Bloglara geri dön

HTTP'den HTTPS'e: Web Protokollerinin Evrimi

Yazar: Besh Bilişim Teknolojileri 2 Temmuz 2026
HTTP'den HTTPS'e: Web Protokollerinin Evrimi

Web'in görünmez omurgası, her tıklamanın ve her veri alışverişinin arkasında çalışan protokollerden oluşur. Bu yapının en temel taşı HTTP'dir; tarayıcı ile sunucu arasındaki iletişimin kurallarını belirler. Modern web ise bu temel yapının güvenli sürümü olan HTTPS üzerine kuruludur. Kullanıcı bir sayfayı açtığında, form gönderdiğinde ya da bir API isteği yaptığında aslında bu görünmeyen protokol zinciri çalışır. Bu zincir, internetin hem anlaşılır hem de yönetilebilir olmasını sağlar. Günümüzde güvenlik beklentileri arttıkça, HTTP'den HTTPS'e geçiş bir tercih değil zorunluluk hâline gelmiştir.

HTTP Nedir? Nasıl Çalışır?

HTTP (Hypertext Transfer Protocol), web tarayıcısı ile sunucu arasında veri aktarımını yöneten uygulama katmanı protokolüdür. Bir web sayfası açıldığında tarayıcı bir istek gönderir, sunucu da buna bir yanıt döndürür. Bu yapı request-response modeli olarak bilinir ve web'in en temel çalışma biçimidir. İstek içinde istenen kaynak belirtilir, yanıt içinde ise HTML, görsel, JSON ya da başka içerikler taşınabilir.

HTTP'nin temel özellikleri şunlardır:

  • Uygulama katmanı protokolüdür.
  • Stateless yapıdadır. (sunucu önceki durumu hatırlamaz)
  • Mesaj yapısı: Başlangıç satırı + Header'lar + Gövde.
  • Port 80 üzerinden çalışır.

HTTP, veriyi çoğunlukla plain text olarak iletir. Bu yüzden trafiği görebilen bir kişi, paketlerin içeriğini okuyabilir. Şifreleme olmadığı için kullanıcı adı, parola ya da form verileri ağ üzerinde korunmasız kalabilir. Tam da bu nedenle HTTP, güvenlik açısından modern web için yetersiz kabul edilir.

HTTP Nedir? Nasıl Çalışır?
HTTP Nedir? Nasıl Çalışır?

HTTP Nasıl Çalışır? Adım Adım Süreç

Bir web sayfasının açılması aslında birçok aşamadan oluşan karmaşık bir zincirdir.

DNS Çözümlemesi

Tarayıcı, alan adının IP adresini bulur. Kullanıcı bir adres yazdığında önce bu adın hangi sunucuya karşılık geldiği öğrenilir. Böylece istek doğru hedefe yönlendirilir.

TCP Bağlantısının Kurulması

HTTP/1.1 gibi sürümlerde iletişim çoğunlukla TCP üzerinden yürür. Üç aşamalı el sıkışma olan SYN, SYN/ACK ve ACK adımlarıyla bağlantı açılır. Bu aşama, tarafların konuşmaya hazır olduğunu doğrular.

(HTTPS ise) TLS El Sıkışması

Eğer bağlantı HTTPS ise önce şifreleme parametreleri üzerinde anlaşılır. Tarayıcı ve sunucu güvenli bir kanal kurmak için gerekli bilgileri değiş tokuş eder. Bu olmadan HTTP isteği şifrelenmiş şekilde iletilemez.

HTTP İsteğinin Gönderilmesi

Tarayıcı GET, POST gibi yöntemlerle sunucuya istek yollar. İstenen kaynak URL ile birlikte header bilgileri de iletilir. Bu aşama web'in görünür yüzünde gerçekleşen temel veri alışverişidir.

Sunucunun İsteği İşlemesi

Apache, Nginx gibi sunucu yazılımları isteği alır ve gerekli işlemleri yapar. Gerekirse veritabanı sorgulanır, dosya okunur ya da dinamik içerik üretilir. Ardından uygun yanıt hazırlanır.

Tarayıcının Yanıtı İşlemesi

Sunucudan gelen yanıt tarayıcı tarafından yorumlanır. HTML, CSS, JavaScript ve medya dosyaları bir araya getirilir. Sonuç olarak kullanıcı sayfayı görüntüler.


HTTP'nin Evrimi: Sürüm Geçmişi

I. HTTP/1.0

HTTP/1.0 döneminde her kaynak için çoğu zaman ayrı bir TCP bağlantısı kuruluyordu. Bu durum basit olsa da yüksek gecikme ve ek bağlantı yükü oluşturuyordu. Özellikle bir sayfada çok sayıda görsel ve dosya varsa performans belirgin biçimde düşüyordu.

HTTP/1.0, web'in ilk yıllarında işe yarayan ama ölçek büyüdükçe yavaş kalan bir model sundu. Her yeni istek için bağlantı tekrar kurulduğu için kaynak tüketimi artıyordu. Bu nedenle daha verimli bir sürüme ihtiyaç doğdu.

II. HTTP/1.1

HTTP/1.1, persistent connection yaklaşımıyla bağlantının açık kalmasını sağladı. Böylece aynı TCP oturumu üzerinden birden fazla istek gönderilebilir hâle geldi. Bu, açılış süresini ve bağlantı maliyetini düşürdü.

Bu sürümde pipelining fikri de gündeme geldi, ancak uygulamada her zaman ideal sonuç vermedi. Chunked encoding sayesinde içerik parça parça gönderilebildi ve büyük yanıtlar daha esnek taşınabildi. HTTP/1.1 uzun yıllar internetin ana taşıyıcısı oldu.

III. HTTP/2

  • Binary framing katmanı
  • Multiplexing - tek bağlantıda çoklu istek
  • Header sıkıştırma (HPACK)
  • Server Push özelliği

HTTP/2, metin tabanlı yapıyı daha verimli bir çerçeve modeline dönüştürdü. Tek bağlantı üzerinde birden fazla isteği aynı anda taşıyabildiği için beklemeleri azalttı. Bu sürüm özellikle modern web sayfalarının hızında büyük iyileşme sağladı.

IV. HTTP/3

HTTP/3, QUIC protokolü üzerine kuruludur ve UDP tabanlı çalışır. Bu yapı, TCP'nin bazı sınırlamalarını aşmayı hedefler. Özellikle head-of-line blocking problemine çözüm getirerek tek bir kaynaktaki gecikmenin tüm akışı durdurmasını engeller.

QUIC, bağlantı kurulumunu hızlandırır ve modern ağ koşullarında daha iyi performans sağlar. HTTP/3 ile birlikte güvenlik ve hız aynı anda iyileştirilir. Bu nedenle geleceğin web altyapısında önemli bir rol üstlenir.


Neden HTTP Güvensizdir?

🔄 İçerik Görseli 2: HTTP/1.1 → HTTP/2 → HTTP/3 Karşılaştırma Şeması

HTTP, tüm iletişimi plaintext olarak taşır. Yani ağ trafiğini görebilen bir kişi, veri paketlerinin içeriğini doğrudan okuyabilir. Bu yapı gizlilik açısından ciddi bir zayıflık oluşturur. Ayrıca iletilen verinin yolda değiştirilmesi de mümkündür.

  • Trafik kolayca okunabilir ve izlenebilir
  • MITM (Man-in-the-Middle) saldırılarına açık
  • Form bilgileri ve şifreler çalınabilir
  • Veri manipülasyonu mümkün
  • Kimlik doğrulama yok

Bu durum özellikle e-ticaret ve bankacılık gibi alanlarda kritik risk yaratır. Kullanıcı bilgileri, ödeme detayları ve oturum verileri korunmadan taşınamaz. Güven eksikliği doğrudan dönüşüm kaybına ve marka zararına yol açar. Bu yüzden güvenli protokol kullanımı zorunludur.

photo of outer space
Photo by NASA / Unsplash

HTTPS Nedir? Güvenli Web'in Temeli

HTTPS, HTTP Secure anlamına gelir ve TLS/SSL ile şifrelenmiş HTTP sürümüdür. Temel fark, verinin düz metin yerine güvenli bir kanal üzerinden taşınmasıdır. Bu sayede istemci ile sunucu arasındaki iletişim dışarıdan okunamaz hâle gelir.

HTTPS'in üç temel direği vardır:

  • Gizlilik (Encryption): Veri şifrelenir, okunamaz hale gelir.
  • Bütünlük (Integrity): Veri değiştirilirse fark edilir.
  • Kimlik Doğrulama (Authentication): Sunucu sertifikayla doğrulanır.

HTTPS, sertifikalar aracılığıyla sunucunun gerçekten beklenen sunucu olduğunu kanıtlar. Tarayıcı, sertifika zincirini doğrular ve güvenilir bir CA tarafından imzalanıp imzalanmadığını kontrol eder. Ardından güvenli oturum anahtarları oluşturulur. Böylece veri aktarımı hem gizli hem de doğrulanmış olur.


HTTPS'in Getirdiği Güvenlik Katmanları

  • HSTS (HTTP Strict Transport Security): Tarayıcıya yalnızca HTTPS ile bağlantı kurmasını söyler. Böylece kullanıcı yanlışlıkla güvensiz sürüme yönlendirilmez. Bu, bağlantının zorla güvenli kalmasını sağlar.
  • Certificate Transparency: Sertifikalar kamuya açık kayıt sistemlerinde izlenebilir. Bu sayede kötü niyetli veya sahte sertifikalar daha kolay tespit edilir. Ekosistemde denetlenebilirlik artar.
  • Mixed Content Blocking: HTTPS bir sayfada HTTP içerik yüklenmesini engeller. Bu koruma, sayfanın genel güvenlik seviyesinin düşmesini önler. Aksi durumda tek bir güvensiz kaynak tüm güvenli yapıyı zayıflatabilir.
  • TLS 1.3: Modern şifreleme ve daha kısa el sıkışma ile çalışır. Eski sürümlere göre daha güvenli ve daha hızlıdır. Güncel web güvenliği için tercih edilen standarttır.
  • Perfect Forward Secrecy: Oturum anahtarlarının geçmişteki trafiği korumasını sağlar. Bir anahtar sonradan ele geçirilse bile eski oturumlar açığa çıkmaz. Bu yaklaşım uzun vadeli güvenliği güçlendirir.

HTTP vs HTTPS: Kapsamlı Karşılaştırma

Özellik HTTP HTTPS
Şifreleme Yok TLS/SSL ile var
Port 80 443
Güvenlik Düşük Yüksek
SEO Etkisi Zayıf Avantajlı
Hız Basit yapı Modern sürümlerde daha verimli
Sertifika Gerekmez Gerekir
Veri Bütünlüğü Koruma yok Korunur
Tarayıcı Uyarısı Güvenli değil Güvenli bağlantı
E-ticaret Uygunluğu Uygun değil Uygun
Maliyet Sertifika gerektirmez Sertifika ve yönetim maliyeti vardır

Gerçek Dünyada HTTPS: Performans ve Güvenlik

HTTPS artık isteğe bağlı bir teknoloji değil, modern web'in zorunlu standardıdır. Tarayıcılar güvenli olmayan bağlantıları açıkça işaretler ve kullanıcı güvenini doğrudan etkiler. Arama motorları da güvenli sitelere daha olumlu yaklaşır. Bu nedenle HTTPS hem teknik hem de ticari açıdan değer taşır.

  • Google sıralamalarında avantaj
  • Kullanıcı güveni artışı
  • Veri hırsızlığı önleme
  • Modern tarayıcı uyumluluğu
  • API ve mobil uygulama gereksinimleri

HTTP/2 ve HTTP/3 gibi modern protokoller de pratikte çoğunlukla HTTPS ile kullanılır. Bu protokoller güvenli transport katmanını varsayar ya da ondan güçlü biçimde yararlanır. Böylece performans artarken güvenlik de korunur. Özellikle hız ve gizliliğin birlikte gerektiği sistemlerde HTTPS vazgeçilmezdir.


Olası Güvenlik Zafiyetleri ve Saldırı Türleri

  • MITM Saldırıları: Saldırgan istemci ile sunucu arasına girerek trafiği izler veya değiştirir. Şifreleme yoksa bu saldırı çok daha kolaydır. HTTPS, bu riski sertifika doğrulamasıyla azaltır.
  • SSL Stripping: Kullanıcıyı güvenli bağlantıdan güvensiz bağlantıya düşürmeye çalışan bir saldırıdır. Saldırgan, HTTPS yönlendirmesini engelleyerek HTTP kullanmaya zorlar. HSTS bu saldırıya karşı önemli bir savunmadır.
  • Certificate Spoofing: Sahte bir sertifika ile meşru sunucu taklit edilmeye çalışılır. Tarayıcı doğru doğrulama yapmazsa kullanıcı yanlış sunucuya bağlanabilir. Bu nedenle CA zinciri kontrolü kritik önemdedir.
  • Downgrade Attacks: Saldırgan, daha zayıf şifreleme yöntemlerine düşmeyi zorlar. Eski protokoller ve zayıf cipher suite'ler bu riski artırır. Güncel TLS sürümleri bu tehdidi azaltır.
  • Traffic Analysis: Veri içeriği şifreli olsa bile metaveri üzerinden çıkarım yapılabilir. Hangi sitelerin ne zaman ziyaret edildiği gibi bilgiler tahmin edilebilir. Bu yüzden yalnızca şifreleme değil, yapılandırma da önemlidir.

Doğru yapılandırma yapılmadığında güvenli görünen bir sistem bile zayıf kalabilir. Sertifika yenilemeleri, güçlü TLS sürümleri ve doğru yönlendirmeler bu yüzden kritik önemdedir. Güvenlik, tek bir araçtan değil, bütüncül uygulamadan doğar.


Sonuç: HTTP'den HTTPS'e Zorunlu Göç

Modern web, artık HTTPS üzerine kuruludur. Google ve modern tarayıcılar güvenli olmayan bağlantıları geri plana iterken kullanıcı beklentisi de şifreli iletişim yönünde şekillenmiştir. Güvenlik, performans ve güvenilirlik artık aynı denklemde düşünülmektedir. HTTP/3 ve QUIC gibi gelişmeler de bu evrimi hız ve dayanıklılıkla destekler. Doğru yapılandırılmış bir güvenli kanal, hem kullanıcı hem geliştirici için temel gerekliliktir. Web güvenliği gelişmeye devam ederken, HTTPS bu dönüşümün merkezinde kalacaktır.