Drošība vairs nav izvēles iespēja, bet gan obligāts kurss ikvienam interneta tehnoloģiju speciālistam. HTTP, HTTPS, SSL, TLS — vai jūs tiešām saprotat, kas notiek aizkulisēs? Šajā rakstā mēs saprotamā un profesionālā veidā izskaidrosim mūsdienu šifrēto saziņas protokolu pamatloģiku un ar vizuālas blokshēmas palīdzību palīdzēsim jums izprast noslēpumus "aiz slēdzenēm".
Kāpēc HTTP ir "nedrošs"? --- Ievads
Atceries to pazīstamo pārlūkprogrammas brīdinājumu?
"Jūsu savienojums nav privāts."
Kad vietne neizmanto HTTPS, visa lietotāja informācija tīklā tiek pārsūtīta vienkāršā tekstā. Jūsu pieteikšanās paroles, bankas karšu numurus un pat privātās sarunas var notvert labi pozicionēts hakeris. Šīs problēmas pamatcēlonis ir HTTP šifrēšanas trūkums.
Tātad, kā HTTPS un tā "vārtu sargs" TLS ļauj datiem droši pārvietoties internetā? Apskatīsim to sīkāk.
HTTPS = HTTP + TLS/SSL --- Struktūra un pamatjēdzieni
1. Kas būtībā ir HTTPS?
HTTPS (drošs hiperteksta pārsūtīšanas protokols) = HTTP + šifrēšanas slānis (TLS/SSL)
○ HTTP: Tas ir atbildīgs par datu pārsūtīšanu, bet saturs ir redzams vienkāršā tekstā
○ TLS/SSL: Nodrošina HTTP saziņas “šifrēšanas bloķēšanu”, pārvēršot datus mīklā, ko var atrisināt tikai likumīgais sūtītājs un saņēmējs.
1. attēls: HTTP un HTTPS datu plūsma.
“Bloķēde” pārlūkprogrammas adreses joslā ir TLS/SSL drošības karodziņš.
2. Kāda ir saistība starp TLS un SSL?
○ SSL (Secure Sockets Layer): Agrākais kriptogrāfiskais protokols, kuram ir konstatētas nopietnas ievainojamības.
○ TLS (Transport Layer Security): SSL, TLS 1.2 un modernākā TLS 1.3 pēctecis, kas piedāvā ievērojamus drošības un veiktspējas uzlabojumus.
Mūsdienās "SSL sertifikāti" ir vienkārši TLS protokola implementācijas, tikai nosauktas par paplašinājumiem.
Dziļi TLS: kriptogrāfiskā maģija aiz HTTPS
1. Rokasspiediena plūsma ir pilnībā atrisināta
TLS drošas saziņas pamatā ir rokasspiediena deja iestatīšanas laikā. Apskatīsim standarta TLS rokasspiediena plūsmu:
2. attēls: Tipiska TLS rokasspiediena plūsma.
1️⃣ TCP savienojuma iestatīšana
Klients (piemēram, pārlūkprogramma) uzsāk TCP savienojumu ar serveri (standarta ports 443).
2️⃣ TLS rokasspiediena fāze
○ Klienta saziņa: Pārlūkprogramma nosūta atbalstīto TLS versiju, šifru un nejaušu skaitli kopā ar servera nosaukuma indikāciju (SNI), kas norāda serverim, kuram resursdatora nosaukumam tas vēlas piekļūt (ļaujot koplietot IP adresi vairākās vietnēs).
○ Servera saziņa un sertifikāta izdošana: serveris atlasa atbilstošo TLS versiju un šifru un nosūta atpakaļ savu sertifikātu (ar publisko atslēgu) un nejaušus skaitļus.
○ Sertifikāta validācija: pārlūkprogramma pārbauda servera sertifikātu ķēdi līdz pat uzticamajam saknes sertificēšanas izdevējam (CA), lai pārliecinātos, ka tā nav viltota.
○ Premaster atslēgas ģenerēšana: pārlūkprogramma ģenerē premaster atslēgu, šifrē to ar servera publisko atslēgu un nosūta uz serveri. Divas puses vienojas par sesijas atslēgu: izmantojot abu pušu nejaušos skaitļus un premaster atslēgu, klients un serveris aprēķina vienu un to pašu simetriskās šifrēšanas sesijas atslēgu.
○ Rokasspiediena pabeigšana: Abas puses nosūta viena otrai ziņojumus “Pabeigts” un pāriet šifrētas datu pārraides fāzē.
3️⃣ Droša datu pārsūtīšana
Visi pakalpojuma dati tiek simetriski un efektīvi šifrēti ar saskaņoto sesijas atslēgu, pat ja tie tiek pārtverti pa vidu, tie ir tikai "sagrozīta koda" kopums.
4️⃣ Sesijas atkārtota izmantošana
TLS atkal atbalsta sesiju, kas var ievērojami uzlabot veiktspēju, ļaujot tam pašam klientam izlaist garlaicīgo rokasspiedienu.
Asimetriskā šifrēšana (piemēram, RSA) ir droša, bet lēna. Simetriskā šifrēšana ir ātra, bet atslēgu izplatīšana ir apgrūtinoša. TLS izmanto "divpakāpju" stratēģiju — vispirms asimetrisku drošu atslēgu apmaiņu un pēc tam simetrisku shēmu, lai efektīvi šifrētu datus.
2. Algoritmu evolūcija un drošības uzlabošana
RSA un Difī-Helmana metode
○ Dienvidāfrikas Republika
Pirmo reizi tas tika plaši izmantots TLS rokasspiediena laikā, lai droši izplatītu sesijas atslēgas. Klients ģenerē sesijas atslēgu, šifrē to ar servera publisko atslēgu un nosūta tā, lai tikai serveris to varētu atšifrēt.
○ Difijs-Helmanis (DH/ECDH)
Sākot ar TLS 1.3 versiju, RSA vairs netiek izmantota atslēgu apmaiņai, tā vietā izmantojot drošākus DH/ECDH algoritmus, kas atbalsta tiešo slepenību (PFS). Pat ja privātā atslēga tiek nopludināta, vēsturiskos datus joprojām nevar atbloķēt.
| TLS versija | Atslēgu apmaiņas algoritms | Drošība |
| TLS 1.2 | RSA/DH/ECDH | Augstāks |
| TLS 1.3 | tikai DH/ECDH | Augstāk |
Praktiski padomi, kas jāapgūst tīklošanās speciālistiem
○ Prioritāra jaunināšana uz TLS 1.3 ātrākai un drošākai šifrēšanai.
○ Iespējot spēcīgus šifrus (AES-GCM, ChaCha20 utt.) un atspējot vājus algoritmus un nedrošus protokolus (SSLv3, TLS 1.0);
○ Konfigurēt HSTS, OCSP skavošanu u. c., lai uzlabotu vispārējo HTTPS aizsardzību;
○ Regulāri atjaunināt un pārskatīt sertifikātu ķēdi, lai nodrošinātu uzticamības ķēdes derīgumu un integritāti.
Secinājums un pārdomas: Vai jūsu uzņēmums tiešām ir drošs?
No vienkārša teksta HTTP līdz pilnībā šifrētam HTTPS — drošības prasības ir attīstījušās līdz ar katru protokola jauninājumu. Kā šifrētas saziņas stūrakmens mūsdienu tīklos, TLS pastāvīgi tiek pilnveidots, lai tiktu galā ar arvien sarežģītāko uzbrukumu vidi.
Vai jūsu uzņēmums jau izmanto HTTPS? Vai jūsu kriptogrāfijas konfigurācija atbilst nozares labākajai praksei?
Publicēšanas laiks: 2025. gada 22. jūlijs
