Անվտանգությունն այլևս տարբերակ չէ, այլ պարտադիր դասընթաց յուրաքանչյուր ինտերնետային տեխնոլոգիաների մասնագետի համար: HTTP, HTTPS, SSL, TLS - Իսկապե՞ս հասկանում եք, թե ինչ է կատարվում կուլիսներում: Այս հոդվածում մենք կբացատրենք ժամանակակից կոդավորված հաղորդակցման արձանագրությունների հիմնական տրամաբանությունը ոչ պրոֆեսիոնալ ձևով և կօգնենք ձեզ հասկանալ «կողպեքների հետևում» թաքնված գաղտնիքները՝ տեսողական հոսքագիծի միջոցով:
Ինչո՞ւ է HTTP-ն «անապահով»։ --- Ներածություն
Հիշո՞ւմ եք այդ ծանոթ զննարկչի նախազգուշացումը։
«Ձեր կապը գաղտնի չէ»։
Երբ կայքը չի տեղակայում HTTPS, օգտատիրոջ ողջ տեղեկատվությունը ցանցում տարածվում է բաց տեքստով: Ձեր մուտքի գաղտնաբառերը, բանկային քարտերի համարները և նույնիսկ անձնական զրույցները կարող են գրավվել լավ դիրքավորված հաքերի կողմից: Սրա հիմնական պատճառը HTTP-ի կոդավորման բացակայությունն է:
Այսպիսով, ինչպե՞ս է HTTPS-ը և դրա հետևում կանգնած «դարպասապահը»՝ TLS-ը, թույլ տալիս տվյալներին անվտանգ կերպով տեղաշարժվել ինտերնետում: Եկեք այն վերլուծենք շերտ առ շերտ:
HTTPS = HTTP + TLS/SSL --- Կառուցվածք և հիմնական հասկացություններ
1. Ի՞նչ է HTTPS-ը ըստ էության։
HTTPS (Գիպերտեքստի փոխանցման անվտանգ արձանագրություն) = HTTP + կոդավորման շերտ (TLS/SSL)
○ HTTP: Սա պատասխանատու է տվյալների տեղափոխման համար, բայց բովանդակությունը տեսանելի է պարզ տեքստով
○ TLS/SSL: Ապահովում է «գաղտնագրման կողպեք» HTTP հաղորդակցության համար՝ տվյալները վերածելով մի հանելուկի, որը կարող են լուծել միայն օրինական ուղարկողն ու ստացողը։
Նկար 1. HTTP vs HTTPS տվյալների հոսքը։
«Կողպեքը» դիտարկիչի հասցեի տողում TLS/SSL անվտանգության դրոշն է։
2. Ի՞նչ կապ կա TLS-ի և SSL-ի միջև։
○ SSL (Secure Sockets Layer): Ամենահին կրիպտոգրաֆիկ արձանագրությունը, որը, ինչպես պարզվել է, լուրջ խոցելիություններ ունի։
○ TLS (Transport Layer Security): SSL-ի՝ TLS 1.2-ի և ավելի առաջադեմ TLS 1.3-ի իրավահաջորդը, որոնք առաջարկում են անվտանգության և արդյունավետության զգալի բարելավումներ:
Այսօր «SSL վկայականները» պարզապես TLS արձանագրության իրականացումներ են, պարզապես անվանված ընդլայնումներ։
TLS-ի խորքը. HTTPS-ի հետևում թաքնված կրիպտոգրաֆիկ կախարդանքը
1. Ձեռքսեղմման հոսքը լիովին լուծված է
TLS անվտանգ հաղորդակցության հիմքը կարգավորման ժամանակ ձեռքսեղմման պարն է։ Եկեք վերլուծենք TLS-ի ստանդարտ ձեռքսեղմման հոսքը.
Նկար 2. TLS ձեռքսեղմման տիպիկ հոսք։
1️⃣ TCP կապի կարգավորում
Հաճախորդը (օրինակ՝ զննարկիչը) նախաձեռնում է TCP կապ սերվերի հետ (ստանդարտ 443 միացք):
2️⃣ TLS ձեռքսեղմման փուլ
○ Հաճախորդի բարև. Զննարկիչը ուղարկում է աջակցվող TLS տարբերակը, գաղտնագիրը և պատահական համարը՝ սերվերի անվան ցուցման (SNI) հետ միասին, որը սերվերին տեղեկացնում է, թե որ հոսթ անվանը է ցանկանում մուտք գործել (միացնելով IP համօգտագործումը բազմաթիվ կայքերի միջև):
○ Սերվերի բարև և վկայագրի թողարկում. Սերվերն ընտրում է համապատասխան TLS տարբերակը և գաղտնագիրը, ապա հետ է ուղարկում իր վկայագիրը (հանրային բանալիով) և պատահական համարները։
○ Վկայագրի վավերացում. Զննարկիչը ստուգում է սերվերի վկայագրերի շղթան մինչև վստահելի արմատային վկայական կենտրոնը՝ համոզվելու համար, որ այն կեղծված չէ:
○ Նախնական գլխավոր բանալու ստեղծում. Զննարկիչը ստեղծում է նախնական գլխավոր բանալի, կոդավորում է այն սերվերի հանրային բանալիով և ուղարկում սերվերին։ Երկու կողմերը բանակցում են սեսիայի բանալու շուրջ. Օգտագործելով երկու կողմերի պատահական թվերը և նախնական գլխավոր բանալին, հաճախորդը և սերվերը հաշվարկում են նույն սիմետրիկ կոդավորման սեսիայի բանալին։
○ Ձեռքսեղմման ավարտ. Երկու կողմերն էլ միմյանց են ուղարկում «Ավարտված» հաղորդագրություններ և անցնում կոդավորված տվյալների փոխանցման փուլին։
3️⃣ Անվտանգ տվյալների փոխանցում
Բոլոր ծառայությունների տվյալները սիմետրիկորեն կոդավորված են բանակցային սեսիայի բանալիով արդյունավետորեն, նույնիսկ եթե դրանք ընդհատվում են մեջտեղում, դա պարզապես «խեղաթյուրված կոդի» մի կույտ է։
4️⃣ Սեսիայի վերօգտագործում
TLS-ը կրկին աջակցում է Session-ին, որը կարող է զգալիորեն բարելավել կատարողականը՝ թույլ տալով նույն հաճախորդին բաց թողնել ձանձրալի ձեռքսեղմումը։
Ասիմետրիկ կոդավորումը (օրինակ՝ RSA-ն) անվտանգ է, բայց դանդաղ։ Սիմետրիկ կոդավորումը արագ է, բայց բանալիների բաշխումը դժվար է։ TLS-ը օգտագործում է «երկքայլ» ռազմավարություն՝ նախ ասիմետրիկ անվտանգ բանալիների փոխանակում, ապա սիմետրիկ սխեմա՝ տվյալները արդյունավետորեն կոդավորելու համար։
2. Ալգորիթմի զարգացում և անվտանգության բարելավում
RSA և Դիֆի-Հելման
○ ՀԱՀ
Այն առաջին անգամ լայնորեն օգտագործվել է TLS ձեռքսեղմման ժամանակ՝ սեսիայի բանալիները անվտանգ կերպով բաշխելու համար։ Հաճախորդը ստեղծում է սեսիայի բանալի, կոդավորում է այն սերվերի հանրային բանալիով և ուղարկում այն այնպես, որ միայն սերվերը կարողանա այն վերծանել։
○ Դիֆի-Հելման (DH/ECDH)
TLS 1.3 տարբերակից սկսած՝ RSA-ն այլևս չի օգտագործվում բանալիների փոխանակման համար՝ հօգուտ ավելի անվտանգ DH/ECDH ալգորիթմների, որոնք աջակցում են առաջխաղացման գաղտնիությանը (PFS): Նույնիսկ եթե մասնավոր բանալին արտահոսում է, պատմական տվյալները դեռևս չեն կարող բացվել:
| TLS տարբերակ | բանալիների փոխանակման ալգորիթմ | Անվտանգություն |
| TLS 1.2 | RSA/DH/ECDH | Ավելի բարձր |
| TLS 1.3 | միայն DH/ECDH-ի համար | Ավելի բարձր |
Գործնական խորհուրդներ, որոնք ցանցային մասնագետները պետք է տիրապետեն
○ Առաջնահերթ թարմացում մինչև TLS 1.3՝ ավելի արագ և անվտանգ կոդավորման համար։
○ Միացնել ուժեղ գաղտնագրերը (AES-GCM, ChaCha20 և այլն) և անջատել թույլ ալգորիթմներն ու անապահով արձանագրությունները (SSLv3, TLS 1.0):
○ Կարգավորեք HSTS-ը, OCSP Stapling-ը և այլն՝ HTTPS-ի ընդհանուր պաշտպանությունը բարելավելու համար։
○ Պարբերաբար թարմացրեք և վերանայեք վկայագրերի շղթան՝ վստահության շղթայի վավերականությունն ու ամբողջականությունն ապահովելու համար։
Եզրակացություն և մտքեր. Ձեր բիզնեսը իսկապես անվտանգ է՞։
Պարզ տեքստային HTTP-ից մինչև լիովին կոդավորված HTTPS, անվտանգության պահանջները զարգացել են յուրաքանչյուր արձանագրության թարմացման հետ մեկտեղ: Որպես ժամանակակից ցանցերում կոդավորված հաղորդակցության անկյունաքար, TLS-ը անընդհատ կատարելագործվում է՝ ավելի ու ավելի բարդ հարձակման միջավայրին դիմակայելու համար:
Ձեր բիզնեսն արդեն օգտագործո՞ւմ է HTTPS: Ձեր կրիպտո կարգավորումը համապատասխանո՞ւմ է ոլորտի լավագույն փորձին:
Հրապարակման ժամանակը. Հուլիս-22-2025
