Https'ye geçiş ile ilgili sorular

Merhaba,

Https'ye geçiş ile ilgili araştırma yapıyorum ama yine de sormak istediğim sorular var. Cevap verebilirseniz memnun olurum.
Bir sitemde hazır script kullanıyorum. Üyelik sistemi var. Bütün kayıtlar sql veritabanına yazılıyor. Veritabanı içinde 10.000 civarında http:\\ linki var.

1-Hazır script'ten oluşan bir sitenin https'ye geçirilmesinde, eski html kodlarından, scriptin kullandığı eski javascript dosyalarından dolayı sıkıntı olur mu?
Https yapısı; sitedeki eski kodları güvensiz bularak uyarı verir mi? Verirse, çözümü var mı? Çünkü, normalde scriptin kullandığı js dosyalarına benim müdahale etmem söz konusu değil. Ama, js dosyaları içinde geçen http:\\ url'ler varsa, bunları https yapabilirim gerekirse?

2-Veritabanındaki binlerce http:\\ url, htaccess'teki yönlendirmeden dolayı, htpps olarak açılır mı? Yoksa bul-değiştir şeklinde, veritabanındaki bütün http'leri, https'ye çevirmem mi gerekir?

3-SSL kurulumu yapıldıktan sonra, robots.txt, site haritası, google yönetim panelinden sitenin https'li halini eklemek dışında, yapılması gereken birşey var mı?

4-İçinde http:\\ linki bulunan html dosyaları, css, js dosyaları var. Bunların içindeki bütün http'leri, https yapmam gerekiyor mu, yoksa, htaccess bu linkleri https'ye yönlendiriyor mu?

5-İçerik tekrarına düşmemek için,
6-Sitemin m.benimsitem.com şeklinde mobil versiyonu da var. Ama ana site ile aynı veritabanını kullanıyorlar. SSL alırken, mobil uyumlu mu almalıyım? Maliyeti çok yüksek tabii. Mobil uyumlu almasam, mobil sayfalar sorunlu mu olur? Görünümü mü sorunlu olur, yoksa güvenlik açısından mı sorunlu olur?

7-Https'yi bütün sayfalarda kullanmak doğru mu, yani form olmayan sayfaların da https olması yanlış olur mu?

8- https için 443 numaralı https portu kullanılıyormuş, bunu htaccess ile mi yapıyoruz?

Sorularım biraz fazla oldu ama öğrenmek için sormak gerekiyor. Zaman ayırdığınız için teşekkür ederim.

Hepsine cevap vermek isterdim ama kabaca özetlersek
A. Münkün olduğunca site içi bağlantıları https kullanın, JS CSS dahil...
B. Site iç yönlendirmesini HTTPS yapın
C. canonical zorunlu değil
D. https tüm sayfalarda kullanın, mobil ve masaüstü tarayıcılar aynı ssl kullanabilir
E. ssl ve https portu 443'tür ancak 80 kullanılıyor ( https://alanadı:443 şeklinde kullanılmıyor )

Arkadaşlar, bütün sorularım için yardımlarınızı bekliyorum.

1. Eğer http isteklerini etkilemiyorsa css ve js dosya içeriklerini değiştirmenize gerek yok.

2. Yönlendirme linkleri https olarak değiştirmez ancak link çağrıldığında https sayfasına yönlendirilir. Bu yüzden DB deki tüm linkleri https olarak değiştirmeniz gerekir.

3. SSL Sertifikası Kurulumdan Sonra Yapılması Gerekenler makalemizi okuyabilirsiniz.

4. html dosyalarındaki http linkleri https ile değiştirmeniz gerekiyor.

5. Zorunlu değil ancak kullanmanızın bir sakıncası yok.

6. Mobil uyumlu değilse mobil tarayıcılarda güvenlik uyarısı çıkar. EV SSL ya da Wildcard SSL sertifikası gibi daha üst seviye sertifika satın almayı düşünmüyorsanız DV doğrulamalı SSL sertifikaları düşündüğünüz kadar pahalı değiller.

7. Form olmayan sayfalarda http kullanılabilir. Ancak http sayfada, sayfa bilgisine tıkladığınız güvenli değil yazısı yazar. Chrome 62 sürümden itibaren ise gizli sekmede girildiğinde form olsun olmasın güvenli değil uyarısı çıkar.

8. Sizin bir şey yapmanıza gerek yok.

SSL sertifikalarımızdan satın almak isterseniz iletişime geçebilirsiniz.

ben php dilini baz alarak konuşacağım
ilk olarak .htaccess dosyana eğer script PHP ise

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

sonra script olduğuna göre elbet yazan adam urllerin başına url kodunu eklemiştir
foksiyon olarak ekleyip cağırıyorsa fonksiyon dosyandan urlyi güncelle

veyada standart cağırdıysa

zaten yapısı şu şekildedir


/dosya yolu

şeklindedir eğer ki böyle bir yapılanma yoksa üşenmeden yazarsan çok sağlıklı olur

sonra dbden site urllsini http host üzerinden çeken bir değişken varsa zaten en üstte belirttiğim kod ile oda otomatik güncellenektir ancak dbye normel yol üzerinden kayıt edilmişse ordanda site urlsini https ile güncelleyin

son olarak sitede http ile bir uzantı dahi kalsa tarayıcılar kilit yani güvenli simgesi göstermez bunları gözden geçirmenizi tavsiye ederim iyi çalışmalar.

Cevaplarınız için teşekkür ederim...

Takıldığım bazı ayrıntıları da sormak istiyorum.


1- Hazır script kullanıyoruz ve yeni versiyona geçiş gibi bir seçeneğimiz de yok. Yeri geldiğinde, html, php sayfalarda dizayn değişikliği yapıyoruz ama scriptin temel işleyiş mantığına müdahale edemiyoruz. Hazır script bir sitenin https'ye geçmesi, normal bir siteye göre daha sıkıntılı ve zor mudur?

2-www.benimsitem.com m.benimsitem.com için aynı SSL sertifikasını kullanabilmemiz için kesinlikle mobil uyumlu olması gerekiyor diye anlıyorum. Aksi takdirde, mobil cihazlarda uyarı aldıktan sonra, https'ye geçişin bir anlamı kalmaz.

3- mail için phpmailer kullanıyorum. Bunda bir değişiklik yapmak gerekir mi?

4- Eski html versiyonlu sayfalar, bu sayfalarda yer alan eski etiketler,




aynı zamanda eski js dosyalarında bulunan javascript kodları, https'de uyarıya sebep olur mu? 7-8 senelik js dosyalarından söz ediyorum. Şu an hem ana sitede, hem de mobil sitede sorunsuz kullanıyoruz bunları.

Kısaca, şunu demek istiyorum. https'ye geçişte, http url'ler ve bütün http bağlantıları eksiksizce https'ye çevrildiğinde, siteharitası, robots.txt, htaccess yönlendirmesi, google yönetim paneli ayarları vs. hepsi halledildikten sonra, https yapısı; sitedeki eski html versiyonuna sahip sayfalar, eski html etiketleri, eski js kodları ile ilgili uyarı verir mi? Yani, https'ye geçiyorum diye, sitedeki bütün dosyalardaki eski kodları güncellememiz gerekmiyordur, değil mi? Dediğim gibi, şu an mevcut ana sitede ve mobil sitede, bu eski kodlar sorunsuz çalışıyor. Mobil sitede html5 yapısına geçildi. Sadece js dosyaları ana siteyle aynı, onlar da sorun çıkarmıyor.

Zaman ayırdığınız için tekrar teşekkürler.

Mutehassis

1. Dosyalara müdahale edemiyorsanız, dosyalardaki http linkleri https olarak değiştiremezsiniz. Bu da SSL sertifikasının düzgün çalışmasını engeller.

2. www.benimsitem.com ve m.benimsitem.com adreslerini kullanmanız, SSL sertifikasının mobil uyumlu olup olmaması ile ilgili değil. Mobil sitenizi alt alan adında kullandığınız için wildcard ssl sertifikası almalısınız. Wildcard ssl sertifikaları DV sertifikalarına göre biraz daha pahalıdır. Ayrıca wildcard ssl sertifikasını tüm alt alan adlarında kullanabilirsiniz.

3. Gerekmez. Bu sizin SSL sertifikanız ile ilgili değil mail sunucunuzun SSL sertifikası ilgili bir durum.

4.


şeklinde kullanabilirsiniz. http linkleriniz dışındaki kodlarınızı değiştirmeniz gerekmez.

Dosyalara müdahale için izni olan biriyle iletişime geçmeniz gerekir.

Verdiğiniz cevaplar beni oldukça aydınlattı.

1. Dosyalara müdahale edemiyorsanız, dosyalardaki http linkleri https olarak değiştiremezsiniz. Bu da SSL sertifikasının düzgün çalışmasını engeller.

Bir bütün olarak, scriptin genel mantığını değiştiremeyiz demek istemiştim, düzgün ifade edemedim aslında. Dosyalardaki http linklerini değiştirmemizde sıkıntı yok.

2. www.benimsitem.com ve m.benimsitem.com adreslerini kullanmanız, SSL sertifikasının mobil uyumlu olup olmaması ile ilgili değil. Mobil sitenizi alt alan adında kullandığınız için wildcard ssl sertifikası almalısınız. Wildcard ssl sertifikaları DV sertifikalarına göre biraz daha pahalıdır. Ayrıca wildcard ssl sertifikasını tüm alt alan adlarında kullanabilirsiniz.

Alt alan olduğu için wildcard almamız gerektiğini anladım.
Ama, SSL sertifikalarına baktığımızda, wildcard seçeneğinin yanında, mobil uyumluluk seçeneği de var. Wildcard - mobil uyumlu ve wildcard - mobil uyumsuz şeklinde iki ayrı sertifika satılıyor. Buna göre, alt alan mobil site olduğu için, mobil uyumlu wildcard sertifika mı almamız gerekiyor, onu söyleyebilir misiniz? Bir başka ifadeyle, hem anasite, hem de mobil olan alt sitemiz için, mobil uyumlu olup olmadığına bakmadan bir wildcard sertifika alabilir miyiz?

Eski html dosyaları bu şekilde değiştirirsem, sorunsuz kullanabilir miyim?

Mutehassis

Mobil uyumlu olmayan sertifikalar bir çok mobil tarayıcıda çalışır ancak mobil uyumlu olan sertifikaların tarayıcı desteği daha çoktur.

Mobil uyumlu sertifikalardan kasıt sitenizin mobil desteği değil, mobil tarayıcı desteğidir. Siteniz mobil uyumlu olmasa da mobil tarayıcıdan girildiğinde sertifikanız mobil uyumlu değilse yine uyarı alırsınız. Bu yüzden mobil uyumlu sertifika almanız sizin için avantajdır.

Evet doctype etiketini o şekilde kullanabilirsiniz.

Siteniz mobil uyumlu olmasa da mobil tarayıcıdan girildiğinde sertifikanız mobil uyumlu değilse yine uyarı alırsınız.

-Burada demek istediğiniz şu mu? "Siteniz mobil uyumlu olsa da mobil tarayıcıdan girildiğinde sertifikanız mobil uyumlu değilse yine uyarı alırsınız."

-Https için gerekli tüm değişiklikleri ve yönlendirmeleri yaptıktan sonra. Google'ın yeni yapıyı güncellemesi ve indekslemesi ne kadar sürüyor? Yani bu geçiş sürecinde, bulunamayan sayfalar vs. olacaktır herhalde.

-Sitemizde bulunan bazı js dosyaları içinde, http url'leri geçiyor. Bunlar metin editörünün kendi yapısında bulunan url'ler. Bunların http olarak kalacak olması uyarıya sebep olur mu? Aşağıda değişik js dosyalarımızdan alınmış iki ayrı kod örneği bulunuyor.

var TinyMCE_PreviewPlugin = {
getInfo : function() {
return {
longname : 'Preview',
author : 'Moxiecode Systems AB',
authorurl : 'http://tinymce.moxiecode.com',
infourl : 'http://wiki.moxiecode.com/index.php/TinyMCE:Plugins/preview',
version : tinyMCE.majorVersion + "." + tinyMCE.minorVersion
};
},


if(dynamicIFrame){var html=tinyMCE.getParam('doctype')+'