ደህንነት ከአሁን በኋላ አማራጭ አይደለም፣ ነገር ግን ለእያንዳንዱ የኢንተርኔት ቴክኖሎጂ ባለሙያ የሚፈለግ ኮርስ ነው። HTTP፣ HTTPS፣ SSL፣ TLS - ከትዕይንቱ በስተጀርባ ምን እየተካሄደ እንዳለ በትክክል ተረድተዋል? በዚህ ጽሁፍ የዘመናዊ ኢንክሪፕትድድ የመገናኛ ፕሮቶኮሎችን ዋና አመክንዮ በምእመናን እና በሙያዊ መንገድ እናብራራለን እና "ከመቆለፊያ በስተጀርባ" ሚስጥሮችን በእይታ ፍሰት ገበታ ለመረዳት እንረዳዎታለን ።
ኤችቲቲፒ ለምን ደህንነቱ ያልተጠበቀ ነው? --- መግቢያ
ያንን የታወቀ የአሳሽ ማስጠንቀቂያ አስታውስ?
"ግንኙነትህ ግላዊ አይደለም።"
አንዴ ድህረ ገጽ HTTPSን ካላሰማራ፣ ሁሉም የተጠቃሚው መረጃ በአውታረ መረቡ ላይ በግልፅ ጽሑፍ ላይ ነው። የመግቢያ የይለፍ ቃሎችህ፣ የባንክ ካርድ ቁጥሮችህ፣ እና የግል ንግግሮችህ ሁሉም በጥሩ አቋም ባለው ጠላፊ ሊያዙ ይችላሉ። የዚህ ዋና መንስኤ የኤችቲቲፒ ምስጠራ እጥረት ነው።
ታዲያ ኤችቲቲፒኤስ እና ከጀርባው ያለው "በረኛው" TLS እንዴት ነው ውሂብ በበይነመረብ ላይ ደህንነቱ በተጠበቀ መልኩ እንዲጓዝ የሚፈቅደው? በንብርብር እንሰብረው።
HTTPS = HTTP + TLS/SSL --- መዋቅር እና ዋና ፅንሰ-ሀሳቦች
1. በመሰረቱ HTTPS ምንድን ነው?
HTTPS (HyperText Transfer Protocol Secure) = HTTP + ምስጠራ ንብርብር (TLS/SSL)
○ HTTP፡ መረጃውን የማጓጓዝ ሃላፊነት ይህ ነው፡ ነገር ግን ይዘቱ በግልጽ ይታያል
○ ቲኤልኤስ/ኤስኤስኤል፡ ለኤችቲቲፒ ግንኙነት የ"መቆለፊያ ቁልፍ" ያቀርባል፣ መረጃውን ወደ እንቆቅልሽ በመቀየር ህጋዊ ላኪ እና ተቀባይ ብቻ ሊፈቱት ይችላሉ።
ምስል 1፡ HTTP vs HTTPS የውሂብ ፍሰት።
በአሳሹ የአድራሻ አሞሌ ውስጥ ያለው "መቆለፊያ" TLS/SSL የደህንነት ባንዲራ ነው።
2. በTLS እና SSL መካከል ያለው ግንኙነት ምንድን ነው?
○ SSL (Secure Sockets Layer)፡- የቀደመው ክሪፕቶግራፊክ ፕሮቶኮል፣ እሱም ከባድ ተጋላጭነት ያለው ሆኖ ተገኝቷል።
○ ቲኤልኤስ (የትራንስፖርት ንብርብር ደህንነት)፡ የSSL ተተኪ፣ TLS 1.2 እና የላቀው TLS 1.3፣ ይህም በደህንነት እና በአፈጻጸም ላይ ጉልህ መሻሻሎችን ይሰጣል።
በአሁኑ ጊዜ፣ "ኤስኤስኤል ሰርተፍኬቶች" በቀላሉ የTLS ፕሮቶኮል ትግበራዎች ናቸው፣ ልክ የተሰየሙ ቅጥያዎች።
ጥልቅ ወደ TLS፡ ከ HTTPS በስተጀርባ ያለው ክሪፕቶግራፊክ አስማት
1. የመጨባበጥ ፍሰት ሙሉ በሙሉ ተፈትቷል
የTLS ደህንነቱ የተጠበቀ ግንኙነት መሰረት በማዋቀር ጊዜ የመጨባበጥ ዳንስ ነው። መደበኛውን የTLS የእጅ መጨባበጥ ፍሰት እንከፋፍል፡-
ምስል 2፡ የተለመደ የቲኤልኤስ የእጅ መጨባበጥ ፍሰት።
1️⃣ TCP ግንኙነት ማዋቀር
ደንበኛ (ለምሳሌ፣ አሳሽ) ከአገልጋዩ ጋር የTCP ግንኙነት ይጀምራል (መደበኛ ወደብ 443)።
2️⃣ TLS የእጅ መጨባበጥ ደረጃ
○ ደንበኛ ጤና ይስጥልኝ፡ አሳሹ የሚደገፈውን የTLS እትም፣ የምስጢር እና የዘፈቀደ ቁጥር ከServer Name Indication (SNI) ጋር ይልካል፣ እሱም ለአገልጋዩ የትኛውን አስተናጋጅ ስም ማግኘት እንደሚፈልግ ይነግረዋል (በብዙ ድረ-ገጾች ላይ የአይፒ ማጋራትን ያስችላል)።
○ የአገልጋይ ሰላም እና የምስክር ወረቀት ጉዳይ፡ አገልጋዩ ተገቢውን የTLS እትም እና የምስጢር ቃል ይመርጣል እና ሰርተፍኬቱን (በህዝብ ቁልፍ) እና የዘፈቀደ ቁጥሮችን ይልካል።
○ የምስክር ወረቀት ማረጋገጥ፡ አሳሹ የተጭበረበረ መሆኑን ለማረጋገጥ የአገልጋይ ሰርተፍኬት ሰንሰለትን እስከ ታማኝ ስርወ CA ድረስ ያረጋግጣል።
○ ፕሪምስተር ቁልፍ ማመንጨት፡ አሳሹ የፕሪምስተር ቁልፍን ያመነጫል፣ በአገልጋዩ የህዝብ ቁልፍ ያመስጥር እና ወደ አገልጋዩ ይልካል።ሁለት ወገኖች የክፍለ ጊዜ ቁልፍ ይደራደራሉ፡ የሁለቱም ወገኖች የዘፈቀደ ቁጥሮች እና የፕሪምስተር ቁልፍን በመጠቀም ደንበኛው እና አገልጋዩ ተመሳሳይ የሲሜትሪክ ምስጠራ ክፍለ ጊዜ ቁልፍ ያሰላሉ።
○ መጨባበጥ ማጠናቀቅ፡- ሁለቱም ወገኖች እርስ በርሳቸው "የተጠናቀቁ" መልዕክቶችን ይልካሉ እና ወደ ኢንክሪፕት የተደረገው የዳታ ማስተላለፊያ ምዕራፍ ውስጥ ይገባሉ።
3️⃣ ደህንነቱ የተጠበቀ የውሂብ ማስተላለፍ
ሁሉም የአገልግሎት መረጃዎች በተመጣጣኝ ሁኔታ በተደራዳሪው የክፍለ-ጊዜ ቁልፍ በብቃት የተመሰጠረ ነው፣ ምንም እንኳን መሀል ላይ ቢጠለፍም፣ የ"ጋርብልድ ኮድ" ስብስብ ነው።
4️⃣ ክፍለ-ጊዜን እንደገና መጠቀም
TLS ክፍለ-ጊዜን በድጋሚ ይደግፋል፣ይህም ተመሳሳዩ ደንበኛ አድካሚውን የእጅ መጨባበጥ እንዲዘለል በመፍቀድ አፈፃፀሙን በእጅጉ ያሻሽላል።
ያልተመጣጠነ ምስጠራ (እንደ አርኤስኤ ያለ) ደህንነቱ የተጠበቀ ግን ቀርፋፋ ነው። የሲሜትሪክ ምስጠራ ፈጣን ነው ነገር ግን የቁልፍ ስርጭቱ አስቸጋሪ ነው። TLS ውሂቡን በብቃት ለማመስጠር የ"ሁለት-ደረጃ" ስልት ይጠቀማል - በመጀመሪያ ያልተመሳሰለ ደህንነቱ የተጠበቀ የቁልፍ ልውውጥ እና ከዚያም የተመጣጠነ እቅድ።
2. የአልጎሪዝም ዝግመተ ለውጥ እና የደህንነት መሻሻል
RSA እና Diffie-Hellman
○ አርኤስኤ
የክፍለ ጊዜ ቁልፎችን ደህንነቱ በተጠበቀ ሁኔታ ለማሰራጨት በመጀመሪያ በTLS እጅ መጨባበጥ ወቅት በስፋት ጥቅም ላይ ውሏል። ደንበኛው የክፍለ ጊዜ ቁልፍ ያመነጫል፣ በአገልጋዩ የህዝብ ቁልፍ ያመስጥረዋል እና አገልጋዩ ብቻ ዲክሪፕት ማድረግ እንዲችል ይልካል።
○ ዲፊ-ሄልማን (DH/ECDH)
ከTLS 1.3 ጀምሮ፣ RSA ለቀጣይ ሚስጥራዊነት (PFS) ይበልጥ ደህንነታቸው የተጠበቀ የDH/ECDH ስልተ ቀመሮችን በመደገፍ ለቁልፍ ልውውጥ ጥቅም ላይ አይውልም። ምንም እንኳን የግል ቁልፉ ቢወጣም, ታሪካዊው መረጃ አሁንም ሊከፈት አይችልም.
| የቲኤልኤስ ስሪት | የቁልፍ ልውውጥ አልጎሪዝም | ደህንነት |
| TLS 1.2 | RSA/DH/ECDH | ከፍ ያለ |
| TLS 1.3 | ለDH/ECDH ብቻ | የበለጠ ከፍ ያለ |
ኔትዎርክቲንግ ፕራክቲሽኖች በደንብ ሊያውቁት የሚገባ ተግባራዊ ምክር
○ ፈጣን እና ደህንነቱ የተጠበቀ ምስጠራን ለማግኘት ቅድሚያ ወደ TLS 1.3 አሻሽል።
○ ጠንካራ ምስጢሮችን (AES-GCM፣ ChaCha20፣ ወዘተ) ያንቁ እና ደካማ ስልተ ቀመሮችን እና ደህንነታቸው ያልተጠበቁ ፕሮቶኮሎችን ያሰናክሉ (SSLv3፣ TLS 1.0);
አጠቃላይ HTTPS ጥበቃን ለማሻሻል HSTSን፣ OCSP Staplingን ወዘተ ያዋቅሩ።
○ የእምነት ሰንሰለቱን ትክክለኛነት እና ታማኝነት ለማረጋገጥ የምስክር ወረቀቱን በየጊዜው ያዘምኑ እና ይከልሱ።
ማጠቃለያ እና ሀሳቦች፡ ንግድዎ በእርግጥ ደህንነቱ የተጠበቀ ነው?
ግልጽ ከሆነው ኤችቲቲፒ እስከ ሙሉ ኢንክሪፕት የተደረገ HTTPS፣ የደህንነት መስፈርቶች ከእያንዳንዱ የፕሮቶኮል ማሻሻያ ጀርባ ተሻሽለዋል። በዘመናዊ ኔትወርኮች ውስጥ የተመሰጠረ ግንኙነት የመሠረት ድንጋይ እንደመሆኑ፣ TLS ከጊዜ ወደ ጊዜ እየጨመረ የመጣውን የጥቃት አካባቢ ለመቋቋም ራሱን እያሻሻለ ነው።
ንግድዎ አስቀድሞ HTTPS ይጠቀማል? የእርስዎ crypto ውቅር ከኢንዱስትሪ ምርጥ ልምዶች ጋር ይጣጣማል?
የፖስታ ሰአት፡- ጁላይ-22-2025
