HTTPS Only ve ArcGIS Hakkında Bilinmesi Gerekenler

HTTPS nedir?

HTTPS (Hypertext Transfer Protocol Secure), bir istemci (örneğin bir web tarayıcısı) ile sunucu arasında giden ve gelen verilerin güvenli bir şekilde iletilmesini sağlayan iletişim protokolüdür. HTTPS, HTTP/2 ile birlikte kullanıldığında performans iyileşmesi sağlar. HTTP/2, HTTP protokolünün önemli bir revizyonudur. 
Ayrıca HTTPS kullanımı, arama motoru sıralamalarını da olumlu yönde etkiler; bu nedenle kritik uygulamalar için güçlü şekilde önerilmektedir. HTTPS ile tüm veri trafiği şifrelenir ve böylece gizlilik artırılır; ağ trafiğini izleyen bir kişi hassas bilgilere erişemez.
Esri, ArcGIS’in güvenlik düzeyini artırmak için HTTPS kullanımını HSTS (HTTP Strict Transport Security) ile zorunlu hale getirmektedir.

HSTS nedir?

HTTP Strict Transport Security (HSTS), HTTPS web sunucularını downgrade saldırılarına karşı koruyan bir web güvenlik teknolojisidir.

Downgrade saldırıları (SSL stripping saldırıları olarak da bilinir), bir man-in-the-middle saldırı türüdür. Bu saldırıda kötü niyetli bir kişi, düzgün yapılandırılmış HTTPS sunucusu ile web tarayıcısı arasındaki bağlantıyı engelleyerek kullanıcıyı kötü amaçlı bir sunucuya yönlendirir.

ArcGIS bu durumdan nasıl etkilenir?

Esri, bu değişiklikleri kademeli (phased) bir yaklaşım ile uygulamaya almıştır. Esri müşterilerinin bu değişikliğe uyum sağlamak adına bazı adımlar atması gerekmektedir.
Önceden ArcGIS Online üzerinde hem HTTP hem de HTTPS kullanımını yapılandırmak mümkündü. Ancak 8 Aralık 2020 güncellemesi ile birlikte HTTPS Only varsayılanı zorunlu hale getirilmiş ve kullanıcıların HTTP’yi etkinleştirme seçeneği kaldırılmıştır.

Buna karşın ArcGIS Enterprise tarafında, HTTPS/HSTS zorunluluğunun uygulanıp uygulanmayacağı tamamen sistem yöneticisinin yapılandırmasına bağlıdır.
ArcGIS Hub, 8 Eylül 2020 itibarıyla tüm site ve sayfalarda HTTPS Only standardını zorunlu kılacak şekilde güncellenmiştir.
Esri ayrıca World Geocoding Service için 29 Eylül 2020 tarihinde HTTPS Only kullanımını zorunlu hale getirmiştir. Bu önemli güvenlik güncellemesi, bazı ArcGIS yazılımlarını ve özel geliştirilmiş çözümleri etkileyebilmektedir.

HTTPS Only’e Geçişten Etkileniyor Muyum?

ArcGIS Online, HTTPS Yalnızca moduna geçtiğinde aşağıdaki durumlar veya iş akışları sizin operasyonlarınızda geçerliyse etkilenirsiniz:

• Kullanıcılar tarafından ArcGIS Online’a sadece HTTP ile eklenmiş öğeler artık erişilemez olacaktır. Bu durum, kullanıcıların kendi ArcGIS Enterprise sunucusundan barındırdığı tüm öğeleri kapsar. Yeni öğeler artık HTTP üzerinden eklenemeyecektir.

• ArcGIS Online’daki katman referansları HTTP üzerinden eklenmiş harita dokümanları veya paketler (.mxd, .aprx) varsa, bu katman referansları güncellenmelidir.

• HTTP URL referansları kullanan Python scriptleri, ArcGIS Online veri yönetimi veya yedekleme işlemleri için artık çalışmayacaktır. Scriptlerin HTTPS URL kullanacak şekilde güncellenmesi gerekir.

• ArcGIS dışından, HTTP ile eklenmiş linkler aracılığıyla ArcGIS Online’a eklenen öğeler, tarayıcıda mixed-content (karma içerik) hataları nedeniyle erişilemez olacaktır. Buna şunlar dahildir:

  • Öğenin detaylarındaki linkler

  • Açılır pencereler (popups)

• ArcGIS Online paylaşım proxy’si (sharing proxy) üzerinden erişilen web servisleri bu değişiklikten etkilenmeyecektir.

  Peki hangi öğeler ArcGIS Online paylaşım proxy’sini kullanabilir?

  • Kayıtlı kimlik bilgileriyle (stored credentials) ArcGIS Enterprise yapılandırmasından ArcGIS Online’a eklenen veya erişilen güvenli katmanlar veya servisler,

  • CORS (Cross-Origin Resource Sharing) desteği bulunmayan alanlar arası (cross-domain) kaynaklara erişim — örneğin üçüncü taraf OGC servisleri,

  • 2048 karakteri aşan HTTP GET sorguları ile çağrılan servisler.

Ne yapılmalı?

Eğer kuruluşunuz bu değişiklikten etkileniyorsa, kaynaklarınıza erişimin kesintisiz devam edebilmesi için bazı adımlar atmanız gerekmektedir.

Örneğin, ArcGIS Online aboneliğinizi Eylül 2018’den önce edindiyseniz ve aboneliğiniz hâlâ hem HTTP hem de HTTPS bağlantılarına izin verecek şekilde yapılandırılmışsa, aşağıda belirtilen adımları izleyerek HTTPS Only geçişinden önce gerekli güncellemeleri yapmanız önerilir.

Tüm müşterilerin, kuruluş ayarlarını kontrol ederek “HTTPS Only” seçeneğinin etkinleştirildiğinden emin olmaları gerekir.

Örneğin, kuruluş ayarlarında HTTP/HTTPS arasında geçiş yapma seçeneğini göremiyorsanız, aboneliğiniz zaten yalnızca HTTPS bağlantılarını zorunlu kılmaktadır.
Eğer varsa, kuruluşunuzda yalnızca HTTP ile çalışan tüm öğelerin HTTPS adreslerini kullanacak şekilde güncellenmesi gerekir.

Kullanılabilecek araçlar

Yerel araçlar

1. ArcGIS Online veya ArcGIS Enterprise içinde yerleşik olarak bulunan bu araçlar, öğelerinizi HTTPS’e güncellemenize yardımcı olur.

Örneğin, her web haritası içerisinde bulunan Katman Ayarları bölümündeki seçenekleri kullanarak, katman referanslarını HTTPS bağlantılarına güncelleyebilirsiniz.

(Bu işlem adımları aşağıdaki görselde gösterilmektedir.)

“Katmanları HTTPS’e Güncelle (Update Layers to HTTPS)” seçeneği seçildiğinde, araç web haritasında yer alan katmanların HTTPS üzerinden erişilebilir olup olmadığını doğrular ve eğer erişim sağlanabiliyorsa, bu katmanlara yapılan referansları otomatik olarak HTTPS bağlantılarına günceller.

“Katmanları Güncelle (Update Layers)” seçeneği seçildikten sonra, aşağıda gösterildiği şekilde, HTTPS’e yükseltilebilen katmanların yanı sıra HTTPS’e güncellenemeyen katman referanslarını da içeren bir liste görüntülenir.

2. ArcGIS Server Site Referanslarını Güncelle (Update ArcGIS Server Site References) aracı:
GIS sunucusunun FQDN (Fully Qualified Domain Name) bilgisinin değişmesi durumunda referansların güncellenebilmesi için tasarlanmıştır.
Ancak bu araç, aynı zamanda tüm kök FQDN referanslarını toplu olarak HTTPS’e güncellemek amacıyla da kullanılabilir.
Bu araç ayrıca, uzak sunucunun HTTPS bağlantısını destekleyip desteklemediğini doğrular.

Yerleşik olmayan araçlar

Bu araçlar, ArcGIS kuruluşunuzun yönetimi ve doğrulaması konusunda yardımcı olmak amacıyla Esri Yazılım Güvenliği ve Gizlilik (Software Security and Privacy) Ekibi tarafından sağlanmaktadır.

1. ArcGIS Security Advisor, Esri Yazılım Güvenliği ve Gizlilik (Software Security & Privacy) Ekibi tarafından oluşturulmuş bir yerleşik olmayan (non-native) araçtır. Bu araç, ArcGIS güvenlik ayarlarıyla ilgili öneriler sunmak ve loglarınızı incelemek amacıyla kullanılmaktadır.

• • Araç hem ArcGIS Online hem de ArcGIS Enterprise (Portal for ArcGIS) ile çalışır.

  • Not: Araçtaki HTTP denetimi, kuruluşunuzdaki çoğu öğe için yönetici yetkisi gerektirmez.

Sağlanan araçların destek kapsamı nedir?

ArcGIS Security Advisor, Esri Teknik Destek Hizmetleri tarafından doğrudan desteklenmemektedir.

HTTP ile ilgili tanımlama ve düzeltme süreci boyunca, bu araçlara ait yardım dokümanlarını dikkatlice incelemeniz şiddetle önerilir.

Esri Destek Hizmetleri, bu araçlarla ilgili tespit edilen hata (bug) veya iyileştirme (enhancement) taleplerini Yazılım Güvenliği Ekibi’ne iletecektir.

Buna karşılık, ArcGIS Online içinde yerleşik olarak bulunan araçlar, Esri Destek Hizmetleri tarafından tam kapsamlı olarak desteklenmektedir.

Faydalı Bağlantılar

• How can I update layers in my web map or web scene to use HTTPS?
• How can I update layers in a web map that reference my ArcGIS Server layers?
• How can I change the data source URL protocol for my secure service with embedded credentials to HTTPS?
• How can I configure HTTPS on ArcGIS Server?
• How can I update my ArcMap portal connections?
• FAQ: How is the World Geocoding Service affected by HTTPS Only enforcement?
• FAQ: What do I need to know about ArcGIS Hub regarding enforcement of the HTTPS-Only Standard, update to HTML Rules, and legacy site shutoff?
• ArcGIS Trust Center

Blog Yazıları

• ArcGIS Blog: Updating web map layers to use HTTPS
• ArcGIS Blog: Prepare for your next major ArcGIS Online security advancement now