Fexyn
Fexyn
All posts

HTTPS vs VPN

Fexyn Team··8 min read

HTTPS vs VPN sorusu, neredeyse her sitenin TLS'i olduğu için artık çok soruluyor. Mantık sıkı geliyor: "Tarayıcım kilit gösteriyorsa trafiğim şifreli, neden VPN için ödeyeyim?" Mantık aynı zamanda spesifik bir şekilde eksik ve bu yazı bunu gezecek.

Önce kısa cevap: HTTPS belirli bir web sitesine gönderdiğin şeyin içeriğini şifreler. VPN hangi web sitelerini ne zaman, ne sıklıkla ve nereden ziyaret ettiğinin metadata'sını şifreler. Ağ yığınının farklı katmanlarında otururlar ve farklı türden gözlemcilere karşı korurlar. Tamamlayıcılar, gereksiz değil.

HTTPS neyi korur

https://example.com/private-page'i yüklediğinde TLS tarayıcın ile example.com arasında üç şey yapar:

  1. Sunucuyu kimlik doğrular. TLS handshake gerçek example.com ile konuştuğunu doğrular, taklitçi ile değil.
  2. İçeriği şifreler. Bağlantı içinde gönderilen her şey (URL yolu, başlıklar, gövde, çerezler) şifrelidir. ISP'in sayfa içeriğini okuyamaz. Yerel Wi-Fi'daki kafe-saldırganı da okuyamaz.
  3. Bütünlüğü korur. Bağlantının kriptografik bütünlük kontrolleri var, böylece saldırgan bağlantıyı kırmadan uçuştaki byte'ları sessizce değiştiremez.

Bu çok şey. HTTPS kapsamı gerçekten güçlü. 2026'da açık web'in %95'inden fazlası yalnızca-HTTPS ve modern tarayıcılar az sayıda istisnada gürültülü uyarır.

HTTPS hâlâ neyi sızdırır

"Şifreli içerik" iddiası doğru. "Şifreli her şey" iddiası değil. Tipik bir HTTPS bağlantısından birkaç metadata parçası sızar:

SNI (Server Name Indication)

Tarayıcın bir siteye TLS handshake başlattığında, sunucuya hangi hostname'e bağlanmak istediğini söyler. Bu gerekli çünkü bir IP genelde birçok siteyi barındırır ve sunucunun hangi sertifikayı geri göndereceğini bilmesi gerek. Hostname handshake'in başında açıkça gönderilir.

Ağı izleyen herkes hostname'i görür. ISP'in nytimes.com'a bağlandığını bilir, hangi makaleyi okuduğunu okuyamasa bile. Havaalanındaki ağ operatörün de aynı şeyi görür.

Encrypted Client Hello (ECH) bunun için süren bir düzeltme. Cloudflare, Google ve Mozilla destekliyor. Web'in çoğu henüz desteklemiyor. 2026'da SNI ziyaret ettiğin sitelerin büyük çoğunluğu için düz metin.

DNS sorguları

Tarayıcın nytimes.com'a bağlanmadan önce, ismi IP'ye çözmesi gerekir. Varsayılan olarak bu sorgu ISP'inin DNS sunucusuna düz metin olarak gider. ISP'in SNI olmadan bile çözülmüş hostname'i görür.

DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) bunu yapılandıran kullanıcılar için düzeltir. Firefox bazı bölgelerde varsayılan olarak DoH yapar. Çoğu platformdaki çoğu kullanıcı hâlâ düz metin DNS kullanır. Başarısızlık modlarını gezen DNS sızıntıları konumu nasıl açığa çıkarır üzerine daha derin bir yazımız var.

Hedef IP

SNI şifreli ve DNS özel olsa bile hedef IP adresi açık. Olmak zorunda: yol boyunca yönlendiriciler paketleri yönlendirmek için kullanır. IP-domain eşlemesi yapan gözlemci (basit; rDNS, Censys, Shodan, hatta sadece tarayıcı çalıştırma) genelde hangi siteyi ziyaret ettiğini IP'den anlayabilir, özellikle adanmış altyapıdaki siteler için.

İstisna bir IP'nin binlerce domain'e hizmet ettiği büyük CDN-barındırılan siteler (Cloudflare anycast adresleri, AWS CloudFront edge node'ları). O durumda IP tek başına bilgilendirici değil. SNI genelde boşluğu doldurur.

Trafik şekli

Yukarıdakilerin hepsi mükemmel şifreli olsa bile, gözlemci paket boyutlarını, paket zamanlamasını ve bağlantı paternlerini izleyerek aktivite türünü fingerprint edebilir. Yayın videonun tanınabilir patlama-ve-sessiz paterni var. Video aramaları karakteristik hızlarda sürekli iki yönlü akış var. Tipik web sayfası yüklemesi küçük isteklerin akabinde büyük indirme. Sofistike trafik analizi spesifik siteleri ve hatta spesifik videoları bu fingerprint'ten tanımlayabilir, özellikle önbelleğe alınabilir içerikli yüksek-trafikli hedefler için.

Bu tür analiz pratikte bireysel kullanıcılar için nadir, devlet seviyesi düşmanlar için yaygın. Var olduğunu bilmeye değer.

Bağlantı metadata'sı

Bağlantı zamanı, süresi ve byte sayıları hepsi ağa görünür. ISP'in saat 21:47'de bir şeye bağlandığını ve 23 dakika bağlı kaldığını ve 47 MB transfer ettiğini bilir. Diğer her şey gizli olsa bile bağlantının varlığı ve paterni metadata'dır.

VPN neyi korur

VPN tüneli cihaz ile VPN sunucusu arasındaki tüm ağ bağlantını şifreler. ISP'in, yerel Wi-Fi operatörü, captive portal ve sen ile VPN sunucusu arasındaki yolu izleyen herkes sadece VPN sağlayıcısının IP'sine akan şifreli byte'lar görür.

Bu, ISP'inin bakış açısından, demek:

  • Bir bağlantı görürler, VPN sunucusunun IP'sine.
  • Ziyaret ettiğin hiçbir sitenin SNI'sini okuyamazlar, çünkü tüm SNI verisi şifreli tünelin içinde.
  • DNS sorgularını okuyamazlar, çünkü DNS tünel içinde olur ve VPN sağlayıcısının resolver'ı üzerinden çözer.
  • Aksi takdirde göreceği site başına şekil yerine bir büyük toplu bağlantının (gezinme, yayın, aramalar, hepsi aynı tünelin içinde çoklanmış) trafik şeklini görürler.

Hâlâ gördükleri: VPN bağlantın olduğunu, VPN sunucusunun IP'sini, bağlandığın zamanı, süreyi ve toplam byte'ları. VPN bağlantın hakkındaki metadata görünür. İçinde ne yaptığın hakkındaki metadata değil.

Güven kayması

VPN gözlemci sorununu ortadan kaldırmaz. Güven sınırını taşır.

VPN'den önce ISP'in her şeyi görür: IP-seviyesi hedefleri, SNI, DNS, trafik paternleri. VPN'den sonra ISP'in yararlı bir şey görmez ama VPN sağlayıcı eskiden ISP'in gördüğünü görür. VPN sağlayıcı gizlilik amaçlı yeni ISP olur.

Bunun gizlilik iyileştirmesi olup olmadığı tamamen VPN sağlayıcına ISP'inden daha fazla güvenip güvenmediğine bağlı. Ödemeli VPN sağlayıcısına tipik ISP'den daha fazla güvenmek için sebepler:

  • VPN'in iş modeli gizlilik. Loglarken veya veri satarken yakalanırlarsa müşteriler ayrılır. ISP'in iş modeli bağlanılabilirlik, sıkça reklam hedeflemesi ve veri satışlarıyla sübvanse edilmiş.
  • Saygın VPN'lerin gizliliğe-dost yargı yetkileri, denetlenmiş no-logs iddiaları ve net politikaları var. Çoğu ISP'in yok.
  • VPN'lerin bağlantı verisi tutmak için düzenleyici emir yok. Çoğu ISP'in var (BK, Avustralya, AB'nin bazı kısımları).

Dikkatli olmak için sebepler:

  • VPN sağlayıcı prensipte her şeyi loglayabilir. Gizlilik kazancı dürüstlüklerine ve operasyonel yetkinliklerine bağlı.
  • Özellikle bedava VPN'lerin sıkça kullanıcı verisini para eden iş modelleri var. Bedava VPN genelde büyük ISP'e göre gizlilik düşüşü.
  • Denetlenmiş iddialar yaşlanır. Üç yıl önce temiz olan sağlayıcı sahiplik, altyapı veya personel değiştirmiş olabilir.

Özellikle bizim için: no-logs iddialarımızın bağımsız üçüncü taraf denetimi henüz yok. 2026'da birine taahhüt ettik ve sonuçları tam olarak yayımlayacağız. O zamana kadar bize güvenmeni isteyen denetlenmemiş bir sağlayıcıyız ve bunun gerçek sınırlama olduğunu kabul ediyoruz. Henüz denetlenmemiş herhangi bir sağlayıcıya aynı şüpheyle yaklaş.

HTTPS tek başına ne zaman yeterli

Dürüst görüş: çoğu kullanıcı için çoğu durumda HTTPS tek başına gerçekten önemsedikleri şeyi kapsar.

Güvendiğin ISP'inde evdesin, ISP verisini agresif olarak saklamayan veya para etmeyen bir ülkede ve ISP'inin ziyaret ettiğin domainleri bilmesini özellikle umursamıyorsan, HTTPS tehdit modelini yönetir. VPN kişisel olarak değer vermediğin gizliliği para ve küçük hız ek yükü karşılığında ekler.

VPN için dürüst durum aşağıdakilerden biri doğru olduğunda:

  • Kontrol etmediğin veya güvenmediğin ağdasın (otel, kafe, havaalanı, konferans).
  • ISP'in bağlantı verisini saklayan veya satan bir yargı yetkisinde.
  • Gerçek IP'inle ilişkilendirilmesini istemediğin spesifik bir hedefin var.
  • Gerçek konumundan geo-bloklanan içeriğe erişmek istiyorsun.
  • İnternetin parçalarını filtreleyen veya bloklayan bir ülkedesin.

Bunların hiçbiri uygulanmıyorsa, HTTPS tek başına makul. VPN'e gerçekten ihtiyacım var mı yazımız bu soruyu daha dikkatlice geziyor.

HTTPS artı VPN ne zaman önemli

İkisi birlikte hiçbirinin tek başına kapsamadığı şeyleri kapsar:

  • HTTPS sayfa içeriğini herkesten korur, VPN sağlayıcı dahil.
  • VPN hangi sayfaları yüklediğin metadata'sını ISP'inden korur.
  • HTTPS gerçek siteyle konuştuğunu kimlik doğrular, sahte değil.
  • VPN, şifreli içeriği okuyamasa da SNI, DNS ve trafik şeklini görecek kötü amaçlı yerel ağ saldırganına karşı korur.

Birlikte kullanıldığında geriye kalan tek anlamlı gözlemci hedef site (isteği gördüğünden istek hedef siteye gelir) ve VPN sağlayıcı (sunucusundan akan şifreli-hedefe-byte'ları görür ama HTTPS katmanının içini okuyamaz).

Pratik çıkarımlar

  • HTTPS ağ gizliliği için gerekli, yeterli değil.
  • VPN HTTPS'in yerini almaz. Farklı katmanlarda farklı şeyleri korurlar.
  • "HTTPS'im var, VPN'e ihtiyacım yok" çerçevelemesi korunmaya değer tek şeyin sayfa içeriği olduğunu varsayar. Metadata kendi gizlilik endişesi.
  • "VPN her şeyi korur" çerçevelemesi de yanlış. VPN güvenini sağlayıcıya taşır; hedefin zaten göreceği içeriği sihirli şekilde şifrelemez.

ISP'in VPN olmadan gerçekte ne görebileceği hakkında daha derin bir görüş istiyorsan VPN olmadan ISP'in ne gördüğü hakkında bir parçamız var. Daha geniş gizlilik resmi için VPN mitleri çürütüldü en yaygın yanlış anlamaları tek yerde kapsar.

İki teknoloji yığında katmanlar, rakipler değil. İkisini de çalıştır.

HTTPS vs VPN | Fexyn VPN