Giriş
Bu kılavuz, tarayıcı araçlarıyla Ronabet link doğrulama işlemine yönelik pratik adımları açıklar. Amaç, bir bağlantının gerçekten TLS üzerinden korunduğunu, SSL sertifika zincirinin doğru olduğunu, temel HTTP başlıklarının uygun şekilde geldiğini ve URL yapısının beklenen domain ile eşleştiğini nasıl doğrulayacağınızı göstermek. Burada verilen adımlar teknik doğrulama içindir; hukuki veya finansal danışmanlık yerine geçmez.
Hızlı kontrol listesi
- Adres çubuğunda "https://" ve kilit simgesi var mı?
- Sertifika süresi geçerli mi; SAN/CN alanı hedef domaini kapsıyor mu?
- HTTP başlıklarında HSTS, CSP, X-Frame-Options gibi güvenlik başlıkları var mı?
- Set-Cookie başlıklarında Secure, HttpOnly ve uygun SameSite değeri bulunuyor mu?
- Yönlendirme zincirinde beklenmeyen yönlendirmeler veya uzayan zincirler var mı?
Tarayıcıda temel adımlar
Tarayıcılar, bağlantı güvenliği hakkında hızlı bilgiler sağlar. En basit kontrol, adres çubuğunu incelemektir: "https://" ile başlayan ve kilit simgesi gösteren URL'ler, tarayıcı ile sunucu arasında şifrelenmiş bir kanal kurulduğunu gösterir. Kilit simgesine tıklayarak sertifika detaylarına ulaşabilirsiniz.
Chrome ile adım adım
Chrome üzerinde genel bir yol:
- Kilit simgesine tıklayın.
- "Connection is secure" ya da benzeri metne tıklayın, ardından "Certificate is valid" seçeneğini bulun.
- Sertifika penceresinde Subject (CN/SAN), Issuer, geçerlilik tarihleri ve parmak izi bilgilerini kontrol edin.
Ayrıca DevTools > Security sekmesi daha ayrıntılı zincir görüntüleme imkânı sunar. DevTools güvenlik dokümantasyonu: https://developer.chrome.com/docs/devtools/security/
Firefox ile hızlı kontrol
Firefox'ta da kilit simgesine tıklayıp bağlantı bilgilerine ulaşabilir, açılan pencereden sertifika detayını görüntüleyebilirsiniz. Geliştirici araçları hakkında ek bilgi için MDN sayfasını kullanabilirsiniz: https://developer.mozilla.org/en-US/docs/Tools
HTTP başlık kontrolü
Tarayıcı geliştirici araçlarının Network sekmesi, istek ve yanıt başlıklarını gösterir. Aşağıdaki başlıkları özellikle kontrol edin ve eksik veya beklenmeyen değerleri not alın.
- Strict-Transport-Security (HSTS): Siteye sadece HTTPS üzerinden erişim zorunluluğunu bildiren başlık.
- Content-Security-Policy (CSP): Kaynak yükleme politikalarını tanımlar; XSS riskini azaltmaya yardımcı olur.
- X-Frame-Options: Sayfanın iframe içinde gösterilmesini engelleyebilir.
- X-Content-Type-Options: nosniff: MIME tip ayrıştırma saldırılarını azaltır.
- Referrer-Policy: Yönlendiren başlığında hangi seviyede bilgi gönderileceğini belirler.
- Set-Cookie: Çerezlerde Secure, HttpOnly ve SameSite bayraklarının kullanılıp kullanılmadığını gösterir.
Pratik: Network sekmesinden başlık kontrolü
DevTools açın, Network sekmesini seçin, "Preserve log" işaretleyin ve sayfayı yeniden yükleyin. Ana belge isteğini (document / page) seçip Response headers bölümünü okuyun. Başlıklar burada düz metin olarak görünür; gerekiyorsa ekran görüntüsü alın veya bir dosyaya kopyalayın.
Sertifika alanlarının kısa açıklaması
Sertifika detayları birkaç ana bölümden oluşur. Hangi alanların ne anlama geldiğini bilmek, hata ayıklamada işinizi kolaylaştırır:
- Subject (CN / SAN): Sertifikanın hangi alan adlarını kapsadığını gösterir. Modern sertifikalarda SAN (Subject Alternative Name) kullanımı yaygındır.
- Issuer: Sertifikayı veren kuruluş (CA).
- Geçerlilik tarihleri: "Not Before" ve "Not After" alanları sertifikanın kullanım süresini belirtir.
- Seri numarası ve parmak izi: Sertifikayı benzersiz şekilde tanımlar; doğrulama veya raporlama için faydalıdır.
- Signature algorithm ve key size: Kullanılan imza algoritması ve anahtar boyutu; modern güvenlik uygulamaları güçlü imza algoritmalarını tercih eder.
SSL sertifika zinciri ve komut satırı inceleme
Sertifika zincirini komut satırında incelemek için openssl ve curl gibi araçları kullanabilirsiniz. Örnek komutlar:
- openssl s_client -connect ronabet.com:443 -showcerts -servername ronabet.com
- curl -I -L https://ronabet.com
openssl çıktısı, sunucunun sunduğu sertifikaları listelerken, curl ile yanıt başlıklarını ve yönlendirmeleri hızlıca görebilirsiniz. Bu çıktıları bir metin dosyasına kaydederek karşılaştırma yapabilirsiniz.
Revocation kontrolleri
Sertifika iptali (OCSP/CRL) kontrolleri ek bir güvenlik katmanıdır. Tarayıcılar bu kontrolleri kendi yöntemleriyle yapar; bazı durumlarda ek araçlarla açık OCSP sorgusu gerçekleştirmek gerekebilir. OCSP yanıtları ve CRL listeleri, sertifika iptallerini doğrulamanıza yardımcı olur.
URL analiz: yazım, Punycode ve yönlendirmeler
URL'lerdeki küçük farklılıklar yanıltıcı olabilir. Kontrol ederken şu noktalara dikkat edin:
- Alan adının tam yazılışını kontrol edin (harf, tire, farklı alt alan adları).
- IDN / Punycode gösterimleri (xn--) gizli farklı karakterler içerebilir; bunları açığa çıkarmak için tarayıcı adres çubuğundaki metni kopyalayıp düz metin editöründe inceleyin.
- Yönlendirme zincirinde beklenmedik ara adrese veya üçüncü taraf sitelere gönderme var mı diye bakın.
- URL içinde oturum token'ları veya hassas bilgilerin açık taşınmadığından emin olun.
Melez içerik ve tarayıcı uyarıları
Console sekmesi, mixed content uyarıları, CSP ihlalleri ve JavaScript hataları hakkında bilgi verir. HTTPS sayfasında HTTP üzerinden yüklenen kaynaklar tarayıcı tarafından engellenir veya uyarılır; bunun sayfanın işlevselliğini ve güvenliğini nasıl etkilediğini değerlendirin.
Örnek rapor formatı
Bir kontroller raporu hazırlarken aşağıdaki tabloyu temel alabilirsiniz:
| Alan | Değer |
|---|---|
| Kontrol edilen URL | https://ronabet.com/... |
| Son durum kodu | 200 / 301 / 302 |
| Sertifika Issuer | ... |
| Geçerlilik (başlangıç - bitiş) | ... |
| SAN / CN | ... |
| HSTS var mı? | Evet / Hayır |
| CSP var mı? | Evet / Hayır |
| Set-Cookie güvenlik bayrakları | Secure / HttpOnly / SameSite |
| Notlar | Gözlemler ve öneriler |
Yaygın hatalar ve nasıl kaçınılır
- Sertifika süresi veya alan adı eşleşmesini atlamak — her zaman SAN/CN ve tarihleri kontrol edin.
- Yönlendirme zincirlerini göz ardı etmek — ara yönlendirmeler farklı domainlere gidebilir.
- Console uyarılarını görmezden gelmek — mixed content veya CSP hataları işlevselliği etkileyebilir.
- Set-Cookie bayraklarını kontrol etmemek — Secure/HttpOnly/SameSite eksiklikleri risk oluşturabilir.
Pratik kontrol akışı — özet
Çalışma sırasında aşağıdaki akışı kullanın: adres çubuğu kontrolü → DevTools Network ve Security incelemesi → sertifika ayrıntılarını görüntüleme → curl/openssl ile derin kontrol → Console incelemesi → bulguların raporlanması.
Sonuç
Tarayıcı geliştirici araçları, Ronabet link doğrulama benzeri günlük kontroller için hızlı ve güçlü yöntemler sunar. HTTPS ve SSL sertifika zinciri doğrulaması, HTTP başlık kontrolü ve URL analizini sistematik olarak uygulayarak önemli güvenlik göstergelerini değerlendirebilirsiniz. Daha ileri teknik doğrulamalar için openssl, curl veya dış değerlendirme servislerini kullanmayı düşünün.