HTTPS protokolu nədir və o, internetdə sizin təhlükəsizliyinizi necə qoruyur

• HTTPS protokolunun tətbiqi
• HTTPS protokolunun təhlükəsizliyi necə təmin edilir?
• Təhlükəsiz bağlantı necə işləyir?
• Rəqəmsal sertifikat nə üçün lazımdır?

İnternetdə istənilən əməliyyat - bu, məlumat mübadiləsidir. Hər dəfə siz yutubda videoçarxı açdıqda, sosial şəbəkədə mesaj göndərdikdə və yaxud sevimli saytınıza daxil olduqda kompüteriniz lazımi veb-serverə sorğu göndərir və ondan cavab alır. Bir qayda olaraq, məlumat mübadiləsi HTTP protokolu üzərindən həyata keçirilir. Bu protokol yalnız informasiya mübadiləsi qaydalarını müəyyənləşdirmir, həm də məlumatların ötürülməsi üçün nəqliyyat rolunu oynayır — brauzer sözügedən protokolun köməyi ilə saytın kontentini sizin kompüterinizə və ya smartfona yükləyir.

HTTP protokolunun populyarlığına və rahat olmasına baxmayaraq, onun bir çatışmazlığı var: məlumatlar şifrlənməmiş şəkildə ötürülür. İnternetdə informasiya A nöqtəsindən B nöqtəsinə gedib çatanadək onlarla aralıq qovşaqdan keçir və onlardan əgər biri kibercinayətkarın nəzarəti altındadırsa, məlumatların ələ keçirilməsi riski böyükdür. Buna görə təhlükəsiz bağlantının qurulması üçün şifrlənməni dəstəkləyən HTTPS protokolundan istifadə edilir.

HTTPS protokolunun tətbiqi

Bir sıra xidmətlərdə, məsələn, elektron ödəniş sistemlərində məlumatların mühafizəsinə çox önəm verilir və bu səbəbdən həmin servislərdə HTTPS protokolundan istifadə edilir. Bu protokol, həmçinin məxfi informasiya ilə işləyən digər xidmətlərdə də tətbiq edilir.

Bütün müasir brauzerlər tərəfindən dəstəklənən HTTPS protokolunu xüsusi olaraq tənzimləməyə ehtiyac yoxdur, protokol özü lazım olduqda prosesə qoşulur.

HTTPS protokolunun təhlükəsizliyi necə təmin edilir?

HTTPS protokolunda məlumatların mühafizəsi ötürülən məlumatları şifrləyən SSL/TLS kriptoqrafik protokolu tərəfindən təmin edilir. Sonuncu məlumatları şifrləyir və onları kənar şəxslər üçün əlçatmaz edir.

Təsəvvür edək ki, bu gün ayın son günüdür və siz internet üçün ödəniş etməlisiniz. Provayderin saytında şəxsi kabinətə daxil olursunuz. Əlbəttə ki, siz bütün ötürülən məlumatların (sizin şifrə, ödəniş məbləği və kredit kartının nömrəsi) məxfi qalmasını istəyirsiniz, ona görə informasiya şifrlənməlidir. Problem ondadır ki, kompüteriniz və provayderin serveri arasında məlumat mübadiləsi ilk öncə açıq kanal üzrə, yəni HTTP protokolu üzərindən həyata keçirilib. Əgər bu müddət ərzində kanalın dinlənildiyini təsəvvür etsək, bəs bu halda HTTPS protokolu üzərindən necə təhlükəsiz bağlantı qurmaq mümkündür? Sadə riyazi fənd bunu etməyə imkan verir.

Təhlükəsiz bağlantı necə işləyir?

Təsəvvür edin ki, siz hansısa əşyanı digər şəxsə vermək istəyirsiniz. Bu zaman onu bir bağlamaya qoyub poçtla göndərirsiniz. Kuryer (və ya digər istənilən şəxs) bağlamanı oğurlamasın deyə siz bağlamaya, həmçinin kilid qoyursunuz. Kuryer bağlamanı həmin şəxsə çatdırır, lakin qəbul edən şəxs onu aça bilmir, çünki onda açar yoxdur. Bu zaman qəbul edən tərəf bağlamaya öz kilidini qoyur və kueryerlə sizə geri göndərir. Siz bağlamanı geri alırsınız və ona artıq iki kilid qoyulub, öz kilidinizi silirsiniz və yenidən həmin şəxsə göndərirsiniz. Bu dəfə isə bağlamanı qəbul edən tərəf öz kilidini silir, onu açır və sizin göndərdiyiniz əşyanı götürür.

Bütün bu əməliyyat həmsöhbətlə şifrlənmiş mesajlarla mübadilə üçün lazım idi.

SSL/TLS protokolu oxşar prinsip əsasında işləyir. HTTPS protokolu üzrə təhlükəsiz bağlantı qurularkən sizin kompüteriniz və server tərəfindən öncə ümumi məxfi açar seçilir, sonra informasiyanı bu açarın köməyi ilə şifrləyərək məlumat mübadiləsi həyata keçirilir. Ümumi məxfi açar hər bağlantı seansı üçün yenidən yaradılır. Açarı ələ keçirmək və tapmaq praktik olaraq mümkün deyil, məxfi açar adətən 100 simvoldan uzun bir ədəddir. Sözügedən birdəfəlik məxfi açar, həmçinin brauzer və server arasında bütün məlumat mübadiləsinin şifrlənməsi üçün istifadə olunur. Lakin tam təhlükəsizlik üçün elə bil nəsə çatmır: bəli, sizin həmsöhbətinizin kimliyinə zəmanət.

Rəqəmsal sertifikat nə üçün lazımdır?

Təsəvvür edin ki, bağlamanız ünvana çatmadı, başqa bir şəxs onu ələ keçirdi. Həmin şəxs bağlamaya öz kilidini qoyur, göndərən tərəfin ünvanını saxtalaşdırır və onu sizə göndərir. Belə olan halda o, şifrə üçün təyin edilmiş məxfi açarı öyrənir və sizin adınızdan həqiqi ünvana bu barədə məlumat verir. Nəticədə siz və həmsöhbətiniz şifrə üçün təyin edilmiş məxfi açarın təhlükəsiz ötürülməsinə əmin olursunuz və şifrlənmiş mesajlarla mübadilə üçün ondan istifadə etməyə başlayırsınız. Lakin bütün mesajları üçüncü tərəf asanlıqla ələ keçirə və oxuya bilər. Beləliklə, təhlükəsizlik təhlükə altındadır.

Göründüyü kimi internetdə iki qurğu arasında qurulmuş bağlantıya üçüncü iştirakçı gizlicə müdaxilə edə və bütün mesajların şifrini aça bilər. Məsələn, siz təhlükəsiz bağlantı üzərindən internet üçün ödəniş edirsiniz. Lakin cinayətkar kredit kartının nömrəsini və kredit kartınızın təhlükəsizlik kodunu ələ keçirir. Sizin hələ bu barədə məlumatınız yoxdur, xəbər tutanda isə artıq gec olacaq. Rəqəmsal sertifikat (serverin identifikasiyası üçün istifadə olunan elektron sənəd) bu vəziyyətin qarşısını almağa kömək edir.

İstifadəçi ilə təhlükəsiz bağlantı qurmaq istəyən istənilən server sertifikata malik olmalıdır. Sertifikat iki məsələni təsdiq edir: 1) Təqdim edilmiş şəxsin həqiqətən mövcud olduğunu və 2) Sertifikatda göstərilmiş serverin idarə olunmasını. Sertifikatlar sertifikatlaşdırma mərkəzləri tərəfindən təqdim edilir. Şəxsiyyət vəsiqəsində olduğu kimi sertifikatda da onun sahibi haqqında məlumat, adı (və ya təşkilatın adı), həmçinin sertifikatın həqiqiliyini təsdiqləyən imza olur. Brauzer təhlükəsiz HTTPS bağlantısı qurularkən ilk olaraq sertifikatın həqiqiliyini yoxlayır. Yalnız sertifikat həqiqi olduqda məlumat mübadiləsinə başlanılır.