Dijital güvenlik meselesinin önemi gün geçtikçe artarken HTTPS de artık daha fazla konuşuluyor. Çünkü gazeteciler ve yayınlanan haberler açısından dijital güvenlik, hele ki dijital gözetimin arttığı, internet özgürlüğünün kısıtlandığı ve gazetecilik faaliyetlerinin engellendiği bu çağda daha da önemli ve üzerinde durulması gereken bir alan olarak karşımızda duruyor.
Bir taraftan Avrupa’da yoğun olarak tartışılan ve AB Telif Hakkı Yönetmeliği’nin 11 ve 13. maddeleri var. Bu yönetmelikteki “bağlantı vergisi” ve “yükleme filtresi” gibi unsurların sansüre yol açabileceği, gazetecilik pratiğini derinden etkileyebileceği konuşuluyor. Öte yandan, gazetecileri ve haberleri “korumayı” düşünenler. Bunlardan biri, kendisini, kamu yararına gazeteciliği savunan ve güçlendiren, kâr amacı gütmeyen bir kuruluş olarak ifade eden Freedom of the Press Foundation (FPF – Uluslararası Basın Özgürlüğü Vakfı). Bu vakıf SecureTheNews projesi ile gazetecilerin dijital güvenliği ile ilgili yaptığı çalışmalara bir yenisini daha ekliyor.
SecureTheNews projesi, medya kuruluşlarının HTTPS’yi benimsemesi, bunların izlenmesi ve desteklenmesi için oluşturulmuş bir proje. Bu proje, haber sitelerini otomatik bir şekilde gözden geçiriyor, HTTPS uygulayıp uygulamadıklarına göre bir derecelendirme yapılıyor. Bu gözden geçirme her gün yazılım tarafından gerçekleştiriliyor ve kontrol edilen veritabanındaki değişimler derecelendirme sistemine yansıyor. Eğer haber yayını yaptığınız sitenizi güvenli hale getirirseniz bu durum 24 saat içinde aldığınız skora etki ediyor. Bu projenin amaçlarından biri, haber yayını yapan kuruluşlar üzerinde bir baskı mekanizması işlevi görüp haberlerin güvenliğini sağlamak için onları dijital güvenliğin önemli bir ayağı olan HTTPS kullanmaya teşvik etmek.
HTTPS ne işe yarar?
HTTPS’in açılımı “Secure Hypertext Transfer Protocol” yani ‘Güvenli Metin Aktarma İletişim Protokolü’dür. Tıpkı HTTP gibi bir protokoldür ve sunucu ile son kullanıcı arasında güvenli ve şifreli bir iletişim kurulmasını sağlar. HTTP protokolünün asıl görevi, sizi gitmek istediğiniz web sitesine götüren sunucuyla aranızdaki bir köprü olmasıdır. HTTPS ile şifrelenmiş bir siteye girdiğinizde, siteyle sizin aranızdaki iletişimi kimse göremez.
Gazetecilik için düşündüğümüzde, diyelim ki muhalif haber kaynaklarını okuyorsunuz ve bu okuduğunuz haber siteleri HTTP kullanıyor, yani şifrelenmemiş. Bu nedenle girdiğiniz siteleri başkaları da görebilir. Dijital gözetimin ve bu sayede ortaya çıkan fişlemenin olağanüstü boyutlara ulaştığı Türkiye gibi ülkelerde bu durum daha büyük bir risk.
Haber yapan, dava takip eden gazetecilerin de kaynaklarının güvenliği için HTTPS kullanması gerekir. Son zamanlarda internette sahtekârlık ve dolandırıcılık vâkâları (genel olarak “phishing” diyebiliriz) oldukça arttı. HTTPS kullanıcıya bu tür girişimlere karşı da bir koruma sunuyor. Özellikle alışveriş siteleri için ve genel olarak bankacılık işlemi yapacağınız herhangi bir platformda HTTPS hizmeti bulunması şart. Aksi halde sadece okuma geçmişi gibi bilgileriniz değil, kredi kartı numaranız ve şifreniz de çalınabilir. HTTPS kullanmayan sitelerdeki çevrimiçi iletişim formlarına girilen diğer veriler için de bu risk var. Bir gazeteciye ulaşacaksanız ve aynı zamanda iletişimizin mahremiyetinin korunmasını talep ediyorsanız söz konusu sitenin HTTPS kullandığından emin olmalısınız.
HTTPS nasıl çalışır?
HTTPS protokolünün çalışma şekli “sertifika” üzerine kuruludur. Bu sertifikanın ismi SSL’dir, “Secure Socket Layer” olan açılımının Türkçe karşılığı ise ‘Güvenli Giriş Katmanı’dır. SSL’i Netscape firması geliştirilmiştir ve kullanımı tüm dünya üzerinde kabul görmüştür. HTTPS ile bir siteye girmeye çalıştığınız zaman, web sitesinin kullandığı sertifika yazılım tarafından taranır ve kullandığınız tarayıcı (browser) bu sertifikayı tanıdığı ve güvenli bulduğu takdirde web sitesine giriş sağlamış olursunuz. Eğer sertifika tanınmıyorsa tarayıcınız size uyarır ve devam edip etmeme kararı size aittir. Doğru yapılandırılmış bir HTTPS protokolü bize aslında şunları sağlar:
* Gizlilik: Son kullanıcının bağlantısı şifrelenir, meta veriler ve takip amaçlı izinsiz çerezler gizlenir.
* Bütünlük: Web sitesi ve ziyaret eden arasındaki ilişki, üçüncü taraflarca modifiye edilmemiş ve değiştirilmemiştir.
* Gerçeklik ve güvenilirlik: Bir yerlerde bir “man-in-the-middle” (gizlice araya giren kişi) olmadan “gerçek” bir site ile iletişim kurduğunuzu bilirsiniz.
Google’ın da destekleyip önerdiği HTTPS haber sitenizi SEO açısından daha üst sıralara taşıyor. Web’in 2015’te güncellenen protokolü olarak adlandırılan HTTP/2, çok daha hızlı bir hizmet sunuyor ve HTTPS bu güncel protokol için bir gereklilik.
HTTPS nasıl kurulur?
Bir siteye HTTPS kurmak az da olsa maliyet gerektiren bir mesele. Fakat Linux Vakfı tarafından geliştirilen Let’s Encrypt (Haydi Şifreleyelim) projesi bunu ücretsiz olarak sağlıyor. Hosting (barındırma) hizmeti alınan firma da belli ücretler karşılığında size SSL hizmeti sunmakta. Bunun dışında yine dünyada çok fazla kullanılan bir “Cloud Network” (Bulut Ağı) servisi olan Cloudflare de ücretsiz olarak size SSL hizmeti sağlıyor.
Sadece ana sayfa için HTTPS kullanmak maalesef yetmiyor çünkü şifrelenmemiş bağlantıların alt sayfalarda olması durumunda diğer medya elementleri HTTP üzerinden yakalanabilir. Mesela üyelik ile çalışan bazı siteler sadece giriş yapma sayfalarına şifre girildiği için o sayfaları HTTPS olarak düzenlerler ve diğerlerini şifrelemezler. Bundan kaçınılması ve tüm sayfa içeriğinin şifrelenmesi gerekir.
Chris Palmer ve Yan Zhu tarafından yazılan bu makale ile, doğru bir HTTPS kurulumunun temel adımlarını öğrenebilirsiniz. Daha ayrıntılı bilgileri de burada bulmanız ve uygulamanız mümkün. Web sitenizde HTTPS’yi yapılandırdıktan sonra buradan SSL’in sağlamlığını kontrol edebilirsiniz. Bu site aracılığıyla başka sitelerin SSL performanslarını izleyebilir ve aldığı skorlarını da ayrıca görebilirsiniz. Bunun dışında EFF’in ürettiği HTTPS Everywhere isimli eklentiyi her kullanıcının tarayıcısına kurması tavsiye ediliyor. Bu eklenti sizi güvensiz HTTP sitelerinden koruyacaktır.
HTTPS’in basın özgürlüğü ile ne ilgisi var?
Gazetecileri, kaynaklarını ve izleyicilerini korumak için, haber merkezlerinin hassas iletişim ve materyallerinin şifrelenmesi gerekiyor. Kaynakların anonim hale getirilmesi, haberlerin güvenli ve sansüre dayanıklı kanallar aracılığıyla dağıtılması da şart.
Edward Snowden’ın ortaya çıkardığı üzere ABD istihbarat servisi NSA zamanında tüm HTTP siteleri kolaylıkla izleyebiliyordu. Evet, HTTPS tek başına bizi tüm dijital tehditlere karşı koruyamaz ama SecureTheNews gibi projeler bizleri olağan saldırılardan ve gözetimden korunmaya cesaretlendiren işlerdir.
Snowden’ın yönetim kurulu başkanlığını yürüttüğü ve yönetiminde Daniel Ellsberg, Glenn Greenwald, Laura Poitras, John Perry Barlow gibi isimlerin yer aldığı FPF, ABD ve farklı ülkelerde, gözetim, sansür ve manipülasyonun daha sofistike ve daha yaygın hale geldiği bir dünyada, basına dair temel insan haklarını korumayı ve desteklemeyi amaçlıyor. Vakfın bir diğer amacı da, dünya çapında tüm haber kuruluşlarının dijital güvenliğin 21. yüzyılda kritik bir basın özgürlüğü meselesi olduğunun farkına varmasını sağlamak olarak belirtiliyor.
Dijital güvenlik için diğer araçlar
SecureTheNews dışında da bu amaca hizmet eden birçok proje ve araç var. Birkaçını sayalım:
* Açık kaynaklı bir güvenli veri paylaşım platformu olan SecureDrop, insanların gazetecilere anonim bir şekilde bilgi ve belge göndermelerini sağlıyor. Dünyada 60’tan fazla basın kuruluşunun kullandığı SecureDrop, güçlü şifreleme ve sistem mimarisini TOR ağı üzerinde konumlandırıyor.
* The U.S. Press Freedom Tracker ABD’deki basın özgürlüğü ihlâllerini takip edip belgeliyor.
* Haven projesi, telefonunuzdaki kişisel verilerin üçüncü parti yazılımlarla paylaşılmasını engellemek için üretilen ve The Guardian gazetesi tarafından da desteklenen bir Android yazılımı.
* Archive The News, haberlerin kopyalarını alan ve toplumsal hafıza için haberleri koruyan bir proje olarak karşımıza çıkıyor.
* Sunder, açık kaynaklı olarak sunulan bir dijital güvenlik aracı. Parolaları güvenli bir şekilde saklamak ve bölmek için geliştirilen bu uygulama, herhangi bir tehdit durumunda parolaları devretmeye de yarıyor.
* FPF, güvenli mesajlaşma platformu Signal‘e de mali destek veriyor.
Sansürün, sahteciliğin, yalan/sahte haberlerin ve gazeteciliğe olan tüm tehditlerin cirit attığı Türkiye gibi ülkelerde HTTPS protokolünün ve SecureTheNews gibi projelerin yaygınlaşması oldukça önemli. TGS’nin eğitimlerinde, kişisel olarak yaptığım dijital güvenlik ve yeni medyaya dair eğitimlerde, kurucularından olduğum TBİD’in yürüttüğü Dijital Güvenlik ve NewsLabTurkey gibi projelerde bu konularda elimizden geldiğince bilgi aktarımı yapıyoruz. Yüz yüze uygulamalı eğitimlerde insanları önlem almaya davet ediyoruz. Fakat, dijital güvenlik konusunda mutlaka daha kapsayıcı, kolektif ve somut değişiklikler yaratmaya odaklanan projelerin ortaya çıkması gerekiyor. Ancak bu şekilde gazeteciliği ve iletişim özgürlüğünü savunabiliriz.