrelemesini kullanır.
• SEO sıralama sinyalleri: Google, 2014’ten beri HTTPS’yi bir sıralama faktörü olarak onaylamıştır. Bunu olmayan siteler arama sonuçlarında cezalandırılır.
• Tarayıcı uyarıları: Chrome, Firefox ve Edge, HTTP sitelerini aktif olarak “Güvenli Değil” olarak işaretler ve bu da ziyaretçileri hemen uzaklaştırır.
• Kullanıcı güveni: Adres çubuğundaki asma kilit simgesi, dönüşüm oranlarını doğrudan etkileyen tanınmış bir güven sinyalidir.
• Veri bütünlüğü: HTTPS, üçüncü taraf reklamların, kötü amaçlı yazılımın veya izleme komut dosyalarının sayfalarınıza enjekte edilmesini önler.

Adım 1: HTTPS Nasıl Çalıştığını Anlayın

HTTPS, tüm iletişimi bir SSL/TLS (Secure Sockets Layer / Transport Layer Security) şifreleme katmanına sarmalayan HTTP’nin bir uzantısıdır. Bir ziyaretçi sitenize bağlandığında, tarayıcıları ve sunucunuz şifreli bir oturum oluşturmak için bir “TLS el sıkışması” gerçekleştirir. Bu işlem, güvenilir bir Sertifika Yetkilisi (CA) tarafından verilen dijital bir SSL sertifikasına dayanır.

SSL sertifikası iki amaca hizmet eder:

1. Aktarım sırasında verilerin şifrelemesini sağlar.
2. Sunucunuzun kimliğini doğrular ve ziyaretçilere meşru web sitesiyle iletişim kurduklarını onaylar.

Adım 2: SSL Sertifikası Alın

Geçerli bir SSL sertifikası olmadan HTTPS’yi etkinleştiremezsiniz. İhtiyaçlarınıza ve bütçenize bağlı olarak göz önünde bulundurulması gereken çeşitli türler ve kaynaklar vardır.

Ücretsiz SSL Sertifikaları

Let’s Encrypt, dünyadaki en yaygın kullanılan ücretsiz Sertifika Yetkilisidir. Tüm büyük tarayıcılar tarafından güvenilen ve her 90 günde bir otomatik olarak yenilenebilen Alan Doğrulama (DV) sertifikaları yayınlar. Çoğu barındırma kontrol paneli, Let’s Encrypt’i yerel olarak destekler.

ZeroSSL, DV sertifikaları yayınlamak için basit bir web tabanlı arayüz sunan başka bir ücretsiz CA’dır ve Let’s Encrypt’e sağlam bir alternatiftir.

Ücretli SSL Sertifikaları

Kuruluş Doğrulama (OV) veya Genişletilmiş Doğrulama (EV) sertifikaları gibi daha yüksek doğrulama seviyeleri gerektiren işletmeler için, ücretli bir SSL sertifikası uygun seçimdir. EV sertifikaları, tarayıcı çubuğunda kuruluş adınızı görüntüler ve genellikle e-ticaret siteleri, finansal kurumlar ve hassas veriler işleyen kuruluşlar tarafından kullanılır.

AlexHost, kişisel web siteleri, işletme siteleri ve yüksek trafikli e-ticaret platformları için uygun bir dizi SSL Sertifikası sunar. SSL sertifikanızı barındırma sağlayıcınız aracılığıyla satın almak, kurulum ve yenileme yönetimini önemli ölçüde basitleştirir.

Adım 3: SSL Sertifikasını Yükleyin

Kurulum işlemi barındırma ortamınıza bağlıdır. Aşağıda en yaygın kurulumlar için ayrıntılı talimatlar verilmiştir.

3.1 cPanel Aracılığıyla Yükleme

Barındırma hesabınız cPanel kullanıyorsa, SSL kurulumu basittir:

1. cPanel’e Giriş Yapın — Barındırma kontrol panelinize yourdomain.com/cpanel adresinden veya barındırma panonuz aracılığıyla erişin.
2. SSL/TLS’ye Gidin — Güvenlik kategorisinin altında SSL/TLS bölümünü bulun.
3. Sertifikayı Yükleyin — “SSL Sitelerini Yönet”e tıklayın, etki alanınızı seçin ve sertifika, özel anahtar ve CA paket dosyalarınızı yapıştırın.
4. Kaydedin ve Doğrulayın — Kaydettikten sonra tarayıcınızı açın ve https://yourdomain.com adresine gidin ve asma kilit simgesinin göründüğünü onaylayın.

cPanel önceden yapılandırılmış bir barındırma ortamı arıyorsanız, AlexHost, SSL yönetimini tam sunucu kontrolü ile birlikte kolaylaştıran cPanel VPS planları sağlar.

3.2 Apache’ye Yükleme (Manuel Sunucu Yapılandırması)

Bir Linux sunucusunu doğrudan yönetiyorsanız, SSL sertifikanızı Apache’ye yüklemek için şu adımları izleyin:

Adım 1 — Sertifika dosyalarını sunucunuza kopyalayın:

sudo mkdir -p /etc/ssl/yourdomain
sudo cp your_certificate.crt /etc/ssl/yourdomain/
sudo cp your_private.key /etc/ssl/yourdomain/
sudo cp your_ca_bundle.crt /etc/ssl/yourdomain/

Adım 2 — Apache sanal ana bilgisayar yapılandırmasını düzenleyin:

İlgili yapılandırma dosyasını açın, genellikle /etc/apache2/sites-available/yourdomain.conf (Debian/Ubuntu) veya /etc/httpd/conf.d/yourdomain.conf (CentOS/RHEL) konumunda bulunur:

sudo nano /etc/apache2/sites-available/yourdomain.conf

Adım 3 — HTTPS sanal ana bilgisayar bloğunu ekleyin:

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/yourdomain

    SSLEngine on
    SSLCertificateFile      /etc/ssl/yourdomain/your_certificate.crt
    SSLCertificateKeyFile   /etc/ssl/yourdomain/your_private.key
    SSLCertificateChainFile /etc/ssl/yourdomain/your_ca_bundle.crt

    # Recommended security headers
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set X-Content-Type-Options "nosniff"
    Header always set X-Frame-Options "SAMEORIGIN"
</VirtualHost>

Adım 4 — SSL modülünü ve siteyi etkinleştirin, ardından Apache’yi yeniden başlatın:

sudo a2enmod ssl
sudo a2ensite yourdomain.conf
sudo systemctl restart apache2

httpd kullanan CentOS/RHEL sistemleri için:

sudo systemctl restart httpd

3.3 Nginx’e Yükleme (Manuel Sunucu Yapılandırması)

Nginx tabanlı sunucular için işlem biraz farklıdır:

Adım 1 — Nginx sunucu bloğu yapılandırmasını düzenleyin:

sudo nano /etc/nginx/sites-available/yourdomain.conf

Adım 2 — HTTPS sunucu bloğunu ekleyin:

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    root /var/www/yourdomain;
    index index.html index.php;

    ssl_certificate     /etc/ssl/yourdomain/your_certificate.crt;
    ssl_certificate_key /etc/ssl/yourdomain/your_private.key;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers on;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

Adım 3 — Yapılandırmayı test edin ve Nginx’i yeniden başlatın:

sudo nginx -t
sudo systemctl restart nginx

Adım 4: HTTP Trafiğini HTTPS’ye Yönlendirin

Sertifikayı yüklemek yeterli değildir. Tüm HTTP isteklerinin otomatik olarak HTTPS’ye iletilmesi için kalıcı 301 yönlendirmelerini yapılandırmalısınız. Bu, hiçbir ziyaretçinin sitenizin güvensiz bir sürümüne inmemesini sağlar ve SEO bağlantı öz sermayenizi birleştirir.

4.1 .htaccess Kullanarak HTTP’den HTTPS’ye Yönlendirme (Apache)

Web sitenizin kök dizinindeki .htaccess dosyasını açın ve başına aşağıdaki kuralları ekleyin:

RewriteEngine On

# Redirect all HTTP traffic to HTTPS
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Optional: force www to non-www (or vice versa)
RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [L,R=301]

Dosyayı kaydedin ve http://yourdomain.com adresini ziyaret ederek test edin — otomatik olarak https://yourdomain.com adresine yönlendirilmelidir.

4.2 Nginx Kullanarak HTTP’den HTTPS’ye Yönlendirme

Yönlendirmeyi veren 80 numaralı bağlantı noktası için ayrılmış bir sunucu bloğu ekleyin:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

Uygulamak için Nginx’i yeniden başlatın:

sudo systemctl restart nginx

Adım 5: Tüm İç Bağlantıları ve Kaynakları Güncelleyin

HTTPS’yi etkinleştirdikten sonra, web siteniz hala karışık içerik yükleyebilir — HTTPS sayfalarına gömülü HTTP kaynakları (resimler, komut dosyaları, stil sayfaları, yazı tipleri). Karışık içerik, tarayıcı güvenlik uyarılarını tetikler ve asma kilit göstergenizi tamamen bozabilir.

Güncellenecek Öğeler

• İç sayfa bağlantıları: Tüm http://yourdomain.com referanslarını https://yourdomain.com olarak değiştirin.
• Resimler, CSS ve JavaScript: Tüm varlık URL’lerinin HTTPS kullandığından veya protokol göreceli yollar (//) kullandığından emin olun.
• Kanonik etiketler: HTML’nizdeki <link rel="canonical"> etiketlerini güncelleyin.
• Sitemap: XML sitemap’inizi HTTPS URL’leriyle yeniden oluşturun.
• Veritabanı URL’leri (WordPress): WP Migrate DB eklentisini kullanın veya depolanan URL’leri güncellemek için doğrudan bir SQL sorgusu çalıştırın:

UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com') WHERE option_name = 'siteurl' OR option_name = 'home';

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');

UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');

> Önemli: Toplu SQL güncellemeleri çalıştırmadan önce her zaman veritabanınızı yedekleyin.

Adım 6: Google Search Console ve Analytics’i Güncelleyin

HTTPS siteniz, Google’ın gözünde HTTP sitenizden teknik olarak farklı bir özelliktir. SEO verilerinizin ve tarama ayarlarınızın düzgün şekilde yapılandırıldığından emin olmak için şu adımları izleyin:

1. Google Search Console: https://yourdomain.com öğesini yeni bir özellik olarak ekleyin. Güncellenmiş HTTPS sitemap’inizi gönderin.
2. Google Analytics: Özellik ayarlarınızdaki varsayılan URL’yi HTTPS kullanacak şekilde güncelleyin. İzleme kodunuzun tüm HTTPS sayfalarında yüklü olduğundan emin olun.
3. Bing Webmaster Tools: Sitenizin HTTPS sürümünü ekleyin ve sitemap’inizi yeniden gönderin.
4. Harici geri bağlantıları güncelleyin: Mümkün olduğunda, HTTP URL’lerinize bağlanan yüksek yetkili sitelere ulaşın ve bağlantılarını güncellemelerini isteyin.

Adım 7: HTTPS Yapılandırmanızı Test Edin ve Doğrulayın

Kapsamlı test yapmadan HTTPS kurulumunuzun doğru olduğunu asla varsaymayın. Aşağıdaki yöntemleri kullanın:

Tarayıcı Kontrolü

https://yourdomain.com adresine gidin ve şunları doğrulayın:

• Adres çubuğunda bir asma kilit simgesi görünür.
• “Güvenli Değil” uyarısı görüntülenmez.
• Tarayıcı geliştirici konsolu (F12 → Konsol) karışık içerik uyarıları göstermez.

SSL Labs SSL Testi

SSL Labs Server Test’i ziyaret edin ve etki alanınızı girin. Bu ücretsiz araç, SSL/TLS yapılandırmanız için ayrıntılı bir not (A+ ile F arasında) sağlar ve zayıf şifre paketlerini, protokol sorunlarını ve sertifika zinciri sorunlarını vurgular.

Why-No-Padlock Aracı

Sitenizin herhangi bir sayfasında belirli karışık içerik sorunlarını tanımlamak için Why No Padlock’u kullanın.

HTTP Observatory (Mozilla)

Mozilla’nın HTTP Observatory, güvenlik başlıklarınızı, HSTS politikanızı ve genel HTTPS uygulama kalitesini değerlendirir.

Adım 8: HTTP Strict Transport Security (HSTS) Etkinleştirin

HTTPS kurulumunuzun kararlı olduğundan emin olduktan sonra, HSTS’yi etkinleştirin. Bu güvenlik politikası, bir kullanıcı manuel olarak http:// yazsa bile, tarayıcılara etki alanınız için her zaman HTTPS kullanmalarını söyler. SSL sıyırma saldırılarını önler ve dönen ziyaretçiler için ilk HTTP yönlendirmesini ortadan kaldırır.

Sunucu yapılandırmanıza bu başlığı ekleyin:

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Her şeyin birkaç hafta boyunca düzgün çalıştığını onayladıktan sonra, maksimum koruma için etki alanınızı HSTS Preload List’e göndermeyi düşünün.

HTTPS için Doğru Barındırmayı Seçme

Barındırma ortamınız, HTTPS’yi ne kadar kolay uygulayabileceğiniz ve bakım yapabileceğiniz konusunda kritik bir rol oynar. Farklı ihtiyaçlara uygun AlexHost çözümlerine hızlı bir genel bakış:

• Paylaşılan Web Barındırması: Küçük web siteleri ve bloglar için idealdir. Let’s Encrypt SSL genellikle cPanel aracılığıyla tek tıkla mevcuttur.
• VPS Barındırması: SSL yapılandırması, sunucu yazılımı ve güvenlik başlıkları üzerinde tam kontrol gerektiren büyüyen