Ang seguridad ay hindi na isang opsyon, ngunit isang kinakailangang kurso para sa bawat practitioner ng teknolohiya sa Internet. HTTP, HTTPS, SSL, TLS - Naiintindihan mo ba talaga kung ano ang nangyayari sa likod ng mga eksena? Sa artikulong ito, ipapaliwanag namin ang pangunahing lohika ng modernong naka-encrypt na mga protocol ng komunikasyon sa isang karaniwang tao at propesyonal na paraan, at tutulungan kang maunawaan ang mga lihim na "sa likod ng mga kandado" gamit ang isang visual na flow chart.
Bakit "hindi secure" ang HTTP? --- Panimula
Tandaan ang pamilyar na babala sa browser?
"Ang iyong koneksyon ay hindi pribado."
Kapag ang isang website ay hindi nag-deploy ng HTTPS, ang lahat ng impormasyon ng user ay nasa kalye sa buong network sa plaintext. Ang iyong mga password sa pag-login, mga numero ng bank card, at maging ang mga pribadong pag-uusap ay maaaring makuha lahat ng isang hacker na may magandang posisyon. Ang ugat nito ay ang kakulangan ng pag-encrypt ng HTTP.
Kaya paano pinapahintulutan ng HTTPS, at ng "gatekeeper" sa likod nito, ang TLS, ang data na ligtas na maglakbay sa Internet? Hatiin natin ito ng patong-patong.
HTTPS = HTTP + TLS/SSL --- Istruktura at Mga Pangunahing Konsepto
1. Ano ang HTTPS sa esensya?
HTTPS (HyperText Transfer Protocol Secure) = HTTP + Encryption layer (TLS/SSL)
○ HTTP: Ito ay responsable para sa pagdadala ng data, ngunit ang nilalaman ay makikita sa plaintext
○ TLS/SSL: Nagbibigay ng "lock on encryption" para sa HTTP na komunikasyon, na ginagawang puzzle ang data na tanging ang lehitimong nagpadala at tagatanggap lamang ang makakalutas.
Larawan 1: Daloy ng data ng HTTP vs HTTPS.
Ang "Lock" sa browser address bar ay ang TLS/SSL security flag.
2. Ano ang kaugnayan sa pagitan ng TLS at SSL?
○ SSL (Secure Sockets Layer): Ang pinakaunang cryptographic protocol, na napag-alamang may malubhang kahinaan.
○ TLS (Transport Layer Security): Ang kapalit ng SSL, TLS 1.2 at ang mas advanced na TLS 1.3, na nag-aalok ng makabuluhang pagpapabuti sa seguridad at pagganap.
Sa mga araw na ito, ang "mga SSL certificate" ay mga pagpapatupad lamang ng TLS protocol, na pinangalanan lang na mga extension.
Deep into TLS: Ang Cryptographic Magic Behind HTTPS
1. Ang daloy ng pagkakamay ay ganap na nalutas
Ang pundasyon ng secure na komunikasyon ng TLS ay ang sayaw ng pagkakamay sa oras ng pag-setup. Hatiin natin ang karaniwang TLS handshake flow:
Figure 2: Isang tipikal na TLS handshake flow.
1️⃣ Setup ng Koneksyon ng TCP
Ang isang kliyente (hal., isang browser) ay nagpasimula ng koneksyon sa TCP sa server (karaniwang port 443).
2️⃣ TLS Handshake Phase
○ Client Hello: Ipinapadala ng browser ang sinusuportahang bersyon ng TLS, cipher, at random na numero kasama ng Server Name Indication (SNI), na nagsasabi sa server kung aling hostname ang gusto nitong i-access (pagpapagana ng pagbabahagi ng IP sa maraming site).
○ Server Hello & Certificate Issue: Pinipili ng server ang naaangkop na bersyon ng TLS at cipher, at ibabalik ang certificate nito (na may public key) at mga random na numero.
○ Pagpapatunay ng sertipiko: Bine-verify ng browser ang chain ng certificate ng server hanggang sa pinagkakatiwalaang root CA upang matiyak na hindi ito peke.
○ Pagbuo ng premaster key: Bumubuo ang browser ng premaster key, ine-encrypt ito gamit ang pampublikong key ng server, at ipinapadala ito sa server. Dalawang partido ang nakikipag-usap sa session key: Gamit ang mga random na numero ng magkabilang partido at ang premaster key, kinakalkula ng kliyente at ng server ang parehong simetriko na encryption session key.
○ Pagkumpleto ng pakikipagkamay: Ang parehong partido ay nagpapadala ng mga mensaheng "Tapos na" sa isa't isa at pumasok sa naka-encrypt na yugto ng paghahatid ng data.
3️⃣ Secure na Paglipat ng Data
Ang lahat ng data ng serbisyo ay simetriko na naka-encrypt gamit ang negotiated session key nang mahusay, kahit na naharang sa gitna, ito ay isang grupo lamang ng "garbled code".
4️⃣ Muling Paggamit ng Session
Sinusuportahan muli ng TLS ang Session, na maaaring lubos na mapabuti ang pagganap sa pamamagitan ng pagpayag sa parehong kliyente na laktawan ang nakakapagod na pakikipagkamay.
Ang asymmetric encryption (gaya ng RSA) ay ligtas ngunit mabagal. Ang simetriko na pag-encrypt ay mabilis ngunit ang pangunahing pamamahagi ay mahirap. Gumagamit ang TLS ng "two-step" na diskarte-una ay isang asymmetric na secure na key exchange at pagkatapos ay isang simetriko na pamamaraan upang mahusay na i-encrypt ang data.
2. Algorithm evolution at pagpapabuti ng seguridad
RSA at Diffie-Hellman
○ RSA
Una itong malawak na ginamit sa panahon ng TLS handshake para secure na ipamahagi ang mga session key. Ang kliyente ay bumubuo ng isang session key, ine-encrypt ito gamit ang pampublikong susi ng server, at ipinapadala ito upang ang server lamang ang makakapag-decrypt nito.
○ Diffie-Hellman (DH/ECDH)
Simula sa TLS 1.3, hindi na ginagamit ang RSA para sa key exchange pabor sa mas secure na DH/ECDH algorithm na sumusuporta sa forward secrecy (PFS). Kahit na na-leak ang pribadong key, hindi pa rin maa-unlock ang makasaysayang data.
| bersyon ng TLS | key Exchange Algorithm | Seguridad |
| TLS 1.2 | RSA/DH/ECDH | Mas mataas |
| TLS 1.3 | para lamang sa DH/ECDH | Mas Mataas |
Praktikal na Payo na dapat Master ng Networking Practitioners
○ Priyoridad na pag-upgrade sa TLS 1.3 para sa mas mabilis at mas secure na pag-encrypt.
○ Paganahin ang malalakas na cipher (AES-GCM, ChaCha20, atbp.) at huwag paganahin ang mahihinang algorithm at hindi secure na mga protocol (SSLv3, TLS 1.0);
○ I-configure ang HSTS, OCSP Stapling, atbp. upang mapabuti ang pangkalahatang proteksyon ng HTTPS;
○ Regular na i-update at suriin ang chain ng certificate upang matiyak ang bisa at integridad ng trust chain.
Konklusyon at Pag-iisip: Talagang secure ba ang iyong negosyo?
Mula sa plaintext HTTP hanggang sa ganap na naka-encrypt na HTTPS, ang mga kinakailangan sa seguridad ay nagbago sa likod ng bawat pag-upgrade ng protocol. Bilang pundasyon ng naka-encrypt na komunikasyon sa mga modernong network, patuloy na pinapabuti ng TLS ang sarili nito upang makayanan ang lalong kumplikadong kapaligiran sa pag-atake.
Gumagamit na ba ng HTTPS ang iyong negosyo? Naaayon ba ang iyong configuration ng crypto sa mga pinakamahuhusay na kagawian sa industriya?
Oras ng post: Hul-22-2025
