Аюулгүй байдал нь одоо сонголт биш, харин интернетийн технологийн мэргэжилтэн бүрийн заавал судлах ёстой хичээл болсон. HTTP, HTTPS, SSL, TLS - Та үнэхээр хөшигний ард юу болж байгааг ойлгож байна уу? Энэ нийтлэлд бид орчин үеийн шифрлэгдсэн харилцаа холбооны протоколуудын үндсэн логикийг энгийн бөгөөд мэргэжлийн аргаар тайлбарлаж, "цоожны ард" нуугдаж буй нууцыг харааны урсгалын диаграмм ашиглан ойлгоход тань туслах болно.
HTTP яагаад "аюулгүй бус" вэ? --- Оршил
Хөтөчийн танил анхааруулгыг санаж байна уу?
"Таны холболт хувийн биш байна."
Вэбсайт HTTPS-г байршуулаагүй тохиолдолд хэрэглэгчийн бүх мэдээлэл сүлжээгээр энгийн текстээр дамждаг. Таны нэвтрэх нууц үг, банкны картын дугаар, тэр ч байтугай хувийн яриаг ч гэсэн сайн байр суурьтай хакер барьж авах боломжтой. Үүний үндсэн шалтгаан нь HTTP-ийн шифрлэлт дутмаг байдал юм.
Тэгэхээр HTTPS болон түүний ард байгаа "хаалгач" TLS нь өгөгдлийг интернетээр аюулгүй дамжуулах боломжийг хэрхэн олгодог вэ? Үүнийг давхаргаар нь задлан шинжилье.
HTTPS = HTTP + TLS/SSL --- Бүтэц ба үндсэн ойлголтууд
1. HTTPS гэж үндсэндээ юу вэ?
HTTPS (Гипертекст дамжуулах протоколын аюулгүй байдал) = HTTP + Шифрлэлтийн давхарга (TLS/SSL)
○ HTTP: Энэ нь өгөгдлийг дамжуулах үүрэгтэй боловч агуулга нь энгийн текстээр харагдана.
○ TLS/SSL: HTTP харилцаанд "шифрлэлтийг түгжих" боломжийг олгож, өгөгдлийг зөвхөн хууль ёсны илгээгч болон хүлээн авагч л шийдэж чадах таавар болгон хувиргадаг.
Зураг 1: HTTP ба HTTPS өгөгдлийн урсгал.
Хөтчийн хаягийн мөрөнд байгаа "түгжих" нь TLS/SSL аюулгүй байдлын туг юм.
2. TLS болон SSL-ийн хооронд ямар хамаарал байдаг вэ?
○ SSL (Аюулгүй Сокетуудын Түвшин): Ноцтой эмзэг байдалтай болох нь тогтоогдсон хамгийн эртний криптографийн протокол.
○ TLS (Тээврийн давхаргын аюулгүй байдал): Аюулгүй байдал болон гүйцэтгэлийг мэдэгдэхүйц сайжруулсан SSL, TLS 1.2 болон илүү дэвшилтэт TLS 1.3-ийн залгамжлагч.
Өнөө үед "SSL гэрчилгээ" гэдэг нь зүгээр л өргөтгөл гэж нэрлэгддэг TLS протоколын хэрэгжилт юм.
TLS-ийн гүн гүнзгий ойлголт: HTTPS-ийн цаана байгаа криптографийн ид шид
1. Гар барих урсгал бүрэн шийдэгдсэн
TLS аюулгүй харилцаа холбооны үндэс нь тохиргооны үед гар барих бүжиг юм. TLS гар барих үйл явцын стандартыг задлан шинжлье:
Зураг 2: Ердийн TLS гар барих урсгал.
1️⃣ TCP холболтын тохиргоо
Клиент (жишээ нь, хөтөч) нь сервертэй TCP холболт эхлүүлдэг (стандарт порт 443).
2️⃣ TLS гар барих үе шат
○ Клиентийн мэндчилгээ: Хөтөч нь дэмжигдсэн TLS хувилбар, шифр болон санамсаргүй тоог Серверийн Нэрийн Заалт (SNI)-тай хамт илгээдэг бөгөөд энэ нь серверт аль хостын нэрэнд хандахыг хүсч байгааг хэлдэг (олон сайтын хооронд IP хуваалцах боломжийг олгодог).
○ Серверийн мэндчилгээ болон гэрчилгээний асуудал: Сервер тохирох TLS хувилбар болон шифрийг сонгоод гэрчилгээ (нийтийн түлхүүртэй) болон санамсаргүй тоонуудыг буцааж илгээнэ.
○ Сертификатын баталгаажуулалт: Хөтөч нь серверийн гэрчилгээний гинжийг итгэмжлэгдсэн үндсэн CA хүртэл нь баталгаажуулж, хуурамчаар үйлдээгүй эсэхийг баталгаажуулдаг.
○ Мастер түлхүүр үүсгэх: Хөтөч нь мастер түлхүүр үүсгэж, серверийн нийтийн түлхүүрээр шифрлээд сервер рүү илгээдэг. Хоёр тал сессийн түлхүүрийг тохиролцдог: Хоёр талын санамсаргүй тоонууд болон мастер түлхүүрийг ашиглан үйлчлүүлэгч болон сервер ижил тэгш хэмтэй шифрлэлтийн сессийн түлхүүрийг тооцоолдог.
○ Гар барих ажиллагаа дуусах: Хоёр тал бие биедээ "Дууссан" гэсэн мессеж илгээж, шифрлэгдсэн өгөгдөл дамжуулах үе шатанд орно.
3️⃣ Аюулгүй өгөгдөл дамжуулах
Бүх үйлчилгээний өгөгдөл нь тохиролцсон сессийн түлхүүрээр үр дүнтэйгээр тэгш хэмтэйгээр шифрлэгддэг бөгөөд дунд нь таслагдсан ч гэсэн энэ нь зүгээр л "гажуудсан код"-ын багц юм.
4️⃣ Сессийн дахин хэрэглээ
TLS нь Session-г дахин дэмждэг бөгөөд энэ нь ижил үйлчлүүлэгчид уйтгартай гар барихыг алгасах боломжийг олгосноор гүйцэтгэлийг ихээхэн сайжруулж чадна.
Асимметрик шифрлэлт (RSA гэх мэт) нь аюулгүй боловч удаан. Симметрик шифрлэлт нь хурдан боловч түлхүүрийн тархалт нь төвөгтэй байдаг. TLS нь өгөгдлийг үр дүнтэй шифрлэхийн тулд эхлээд тэгш бус аюулгүй түлхүүр солилцоо, дараа нь тэгш хэмтэй схемийг ашигладаг "хоёр алхамтай" стратеги ашигладаг.
2. Алгоритмын хөгжил ба аюулгүй байдлын сайжруулалт
RSA болон Диффи-Хеллман
○ RSA
Үүнийг анх TLS гар барих үед сессийн түлхүүрүүдийг аюулгүйгээр түгээхэд өргөнөөр ашигласан. Клиент нь сессийн түлхүүр үүсгэж, серверийн нийтийн түлхүүрээр шифрлээд, зөвхөн сервер л тайлж чадахаар илгээдэг.
○ Диффи-Хеллман (DH/ECDH)
TLS 1.3 хувилбараас эхлэн RSA нь түлхүүр солилцоход ашиглагдахаа больж, урагшлах нууцлалыг (PFS) дэмждэг илүү аюулгүй DH/ECDH алгоритмуудыг сонгосон. Хувийн түлхүүр алдагдсан ч гэсэн түүхэн өгөгдлийг тайлах боломжгүй хэвээр байна.
| TLS хувилбар | Түлхүүр Солилцооны Алгоритм | Аюулгүй байдал |
| TLS 1.2 | RSA/DH/ECDH | Дээд |
| TLS 1.3 | зөвхөн DH/ECDH-д зориулагдсан | Илүү өндөр |
Сүлжээний мэргэжилтнүүдийн эзэмших ёстой практик зөвлөгөө
○ Илүү хурдан бөгөөд илүү аюулгүй шифрлэлтийг авахын тулд TLS 1.3 руу нэн тэргүүнд шинэчлээрэй.
○ Хүчтэй шифрүүдийг (AES-GCM, ChaCha20 гэх мэт) идэвхжүүлж, сул алгоритмууд болон аюулгүй бус протоколуудыг (SSLv3, TLS 1.0) идэвхгүй болгох;
○ HTTPS хамгаалалтыг сайжруулахын тулд HSTS, OCSP Stapling гэх мэтийг тохируулах;
○ Итгэмжлэлийн сүлжээний хүчин төгөлдөр байдал, бүрэн бүтэн байдлыг хангахын тулд гэрчилгээний сүлжээг тогтмол шинэчилж, хянаж байх.
Дүгнэлт ба бодол: Танай бизнес үнэхээр аюулгүй юу?
Энгийн HTTP-ээс эхлээд бүрэн шифрлэгдсэн HTTPS хүртэл аюулгүй байдлын шаардлагууд протоколын шинэчлэлт бүрийн ард хувьсан өөрчлөгдөж ирсэн. Орчин үеийн сүлжээнд шифрлэгдсэн харилцаа холбооны тулгын чулуу болох TLS нь улам бүр төвөгтэй болж буй халдлагын орчинтой тэмцэхийн тулд өөрийгөө байнга сайжруулж байдаг.
Танай бизнес аль хэдийн HTTPS ашигладаг уу? Таны крипто тохиргоо салбарын шилдэг туршлагуудтай нийцэж байна уу?
Нийтэлсэн цаг: 2025 оны 7-р сарын 22
