HTTPS ve SEO
Google son zamanlarda güvenlik unsurunu en ön planda tutmakta ve yıl içinde anons ettiği gibi artık Google aramalarında HTTPS kullanımı, SEO tarafında siteyi daha ön plana çıkaran bir nitelik olarak tanımlanmış durumda. Google Webmaster Tools tarafında da bu kıstas tanımlanmış olup sahibi olduğunuz veya çalıştığınız kurumun web sitesinin SSL sertifikası kullanması size avantaj sağlıyor olacak. Şu an için fazla etkisi olmasa da zaman içerisinde SSL kullanan sitelerin SEO tarafında daha fazla puan kazanacağı Google tarafından ayrıca açıklanmıştı.
Google özellikle internet kullanımının daha güvenli hale gelmesi ve paylaşılan önemli bilgilerin korunması amacıyla SSL kullanımını en üst düzeyde tutmaya kararlı bir şekilde sektöre yön veriyor. Bu konuda da uluslararası standartların olabilecek en üst düzeyde kullanılması için devamlı iyileştirmeler yaparak bunları özellikle Chrome kullanıcılarına dolayısıyla sitelere zorunlu hale getiriyor. Bu durumu, üretilen SSL sertifikalarında SHA2 algoritmasının kullanılması yaptırımı ile (SHA1 den SHA2’ye geçiş zorunluluğu) yıl içerisinde görmüş olduk.
SEO açısından sadece SSL kurulması değil bu sertifikanın doğru bir şekilde tüm siteyi içerecek şekilde kullanılması gerekliliği de ön plana çıkan diğer bir kıstas. Tabi bilindiği gibi burada HTTPS ile beraber birçok kıstas söz konusu olup SEO profesyonelleri tarafından bu iyileştirme daha iyi dile getirilip yorumlanabilir.
Ulaşılmaya çalışılan asıl amaç, zaman içerisinde kullanıcıların bilinçli bir şekilde gerçekten doğru siteye bağlandıklarını SSL kullanımının tespitiyle yapabilmelerini sağlamak. Böylece hem SSL kullanan site bilgi güvenliğini sağlamış olacak hem de kullanıcı doğru sitede bulunduğunun bilinciyle güvenli bir şekilde bilgi alışverişinde bulunabilecek.
SEO için HTTPS kullanımı
Web üzerinde güvenli bilgi paylaşımıyla beraber, SEO amaçlı SSL kullanımı için sitenizi HTTP’den HTTPS’e çevirirken aşağıdaki kıstaslar bazında ilerlemeniz özellikle Google tarafından tavsiye edilmektedir;
- İlk önce hangi tür sertifikanın sizin için daha uygun olacağına karar vereceksiniz; DV, OV veya EV SSL. Ayrıca aynı sunucuda barındırdığınız birden fazla sunucu adları için SAN veya Wildcard sertifika türlerini de tercih edebilirsiniz,
- 2048-bit anahtar uzunluğunu tercih edin,
- RSA256 şifreleme kullanan sertifikaları tercih edin,
- Sitenizde barındırdığınız içeriklerle alakalı linklere yer verin,
- Diğer alan adlarınız içinde kullandığınız protokolleri kullanın,
- HTTPS moduna aldığınız sitenizde robots.txt kullanımını engellemeyin,
- Tarayıcıların sitenizi indexlemesine izin verin ve mümkün olduğunca “noindex” komutunu kullanmayın,
- Yapmış olduğunuz değişikliklerin SEO’ya etkisinin takibini mutlaka yapın.
Sertifika Seçimi
SSL sertifika çeşitleri DV, OV ve EV olmak üzere 3 gruba ayrılır.
§ DV SSL: kurumsal doğrulama yapılmadan sadece alan adının doğrulaması yapılarak kısa süre içinde alınabilecek sertifika türüdür. Doğrulama; haiz olunan alan adı üzerine bir dosya koyulmasının teyidi veya aynı alan adına ait jenerik bir e-mail hesabı (admin@, administrator@, webmaster@, hostmaster@ veya postmaster@) aracılığıyla iletişim kurma yoluyla yapılır. Bu sertifika türünde başvuru yapan kurum doğrulanmadığından sertifikada kurum adı yazmaz ve mutlaka DV SSL ibaresi yer alır.
§ OV SSL: kurumsal doğrulama adımlarının her biri onaylanarak bu sertifika verilir. Kurum adı, kurumun faaliyette olup olmadığı, başvuruyu yapan kişinin kurumda çalışıp çalışmadığı, başvurunun kurum tarafından gelip gelmediği, başvuru yapılan alan adının sahipliğinin veya kontrolünün bu kurumda olup olmadığı ve tüm iletişim bilgilerinin doğruluğu tek tek doğrulanır. Kurumsal doğrulama yapılığı için, kullanıcılar tarafından bakılacak olursa, DV sertifikalarından daha güvenilir bir sertifika türüdür.
§ EV SSL: güvenlik düzeyi en yüksek olan ve sertifika sahibi firmanın fiziksel, hukuki ve ticari varlığıyla beraber kapsamlı kurumsal doğrulama süreçleri sonrası verilen sertifikalardır. Kullanıcılar tarayıcı üzerinde EV SSL sertifikası bulunan bir siteye bağlandığı takdirde adres çubuğunda güvenilir site niteliği taşıyan yeşil renkli bir gösterim belirecektir. Bu da kullanıcılar için yüksek güvenlikli bir siteye bağlandıklarının onayıdır. Bu sertifikalar genellikle bankalar, büyük e-ticaret siteleri ve büyük kurumlar tarafından tercih edilmektedir.
Bu üç sertifika türü haricinde aynı sunucu üzerinde birden fazla domain veya alt domainler bulundurulması halinde SAN veya Wildcard opsiyonlu sertifikalar temin edilebilir.
§ SAN opsiyonu: birden fazla sunucunun aynı sertifika içine yazılması ihtiyacınız dahilinde bu sertifika opsiyonu tercih edilebilir. Buradaki en önemli kıstas yazılacak tüm sunucu adlarının aynı kuruma ait olması gerekliliğidir. Ayrıca farklı domainlerdeki sunucu adları da bu sertifika opsiyonuyla aynı sertifika içine yazılabilir.
§ Wildcard opsiyonu: Wildcard SSL ile tek bir alan adı için o alan adının tüm alt alan adlarını kapsayan bir sertifika alınabilir. Bu tür sertifikalarda alan adının başında “*” karakteri konularak, bu alan adının altındaki tüm alt alan adları kapsanmış olur (örneğin “*.domain.com”).
Google yapmış olduğu açıklamalarda, HTTPS bağlantısının önemini vurgularken, SSL kullanımıyla hem bilgi güvenliğinin sağlandığını hem de sitenin sahibi olduğu kurumun kimliğinin doğrulandığını belirtmektedir. Bununla beraber alınacak SSL sertifikaların mutlaka SHA-256 algoritması kullanılarak üretildiğinden emin olunması gerektiğini de belirtmektedir. Keza artık SHA1 algoritmasıyla üretilen sertifikalar birçok tarayıcıda geçersiz olarak kabul edilmektedir.
Sitenizin ve Sunucunun Optimize edilmesi
· Sertifikayı yüklemeden önce sunucunuzda kullanılan yazılımların en güncel halinin kullanıldığına dikkat edin,
· Kullandığınız sistemin güncel güvenlik ve şifreleme protokolleriyle ve uyumlu bir yazılım ve/veya sistem olmasına dikkat edin,
· SSL sertifikasını yükledikten sonra sunucunuz hem HTTP hem de HTTPS bağlantıları için ulaşıma açık olacaktır. SEO açısından doğru olanı yapmak adına HTTP bağlantınızı HTTPS bağlantısı üzerine yönlendirmeniz gerekecektir. Bu bağlamda tüm yapılandırmalarınızı gözden geçirmeniz gerekir. Wordpress gibi servisleri kullanıyorsanız yine bu servisler içinde HTTPS bağlantısına geçtiğinizi kurgulamak durumundasınız. Konu hakkında daha fazla bilgi için aşağıdaki linki ziyaret edebilirsiniz;
https://mozilla.github.io/server-side-tls/ssl-config-generator/
· HSTS (HTTP Strict Transport Security) sitenizdeki SSL bağlantısını hızlandıracak ve tüm iletişimin HTTPS modunda kalmasını sağlayacak bir uygulama olup özellikle tavsiye edilmektedir.
· 301 yönlendirmelerinizi sitenizin HTTPS versiyonuna yapmalısınız,
· SPDY protokolü Google tarafından TLS bağlantılarını hızlandırmak üzere tasarlanmış olan ve birden fazla istemi tek bağlantıya yönlendiren bir modüldür. Bu protokol her sunucuyla uyumlu olmayıp, daha fazla bilgi için aşağıdaki linkten faydalanabilirsiniz;
· OCSP (Online Certificate Status Protocol) sertifikanın iptal edilip edilmediğinin kontrolünü sağlar. Bu yüzden OCSP Stapling kullanan sunucular tarayıcıların ekstradan bu kontrolü yapmasına gerek kalmadan bu kontrol hizmetini kolaylaştırarak sağlamış olurlar.
· Session Tickets kullanımı ile de sunucu ve tarayıcı arasındaki bağlantının hızlı akması sağlanabilir. Eğer kullanıcı tarayıcısıyla halihazırda bu siteyi ziyaret etmiş ise ‘session ticket’ sayesinde tekrar ziyaret sırasında yeniden ‘handshake’ yapılmasına gerek kalmadan bağlantının güvenli olduğu farz edilerek bağlantıya kalınan yerden devam edilir. Bu metodun kullanımının itinayla yapılması gerektiği özellikle belirtilmektedir.
Sitenin ve Sunucunun Test edilmesi
Sunucunuzun protokoller bazında optimize edilmesi sitenizin daha güvenli olmasını sağlayacaktır. Sitenizdeki sertifikanın doğru çalışıp çalışmadığını ve sunucunuzdaki tüm protokollerin kontrolünü aşağıdaki siteden gerçekleştirebilir ve gerekli güncellemeleri yapabilirsiniz;
https://www.ssllabs.com/ssltest/analyze.html
Son olarak ‘Google Webmaster Tool’ u kullanarak SSL kullanımı ile yaptığınız değişiklikleri gözetleyip sitenizin kalan eksiklerini de belirleyebilirsiniz.