ደህንነት ከእንግዲህ አማራጭ አይደለም፣ ነገር ግን ለእያንዳንዱ የኢንተርኔት ቴክኖሎጂ ባለሙያ የሚያስፈልግ ኮርስ ነው። HTTP፣ HTTPS፣ SSL፣ TLS - ከትዕይንቱ በስተጀርባ ምን እየተከናወነ እንዳለ በትክክል ተረድተዋል? በዚህ ጽሑፍ ውስጥ፣ የዘመናዊ ኢንክሪፕትድ የመገናኛ ፕሮቶኮሎችን ዋና አመክንዮ በተራ ሰው እና በሙያዊ መንገድ እናብራራለን፣ እና "ከመቆለፊያዎቹ በስተጀርባ" ያሉትን ምስጢሮች በእይታ ፍሰት ገበታ እንዲረዱ እንረዳዎታለን።
ኤችቲቲፒ "ደህንነቱ ያልተጠበቀ" የሆነው ለምንድን ነው? --- መግቢያ
ያንን የታወቀ የአሳሽ ማስጠንቀቂያ ታስታውሳለህ?
"ግንኙነትህ የግል አይደለም።"
አንድ ድር ጣቢያ HTTPSን ካላሰማራ፣ የተጠቃሚው መረጃ በሙሉ በኔትወርኩ ላይ በቀላል ጽሑፍ ይገለበጣል። የመግቢያ የይለፍ ቃላትዎ፣ የባንክ ካርድ ቁጥሮችዎ እና የግል ውይይቶችዎ እንኳን በጥሩ ሁኔታ በተያዘ ጠላፊ ሊያዙ ይችላሉ። የዚህ ዋና ምክንያት የኤችቲቲፒ ምስጠራ እጥረት ነው።
ታዲያ HTTPS እና ከኋላው ያለው "በር ጠባቂ" የሆነው TLS፣ ውሂብ በኢንተርኔት ላይ ደህንነቱ በተጠበቀ ሁኔታ እንዲጓዝ እንዴት ይፈቅዳሉ? በደረጃ በደረጃ እንከፋፍለው።
HTTPS = HTTP + TLS/SSL --- መዋቅር እና ዋና ፅንሰ ሀሳቦች
1. HTTPS በመሠረቱ ምንድን ነው?
HTTPS (HyperText Transfer Protocol Secure) = HTTP + የኢንክሪፕሽን ንብርብር (TLS/SSL)
○ ኤችቲቲፒ፡ ይህ መረጃውን ለማጓጓዝ ኃላፊነት አለበት፣ ነገር ግን ይዘቱ በቀላል ጽሑፍ ውስጥ ይታያል
○ TLS/SSL፡ ለኤችቲቲፒ ግንኙነት "በኢንክሪፕሽን ላይ መቆለፊያ" ይሰጣል፣ ይህም ውሂቡን ህጋዊ ላኪ እና ተቀባዩ ብቻ ሊፈታው ወደሚችለው እንቆቅልሽ ይቀይረዋል።
ምስል 1፡ የኤችቲቲፒ እና የኤችቲቲፒኤስ የውሂብ ፍሰት።
በአሳሽ አድራሻ አሞሌው ውስጥ "ቆልፍ" የTLS/SSL የደህንነት ባንዲራ ነው።
2. በTLS እና SSL መካከል ያለው ግንኙነት ምንድን ነው?
○ SSL (Secure Sockets Layer): ከባድ ተጋላጭነቶች እንዳሉት የተረጋገጠው የመጀመሪያው የክሪፕቶግራፊክ ፕሮቶኮል።
○ TLS (የትራንስፖርት ንብርብር ደህንነት): የSSL፣ TLS 1.2 እና የላቁ TLS 1.3 ተተኪ፣ እነዚህም በደህንነት እና በአፈጻጸም ላይ ጉልህ ማሻሻያዎችን ያቀርባሉ።
በአሁኑ ጊዜ፣ "የSSL ሰርተፊኬቶች" የTLS ፕሮቶኮል አተገባበሮች ብቻ ናቸው፣ ቅጥያዎች ብቻ ተብለው የተሰየሙ።
ወደ TLS በጥልቀት እንግባ፦ ከHTTPS ጀርባ ያለው ክሪፕቶግራፊክ አስማት
1. የእጅ መጨባበጥ ፍሰት ሙሉ በሙሉ ተፈትቷል
የTLS ደህንነቱ የተጠበቀ ግንኙነት መሠረት በማዋቀር ጊዜ የሚደረግ የእጅ ጭብጨባ ዳንስ ነው። ደረጃውን የጠበቀ የTLS የእጅ ጭብጨባ ፍሰትን እንከፋፍል፡
ምስል 2፡ የተለመደ የTLS የእጅ መጨባበጥ ፍሰት።
1️⃣ የTCP ግንኙነት ማዋቀር
ደንበኛ (ለምሳሌ፣ አሳሽ) ከአገልጋዩ ጋር የቲሲፒ ግንኙነት (መደበኛ ወደብ 443) ይጀምራል።
2️⃣ የTLS የእጅ መጨባበጥ ደረጃ
○ ደንበኛ ሰላም፡ አሳሹ የሚደገፈውን የTLS ስሪት፣ ሚስጥራዊ ኮድ እና የዘፈቀደ ቁጥር ከአገልጋይ ስም አመላካች (SNI) ጋር ይልካል፣ ይህም አገልጋዩ የትኛውን የአስተናጋጅ ስም መድረስ እንደሚፈልግ ይነግረዋል (በብዙ ጣቢያዎች ላይ የአይፒ ማጋራትን ማንቃት)።
○ የአገልጋይ ሰላም እና የምስክር ወረቀት ችግር፡ አገልጋዩ ተገቢውን የTLS ስሪት እና ሚስጥራዊ ኮድ ይመርጣል፣ እና የምስክር ወረቀቱን (ከህዝብ ቁልፍ ጋር) እና የዘፈቀደ ቁጥሮችን ይልካል።
○ የምስክር ወረቀት ማረጋገጫ፡ አሳሹ የአገልጋይ ሰርተፊኬት ሰንሰለትን እስከ ታማኝ የስርወ- ...
○ የቅድመ-ማስተር ቁልፍ ማመንጨት፡ አሳሹ የቅድመ-ማስተር ቁልፍ ይፈጥራል፣ በአገልጋዩ የህዝብ ቁልፍ ያመሰጥረዋል፣ እና ወደ አገልጋዩ ይልካል። ሁለት ወገኖች የክፍለ-ጊዜ ቁልፍን ይደራደራሉ፡ የሁለቱም ወገኖች የዘፈቀደ ቁጥሮችን እና የቅድመ-ማስተር ቁልፉን በመጠቀም ደንበኛው እና አገልጋዩ ተመሳሳይ የሆነ የሲሜትሪ ምስጠራ ክፍለ-ጊዜ ቁልፍ ያሰላሉ።
○ የእጅ መጨባበጥ ማጠናቀቅ፡ ሁለቱም ወገኖች "የተጠናቀቁ" መልዕክቶችን እርስ በእርሳቸው ይልካሉ እና የተመሰጠሩትን የውሂብ ማስተላለፊያ ምዕራፍ ውስጥ ይገባሉ።
3️⃣ ደህንነቱ የተጠበቀ የውሂብ ዝውውር
ሁሉም የአገልግሎት መረጃዎች በተደራደረው የክፍለ ጊዜ ቁልፍ በተመጣጣኝ ሁኔታ የተመሰጠሩ ናቸው፣ በመሃል ላይ ቢጠለፉም እንኳ፣ "የተዛባ ኮድ" ብቻ ነው።
4️⃣ የክፍለ ጊዜ መልሶ ጥቅም ላይ ማዋል
TLS እንደገና ሴሽንን ይደግፋል፣ ይህም ተመሳሳይ ደንበኛ አድካሚውን የእጅ መጨባበጥ እንዲያልፍ በመፍቀድ አፈጻጸምን በእጅጉ ሊያሻሽል ይችላል።
ያልተመጣጠነ ምስጠራ (እንደ RSA ያሉ) ደህንነቱ የተጠበቀ ቢሆንም ቀርፋፋ ነው። ሲሜትሪክ ምስጠራ ፈጣን ነው ነገር ግን የቁልፍ ስርጭቱ አስቸጋሪ ነው። TLS "ባለ ሁለት ደረጃ" ስትራቴጂን ይጠቀማል - በመጀመሪያ ያልተመጣጠነ ደህንነቱ የተጠበቀ የቁልፍ ልውውጥ እና ከዚያም ውሂቡን በብቃት ለማመስጠር ሲሜትሪክ እቅድ።
2. የአልጎሪዝም ዝግመተ ለውጥ እና የደህንነት ማሻሻያ
RSA እና Diffie-Hellman
○ RSA
ለመጀመሪያ ጊዜ በTLS የእጅ መጨባበጥ ወቅት የክፍለ ጊዜ ቁልፎችን ደህንነቱ በተጠበቀ ሁኔታ ለማሰራጨት በስፋት ጥቅም ላይ ውሏል። ደንበኛው የክፍለ ጊዜ ቁልፍ ያመነጫል፣ በአገልጋዩ ይፋዊ ቁልፍ ያመሰጥረዋል፣ እና አገልጋዩ ብቻ ዲክሪፕት ማድረግ እንዲችል ይልከዋል።
○ ዲፊ-ሄልማን (DH/ECDH)
ከTLS 1.3 ጀምሮ፣ RSA ለቀጣይ ሚስጥራዊነት (PFS) የሚደግፉ ይበልጥ ደህንነታቸው የተጠበቀ የDH/ECDH ስልተ ቀመሮችን በመደገፍ ለቁልፍ ልውውጥ ጥቅም ላይ አይውልም። የግል ቁልፉ ቢፈስም እንኳ ታሪካዊ መረጃው አሁንም ሊከፈት አይችልም።
| የቲኤልኤስ ስሪት | የቁልፍ ልውውጥ አልጎሪዝም | ደህንነት |
| ቲኤልኤስ 1.2 | RSA/DH/ECDH | ከፍ ያለ |
| ቲኤልኤስ 1.3 | ለDH/ECDH ብቻ | የበለጠ ከፍ ያለ |
የኔትወርክ ባለሙያዎች ሊያውቁት የሚገባ ተግባራዊ ምክር
○ ለፈጣን እና ደህንነቱ የተጠበቀ ምስጠራን ለማግኘት ወደ TLS 1.3 ቅድሚያ ማሻሻል።
○ ጠንካራ ሚስጥራዊ ፋይሎችን (AES-GCM፣ ChaCha20፣ ወዘተ) ያንቁ እና ደካማ ስልተ ቀመሮችን እና ደህንነታቸው ያልተጠበቁ ፕሮቶኮሎችን (SSLv3፣ TLS 1.0) ያሰናክሉ፤
○ አጠቃላይ የኤችቲቲፒኤስ ጥበቃን ለማሻሻል HSTS፣ OCSP Stapling፣ ወዘተ. ያዋቅሩ፤
○ የታማኝነት ሰንሰለቱን ትክክለኛነት እና ታማኝነት ለማረጋገጥ የምስክር ወረቀቱን በየጊዜው ማዘመን እና መገምገም።
መደምደሚያ እና ሀሳቦች፡ ንግድዎ በእርግጥ ደህንነቱ የተጠበቀ ነው?
ከቀላል ጽሑፍ HTTP እስከ ሙሉ በሙሉ የተመሰጠረ HTTPS፣ የደህንነት መስፈርቶች ከእያንዳንዱ የፕሮቶኮል ማሻሻያ ጀርባ ተሻሽለዋል። በዘመናዊ አውታረ መረቦች ውስጥ የተመሰጠረ ግንኙነት መሠረት እንደመሆኑ መጠን፣ TLS ከጊዜ ወደ ጊዜ እየጨመረ የመጣውን ውስብስብ የጥቃት አካባቢ ለመቋቋም ራሱን በየጊዜው እያሻሻለ ነው።
ንግድዎ ቀድሞውንም HTTPS ይጠቀማል? የእርስዎ ክሪፕቶ ውቅር ከኢንዱስትሪው ምርጥ ልምዶች ጋር ይጣጣማል?
የፖስታ ሰዓት፡ ጁላይ-22-2025
