Қауіпсіздік енді таңдау емес, әрбір интернет технологиясы маманы үшін міндетті курс. HTTP, HTTPS, SSL, TLS - Сіз шынымен де көрініс артында не болып жатқанын түсінесіз бе? Бұл мақалада біз заманауи шифрланған байланыс хаттамаларының негізгі логикасын қарапайым және кәсіби түрде түсіндіреміз және визуалды блок-схема арқылы «құлыптардың артындағы» құпияларды түсінуге көмектесеміз.
Неліктен HTTP «қауіпсіз емес»? --- Кіріспе
Таныс браузер ескертуі есіңізде ме?
«Сіздің байланысыңыз құпия емес.»
Веб-сайт HTTPS протоколын орнатпағаннан кейін, пайдаланушының барлық ақпараты желі бойынша ашық мәтін түрінде беріледі. Сіздің логин құпия сөздеріңізді, банк карталарының нөмірлерін және тіпті жеке әңгімелеріңізді де жақсы орналастырылған хакер ұстап ала алады. Мұның түпкі себебі - HTTP шифрлауының болмауы.
Сонымен, HTTPS және оның артындағы «қақпашы» TLS деректердің интернет арқылы қауіпсіз тасымалдануына қалай мүмкіндік береді? Оны қабат-қабат талдап көрейік.
HTTPS = HTTP + TLS/SSL --- Құрылымы және негізгі тұжырымдамалары
1. HTTPS дегеніміз не?
HTTPS (Гипермәтінді тасымалдау протоколының қауіпсіздігі) = HTTP + Шифрлау қабаты (TLS/SSL)
○ HTTP: Бұл деректерді тасымалдауға жауапты, бірақ мазмұны ашық мәтінде көрінеді
○ TLS/SSL: HTTP байланысы үшін «шифрлауды құлыптауды» қамтамасыз етеді, деректерді тек заңды жіберуші мен алушы ғана шеше алатын жұмбақтарға айналдырады.
1-сурет: HTTP және HTTPS деректер ағыны.
Браузердің мекенжай жолағындағы «құлыптау» - TLS/SSL қауіпсіздік жалаушасы.
2. TLS және SSL арасындағы байланыс қандай?
○ SSL (Қауіпсіз сокеттер қабаты): елеулі осалдықтары бар екені анықталған ең алғашқы криптографиялық хаттама.
○ TLS (Транспорттық деңгей қауіпсіздігі): SSL, TLS 1.2 және қауіпсіздік пен өнімділікті айтарлықтай жақсартуды ұсынатын жетілдірілген TLS 1.3 ізашары.
Қазіргі уақытта «SSL сертификаттары» жай ғана кеңейтімдер деп аталатын TLS хаттамасының іске асырылуы болып табылады.
TLS-ке терең үңілу: HTTPS артындағы криптографиялық сиқыр
1. Қол алысу ағыны толығымен шешілді
TLS қауіпсіз байланысының негізі - орнату кезіндегі қол алысу биі. TLS қол алысудың стандартты ағынын талдап көрейік:
2-сурет: Әдеттегі TLS қол алысу ағыны.
1️⃣ TCP қосылымын орнату
Клиент (мысалы, браузер) серверге TCP қосылымын бастайды (стандартты порт 443).
2️⃣ TLS қол алысу кезеңі
○ Клиентке сәлемдесу: Браузер қолдау көрсетілетін TLS нұсқасын, шифрды және кездейсоқ санды сервер атауының индикациясымен (SNI) бірге жібереді, ол серверге қай хост атауына қол жеткізгісі келетінін айтады (бірнеше сайттар арасында IP мекенжайын ортақ пайдалануға мүмкіндік береді).
○ Сервердің сәлемдесу және сертификат мәселесі: Сервер тиісті TLS нұсқасы мен шифрын таңдайды және сертификатын (ашық кілтпен) және кездейсоқ сандарды қайтарады.
○ Сертификатты тексеру: Браузер сервер сертификаттарының тізбегін сенімді түбірлік CA-ға дейін тексеріп, оның жалған емес екеніне көз жеткізеді.
○ Алдын ала шебер кілтін генерациялау: Браузер алдын ала шебер кілтін жасайды, оны сервердің ашық кілтімен шифрлайды және серверге жібереді.Екі тарап сессия кілтін келіссөздер жүргізеді: Екі тараптың кездейсоқ сандарын және алдын ала шебер кілтін пайдаланып, клиент пен сервер бірдей симметриялы шифрлау сессия кілтін есептейді.
○ Қол алысуды аяқтау: Екі тарап та бір-біріне «Аяқталды» хабарламаларын жібереді және шифрланған деректерді беру кезеңіне өтеді.
3️⃣ Деректерді қауіпсіз тасымалдау
Барлық қызмет көрсету деректері келісілген сеанс кілтімен симметриялы түрде шифрланған, тіпті ортасында ұсталса да, бұл жай ғана «бұрмаланған код» жиынтығы.
4️⃣ Сессияны қайта пайдалану
TLS қайтадан Session функциясын қолдайды, бұл сол клиентке жалықтыратын қол алысуды өткізіп жіберуге мүмкіндік беру арқылы өнімділікті айтарлықтай жақсарта алады.
Асимметриялық шифрлау (мысалы, RSA) қауіпсіз, бірақ баяу. Симметриялық шифрлау жылдам, бірақ кілттерді тарату қиын. TLS деректерді тиімді шифрлау үшін «екі сатылы» стратегияны қолданады - алдымен асимметриялық қауіпсіз кілт алмасуын, содан кейін симметриялық схеманы.
2. Алгоритмді дамыту және қауіпсіздікті жақсарту
RSA және Диффи-Хеллман
○ RSA
Ол алғаш рет TLS қол алысу кезінде сессия кілттерін қауіпсіз тарату үшін кеңінен қолданылды. Клиент сессия кілтін жасайды, оны сервердің ашық кілтімен шифрлайды және оны тек сервер ғана шифрын аша алатындай етіп жібереді.
○ Диффи-Хеллман (DH/ECDH)
TLS 1.3 нұсқасы бойынша, RSA енді кілт алмасу үшін пайдаланылмайды, оның орнына алға қарай құпиялылықты (PFS) қолдайтын қауіпсіз DH/ECDH алгоритмдері қолданылады. Жеке кілт жария болғанның өзінде, тарихи деректердің құлпын ашу мүмкін емес.
| TLS нұсқасы | кілт алмасу алгоритмі | Қауіпсіздік |
| TLS 1.2 | RSA/DH/ECDH | Жоғары |
| TLS 1.3 | тек DH/ECDH үшін | Жоғарырақ |
Желілік тәжірибешілер меңгеруі керек практикалық кеңестер
○ Жылдамырақ және қауіпсіз шифрлау үшін TLS 1.3 нұсқасына басымдықпен жаңарту.
○ Күшті шифрларды (AES-GCM, ChaCha20 және т.б.) қосу және әлсіз алгоритмдер мен қауіпсіз емес хаттамаларды (SSLv3, TLS 1.0) өшіру;
○ Жалпы HTTPS қорғанысын жақсарту үшін HSTS, OCSP stapling және т.б. конфигурациялаңыз;
○ Сенім тізбегінің жарамдылығы мен тұтастығын қамтамасыз ету үшін сертификат тізбегін үнемі жаңартып, қарап шығыңыз.
Қорытынды және ойлар: Сіздің бизнесіңіз шынымен қауіпсіз бе?
Ашық мәтінді HTTP-ден бастап толық шифрланған HTTPS-ке дейін қауіпсіздік талаптары әрбір хаттаманы жаңартудың артында дамыды. Қазіргі заманғы желілердегі шифрланған байланыстың іргетасы ретінде TLS күрделене түсетін шабуыл ортасына төтеп беру үшін үнемі өзін жетілдіріп отырады.
Сіздің бизнесіңіз HTTPS пайдалана ма? Криптовалюта конфигурацияңыз саланың ең жақсы тәжірибелеріне сәйкес келе ме?
Жарияланған уақыты: 2025 жылғы 22 шілде
