Universiteti jizzax filiali amaliy matematika fakulteti kompyuter ilmlar a dasturlashtirish kafedrasi


-Amaliy: SSL sertifikatlar, HTTP, HTTPS



Yüklə 1,35 Mb.
Pdf görüntüsü
səhifə28/33
tarix02.06.2023
ölçüsü1,35 Mb.
#123007
1   ...   25   26   27   28   29   30   31   32   33
KIBERXAVFSIZLIK

13-Amaliy: SSL sertifikatlar, HTTP, HTTPS 
TLS (Transport Layer Security) sertifikatlari sifatida ham tanilgan SSL (Secure Sockets 
Layer) sertifikatlari Web-server va Web-brauzer o'rtasida xavfsiz ulanishni o'rnatish uchun 
foydalaniladigan raqamli sertifikatlardir. Ular ikkalasi o'rtasidagi aloqani shifrlash va Web-sayt 
identifikatorini tasdiqlash uchun ishlatiladi. Bu erda SSL/TLS sertifikatlari haqida bir nechta 
asosiy fikrlar mavjud: 
Shifrlash: SSL/TLS sertifikatlari Web-server va Web-brauzer o'rtasida shifrlangan aloqani 
o'rnatish uchun ishlatiladi, bu ikkalasi o'rtasidagi har qanday aloqa trafikni ushlab turishga 
urinayotgan uchinchi tomon uchun o'qib bo'lmaydi degan ma'noni anglatadi. 
Autentifikatsiya: SSL/TLS sertifikatlari Web-sayt identifikatorini tasdiqlash uchun ham 
qo'llaniladi, bu foydalanuvchilar tajovuzkor tomonidan o'rnatilgan soxta Web-sayt bilan emas, 
balki to'g'ri Web-sayt bilan muloqot qilishlarini ta'minlaydi. 
Sertifikat olish: SSL/TLS sertifikatini olish uchun Web-sayt egasi sertifikat organiga (CA) 
shaxsini tasdiqlashi kerak. Sertifikat organlarining har xil turlari mavjud, ba'zilari bepul, 
boshqalari esa to'lovni talab qiladi. 
Sertifikatni o'rnatish: Olinganidan so'ng, SSL/TLS sertifikati Web-serverga o'rnatilishi kerak, 
o'rnatish jarayoni har bir Web-server uchun farq qiladi, lekin u odatda sertifikat imzolash 
so'rovini (CSR) yaratishni, uni CAga yuborishni va keyin sertifikatni serverga o'rnating. 
Brauzerni tanib olish: Zamonaviy Web-brauzerlar SSL/TLS sertifikatlarini taniydi va qulf 
belgisi va yashil manzil satrini ko'rsatish orqali Web-sayt xavfsiz ekanligini ko'rsatadi, bu 
foydalanuvchilarga xavfsiz Web-saytga tashrif buyurgan yoki yo'qligini aniqlashga yordam 
beradi. 
Yaroqlilik muddati: SSL/TLS sertifikatining amal qilish muddati, Web-sayt xavfsizligini 
yangilab turish va xizmat ko'rsatishda uzilishlarga yo'l qo'ymaslik uchun muddati tugashidan 
oldin yangilanishi kerak. 
Sertifikat turlari: Domenni tasdiqlagan (DV), tashkilot tomonidan tasdiqlangan (OV) va 
kengaytirilgan tekshirish (EV) sertifikatlari kabi turli ehtiyojlar va kafolat darajalari uchun 
SSL/TLS sertifikatlarining har xil turlari mavjud. 
HTTP (Hypertext Transfer Protocol) va HTTPS (HTTP Secure) ikkalasi ham internet orqali 
ma'lumotlarni uzatish uchun ishlatiladigan aloqa protokollaridir. 
HTTP: HTTP Internet orqali ma'lumotlarni uzatish uchun standart protokoldir. Agar 
foydalanuvchi serverdan Web-sahifani so'rasa, server HTTP yordamida so'ralgan Web-sahifa 
bilan javob beradi. HTTP yordamida uzatiladigan ma'lumotlar shifrlanmagan, shuning uchun 
ularni tajovuzkorlar ushlab olishlari mumkin. 
HTTPS: HTTPS HTTP kengaytmasi boʻlib, qoʻshimcha xavfsizlik qatlamini qoʻshadi. Agar 
foydalanuvchi HTTPS yordamida serverdan Web-sahifani so'rasa, server so'ralgan Web-sahifa 
bilan javob beradi va shifrlangan ulanishni o'rnatish uchun SSL/TLS sertifikatini yuboradi. 
HTTPS orqali uzatiladigan ma'lumotlar shifrlangan bo'lib, tajovuzkorlar ma'lumotlarni ushlab 
olish va o'qishni ancha qiyinlashtiradi. 
Sertifikatlar: Web-sayt HTTPS dan foydalanishi uchun u amaldagi SSL/TLS sertifikatiga ega 
bo‘lishi kerak, sertifikat ishonchli sertifikat organi (CA) tomonidan beriladi va Web-sayt 
identifikatorini tasdiqlash uchun ishlatiladi. 
brauzerni tanib olish: Aksariyat zamonaviy Web-brauzerlar Web-sayt HTTPS dan 
foydalanayotganini taniy oladi va buni qulf belgisi va yashil manzil satrini ko'rsatish orqali 
ko'rsatadi, bu foydalanuvchilarga xavfsiz Web-saytga tashrif buyurgan yoki yo'qligini aniqlashga 
yordam beradi. 
Xavfsizlik: Yuqorida aytib o'tilganidek, HTTP va HTTPS o'rtasidagi asosiy farq SSL/TLS 
sertifikati tomonidan taqdim etilgan qo'shimcha xavfsizlik va tranzitdagi ma'lumotlarni 
shifrlashdir. HTTPS shaxsiy ma'lumotlar, login hisob ma'lumotlari, moliyaviy operatsiyalar va 
boshqalar kabi nozik ma'lumotlarni qayta ishlaydigan har qanday Web-sayt uchun tavsiya etiladi. 
6.HTTP/2: HTTP/2 asl HTTP protokolining yangilanishi boʻlib, u asosan bir vaqtning oʻzida 
bir nechta soʻrovlarni joʻnatish va qabul qilish imkonini berish orqali Web-sahifalar 


unumdorligini oshirishga qaratilgan va u server surishini qoʻllab-quvvatlaydi. mijoz ularni 
so'rashidan oldin mijozga resurslarni yuborish uchun server. Bundan tashqari, HTTPS HTTP/2 
uchun majburiydir. 
Foydalanuvchilarga kiberxavfsizlik tizimidagi eng zaif nuqta sifatida qaraladi. 
Foydalanuvchilar tomonidan har qanday yuqori darajadagi xavfsizlik ham buzilishi mumkin. 
Masalan, Bob amazon.com onlayn do‘konidan biror narsani sotib olmoqchi, deylik. Buning 
uchun Bob turli kriptografik usullarga tayanadigan SSL (Secure Sockets Layer) protokoli 
yordamida Amazon bilan ishonchli bog‘lanish uchun web-brauzerdan foydalanishi mumkin. 
Ushbu protokol barcha zarur amallar to‘g‘ri bajarilganida kafolatli xavfsizlikni ta’minlaydi. 
Biroq, ushbu protokolga qaratilgan ba’zi hujum turlari (O‘rtada turgan odam hujumi, Man-
in-the-middle attack) mavjudki, ularning amalga oshishi uchun foydalanuvchi “ishtiroki” talab 
etiladi (1-rasm). Agar foydalanuvchi xavfsiz holatni tanlasa (Вернуться к безопасной 

Yüklə 1,35 Mb.

Dostları ilə paylaş:
1   ...   25   26   27   28   29   30   31   32   33




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin