Амният дигар як интихоб нест, балки як курси ҳатмӣ барои ҳар як мутахассиси технологияи интернетӣ аст. HTTP, HTTPS, SSL, TLS - Оё шумо воқеан мефаҳмед, ки дар паси парда чӣ рӯй медиҳад? Дар ин мақола, мо мантиқи асосии протоколҳои муосири муоширати рамзгузоришударо бо тарзи оддӣ ва касбӣ шарҳ медиҳем ва ба шумо дар фаҳмидани асрори "паси қулфҳо" бо истифода аз диаграммаи ҷараёни визуалӣ кӯмак мерасонем.
Чаро HTTP "хатарнок" аст? --- Муқаддима
Оё шумо он огоҳии шиноси браузерро дар хотир доред?
"Пайвасти шумо махфӣ нест."
Вақте ки вебсайт HTTPS-ро истифода намебарад, тамоми маълумоти корбар дар тамоми шабака ба таври матни оддӣ интиқол дода мешавад. Паролҳои вурудӣ, рақамҳои корти бонкӣ ва ҳатто сӯҳбатҳои шахсии шумо метавонанд аз ҷониби як ҳакери хуб ҷойгиршуда сабт карда шаванд. Сабаби аслии ин набудани рамзгузории HTTP аст.
Пас, чӣ гуна HTTPS ва "дарвозабон"-и пушти он, TLS, ба маълумот имкон медиҳанд, ки дар Интернет бехатар интиқол дода шаванд? Биёед онро қабат ба қабат таҳлил кунем.
HTTPS = HTTP + TLS/SSL --- Сохтор ва мафҳумҳои асосӣ
1. HTTPS дар асл чист?
HTTPS (Протоколи интиқоли гиперматнии амн) = HTTP + қабати рамзгузорӣ (TLS/SSL)
○ HTTP: Ин барои интиқоли маълумот масъул аст, аммо мундариҷа дар матни оддӣ намоён аст.
○ TLS/SSL: Барои муоширати HTTP "қуфли рамзгузорӣ"-ро фароҳам меорад ва маълумотро ба муаммое табдил медиҳад, ки танҳо фиристанда ва қабулкунандаи қонунӣ метавонанд онро ҳал кунанд.
Расми 1: Ҷараёни додаҳои HTTP ва HTTPS.
"Қулф" дар сатри суроғаҳои браузер парчами амниятии TLS/SSL аст.
2. Робитаи байни TLS ва SSL чист?
○ SSL (Қабати Сокетҳои Амн): Аввалин протоколи криптографӣ, ки дорои осебпазириҳои ҷиддӣ будааст.
○ TLS (Амнияти қабати интиқол): Ҷорӣкунандаи SSL, TLS 1.2 ва TLS 1.3-и пешрафтатар, ки беҳбудиҳои назаррасро дар амният ва самаранокӣ пешниҳод мекунанд.
Имрӯзҳо, "сертификатҳои SSL" танҳо татбиқи протоколи TLS мебошанд, танҳо васеъкуниҳои номбаршуда.
Амиқ ба TLS: Ҷодуи криптографии паси HTTPS
1. Ҷараёни дастфишорӣ пурра ҳал шудааст
Асоси муоширати амни TLS рақси дастфишорӣ ҳангоми насб аст. Биёед ҷараёни стандартии дастфишории TLS-ро таҳлил кунем:
Расми 2: Ҷараёни маъмулии дастфишории TLS.
1️⃣ Танзимоти пайвасти TCP
Муштарӣ (масалан, браузер) пайвасти TCP-ро ба сервер (порти стандартии 443) оғоз мекунад.
2️⃣ Марҳилаи дастфишории TLS
○ Муштарии салом: Браузер версияи дастгиришавандаи TLS, рамз ва рақами тасодуфиро якҷоя бо Нишондиҳии Номи Сервер (SNI) мефиристад, ки ба сервер мегӯяд, ки ба кадом номи мизбон дастрасӣ дорад (имкон медиҳад, ки мубодилаи IP дар байни сайтҳои гуногун имконпазир гардад).
○ Мушкилоти Сервер Салом ва Сертификат: Сервер версияи мувофиқи TLS ва рамзро интихоб мекунад ва сертификати худро (бо калиди оммавӣ) ва рақамҳои тасодуфӣ бармегардонад.
○ Тасдиқи сертификат: Браузер занҷири сертификати серверро то CA-и боэътимоди реша тафтиш мекунад, то боварӣ ҳосил кунад, ки он қалбакӣ нашудааст.
○ Тавлиди калиди пешмастер: Браузер калиди пешмастерро тавлид мекунад, онро бо калиди оммавии сервер рамзгузорӣ мекунад ва ба сервер мефиристад. Ду тараф калиди сессияро музокира мекунанд: Бо истифода аз рақамҳои тасодуфии ҳарду тараф ва калиди пешмастер, муштарӣ ва сервер ҳамон калиди сессияи рамзгузории симметриро ҳисоб мекунанд.
○ Анҷоми дастфишорӣ: Ҳарду ҷониб ба якдигар паёмҳои "Анҷомёфта" мефиристанд ва ба марҳилаи интиқоли маълумоти рамзгузоришуда ворид мешаванд.
3️⃣ Интиқоли бехатари маълумот
Ҳамаи маълумоти хидматрасонӣ бо калиди сеанси гуфтушунидшуда ба таври симметрӣ рамзгузорӣ карда мешаванд, ҳатто агар дар мобайн боздошта шуда бошад ҳам, он танҳо як даста "рамзи вайроншуда" аст.
4️⃣ Истифодаи такрории сессия
TLS бори дигар Session-ро дастгирӣ мекунад, ки метавонад иҷроишро тавассути имкон додан ба ҳамон як муштарӣ барои гузарондани дастфишории дилгиркунанда ба таври назаррас беҳтар созад.
Рамзгузории асимметрӣ (масалан, RSA) бехатар аст, аммо суст аст. Рамзгузории симметрӣ зуд аст, аммо тақсимоти калид душвор аст. TLS аз стратегияи "дуқадамӣ" истифода мебарад - аввал мубодилаи калидҳои амни асимметрӣ ва сипас схемаи симметрӣ барои рамзгузории самараноки маълумот.
2. Таҳаввулоти алгоритм ва беҳтар кардани амният
RSA ва Диффи-Ҳеллман
○ ҶДР
Он бори аввал ҳангоми дастфишурӣ бо TLS барои тақсимоти бехатари калидҳои сессия васеъ истифода мешуд. Мизоҷ калиди сессияро тавлид мекунад, онро бо калиди оммавии сервер рамзгузорӣ мекунад ва мефиристад, то танҳо сервер онро рамзкушоӣ кунад.
○ Диффи-Ҳеллман (DH/ECDH)
Аз TLS 1.3 сар карда, RSA дигар барои мубодилаи калидҳо истифода намешавад, ба ҷои алгоритмҳои амни DH/ECDH, ки махфияти пешрафтаро (PFS) дастгирӣ мекунанд. Ҳатто агар калиди махфӣ фош шуда бошад ҳам, маълумоти таърихӣ ҳанӯз кушода намешавад.
| Версияи TLS | Алгоритми мубодилаи калидҳо | Амният |
| TLS 1.2 | RSA/DH/ECDH | Баландтар |
| TLS 1.3 | танҳо барои DH/ECDH | Баландтартар |
Маслиҳатҳои амалӣ, ки мутахассисони шабака бояд аз худ кунанд
○ Барои рамзгузории зудтар ва бехатартар, ба TLS 1.3 навсозӣ кунед.
○ Рамзҳои қавӣ (AES-GCM, ChaCha20 ва ғайра)-ро фаъол созед ва алгоритмҳои заиф ва протоколҳои ноамнро (SSLv3, TLS 1.0) ғайрифаъол созед;
○ Барои беҳтар кардани ҳифзи умумии HTTPS, HSTS, OCSP Stapling ва ғайраро танзим кунед;
○ Барои таъмини эътибор ва якпорчагии занҷири эътимод, занҷири сертификатҳоро мунтазам навсозӣ ва аз назар гузаронед.
Хулоса ва андешаҳо: Оё тиҷорати шумо воқеан бехатар аст?
Аз HTTP-и матни оддӣ то HTTPS-и пурра рамзгузоришуда, талаботи амниятӣ дар паси ҳар як навсозии протокол таҳаввул ёфтаанд. TLS ҳамчун пояи муоширати рамзгузоришуда дар шабакаҳои муосир барои мубориза бо муҳити ҳамлаи мураккаб пайваста худро такмил медиҳад.
Оё тиҷорати шумо аллакай аз HTTPS истифода мебарад? Оё конфигуратсияи криптографии шумо бо таҷрибаҳои беҳтарини соҳа мувофиқат мекунад?
Вақти нашр: 22 июли соли 2025
