SSL/TLS protokolu

Bir şirkət internet üzərindən istifadəçilərinin məlumatlarını qorumaq və onları təhlükəsiz bir formada qorumaqdan məsuldur. Xüsusilə banklar və e-ticarət platformaları kimi məxfiliyin və təhlükəsizliyin vacib olduğu veb saytlarında SSL/TLS protokolları böyük məna kəsb edir.
SSL strukturu ilə birlikdə internet üzərində istifadəçi və server arasındakı informasiya mübadiləsinin şifrəli və təhlükəsiz bir formada edilə bilməsi təmin olunur. SSL sertifikasiyaları rəqəmsal platformada şirkətlər, qurumlar üçün bir vəsiqə kimidir. Çünki SSL sertifikasiyaları Sertifikasiya Təşkilatı (Certificate Authority – CA) tərəfindən yaradılarkən şirkət məlumatları da sertifikasiyanın daxilinə əlavə edilir. SSL sertifikatlarının funksionallığı və təmin etmiş olduqları xüsusiyyətlə görə seçimləri var. Bunlar “Domain Validation – DV”, “Organization Validation – OV”, və “Extended Validation – EV” olmaq üzrə üç yerə ayrılır.

Domain Validation – strukturunda yaradılan sertifikat içərisində yalnız istifadə olunacağı veb saytın URL adresi tapılır və quruma və ya şirkətə aid hər hansı bir məlumat olmaz. DV tipində bir SSL sertifikastı ilə yalnız URL adresinin doğruluğu təsdiqlənə bilər. Daxilində bir nəfər və ya quruma aid məlumat olmadığı üçün domen üzərindən SSL sertifikatı istifadə edərək veb saytdan kim xidmət göstərir, kimin veb saytıdır kimi suallara cavab tapmaq mümkün deyildir. Bu səbəblə çox təhlükəsizliyə ehtiyac olmayan və bir quruma bağlı olması lazım olmayan veb saytlarda istifadə oluna bilər.

Organization Validation – quruluşunda yaradılan sertifikat daxilində “Domain Validation” quruluşuna əlavə olaraq, şirkət və ya qurum quruluş məlumatları da yazılır. Beləliklə bu tipdəki bir SSL sertifikatı həm domen adresinin, yəni URL adresinin doğruluğunu yoxlayarkən, həm də veb səhifə üzərindən hansı şirkət, qurum xidmət göstərdiyini təsdiqlənmiş bir formada göstərir. İnternet üzərindən lazımi məlumatları alan, işləyən veb saytlarında ən az OV tipində SSL sertifikatı olmalıdır ki, istifadəçilərində inam yarada bildin. E-ticarət saytlarında minimum OV tipində bir SSL sertifikatı olmalı, beləliklə istifadəçilər kimdən məhsul aldığını doğru bir formada öyrənə bilməlidir.

Extended Validation – strukturunda yaradılan sertifikat ən güclü təsdiqləmə məlumatlarına sahib SSL sertifikatıdır. Bu sertifikat içərisində domen, şirkət məlumatlarının, ardınca sertifikatın alındığı firmaya aid fiziki ünvan məlumatları da vardır. Təhlükəsizlik mənasında bir çox meyarı qarşılayaraq, banklar və e-ticarət saytları kimi istifadəçidən mühüm məlumatları alan və üzərində əməliyyatlar yerinə yetirən veb saytlar üçün istifadəsi önəmli olan SSL sertifikat tipidir. Ümumiləşmiş formada, aşağıdakı cədvələ nəzər yetirə bilərik.

Eyni zamanda, SSL sertifikatları veb saytlarına verilərkən, istifadə sahələrinə görrə fərqli proseslər yerinə yetirdikləri görünür:

  1. Standart SSL Sertifikatı – yalnız bir ədəd domen hesabın doğruluğunu isbat edəcək şəkildə hazırlanan sertifikatdır;
  2. Multi-Domain SSL Sertifikatı – birdən çox domenin tək bir sertifikat daxilində tanınmasına imkan verən sertifikat tipidir;
  3. Wilcard SSL Sertifikatı – bütün alt-domenləri əhatə edəcək formada yaradılan SSL sertifikat tipidir.

SSL 3.0-da hiss edilən “POODLE Attack” ilə birlikdə SSL protokolu blok şifrələmə alqoritmləri üçün 2014-cü ildən etibarən təhlükəli qəbul edilmişdir. Yalnız RC4 alqoritmi dəstəklənir, lakin bu alqoritmin də sonlanacağı düşünülür. Bu təhlükəsizlik problemlərindən asılı olaraq TLS 1.0, SSL 3.0-ın yerini almışdır. TLS 1.0, SSL protokolunun yenilənmiş halıdır. Zaman daxilində TLS 1.0 üzərində də bir çox təhlükəsizlik yenilənmələri edilmişdir.

SSL (Secure Socket Layer), yeni adı ilə TLS (Transport Layer Security) texnologiyası, istifadəçi və server arasındakı əlaqənin təhlükəsiz və şifrəli bir şəkildə həyata keçməsi üçün simmetrik və asimmetrik şifrələmə üsullarını istifadə edir. Təhlükəsiz və şifrəli əlaqə yalnız bir veb server ilə istifadəçi arasında olmaq məcburiyyətində deyildir. Secure E-Mail, VoIP və digər təhlükəli şəbəkə üzərindən edilən əlaqələr də yenə SSL/TLS protokolları ilə işlədilərək təhlükəsiz və məxfi hala gətirilə bilər. İstifadəçi və server arasında göndərilib-alınan informasiyanın sürətli olması baxımından simmetrik şifrələmə üsulu ilə şifrələnməsi daha uyğun hesab edilir. Lakin burada simmetrik şifrələmə üçün yaradılan xüsusi açarın təhlükəsiz yolla paylaşılması lazımdır, eyni zamanda istifadəçi və şəbəkə xaricində, üçüncü bir tərəfin bu xüsusi açarı ələ keçirməməsi özənlidir. SSL işlədilən sistemlər üçün “Təhlükəsiz Əlaqənin Başlanğıcı” prosesində, simmetrik şifrələmə üçün hazırlanan xüsusi açarların paylaşılması üçün asimmetrik şifrələmə üsullarından faydalanmaq və açıq və xüsusi açar cütləri istifadə edilməkdədir. SSL-in işləmə prinsipinin addımları aşağıdakı kimidir:

  • İstifadəçi veb sayta daxil etmək üçün serverə bir sorğu göndərir;
  • Server, istifadəçinin bu istəyini asimmetrik açar cütlərindən olan açıq açarı, sertifikatı göndərərək qarşılıq verir. Bu addımda göndərilən sertifikat daxilində şirkətin və ya qurumun, “Sertifikat Təşkilatı” tərəfindən təsdiqlənmiş məlumatları var. Bu formada istifadəçi serverin hansı quruma aid olduğunu təsdiqləyə bilir. Eyni zamanda, server tərəfindən göndərilən sertifikatın son istifadə tarixi, alqoritmi və s. parametrləri yoxlanılaraq sertifikatın yararlı olub-olmadığnı yoxlayır.
  • İstifadəçi tərəfindən server ilə informasiya mübadiləsini təhlükəsiz yolla təmin etmək üçün simmetrik şifrələmə üsulu istifadə olunur və bunun üçün bir xüsusi açar yaradılır. Bu xüsusi açar serverin açıq açarı ilə şifrələnərək serverə göndərilir. Serverin açıq açarı ilə şifrələnən informasiya yalnız serverdə yaradılmış açıq açar dəyərinin qarşılığı olan xüsusi açar ilə deşifrə oluna bilər.
  • Server tərəfindən xüsusi açar işlədilərək şifrə açılır və informasiyanın şifrəli göndərilməsi üçün lazım olan simmetrik şifrələmədə istifadə ediləcək xüsusi açar əldə edilir.
  • Server ilə istifadəçi arasındakı göndəriləcək bütün məlumatlar bu addımdan sonra simmetrik şifrələmədə işlədiləcək xüsusi açar ilə şifrələnərək göndərilir. Bu formada istifadəçi tərəfi veb saytın məzmununu təhlükəsiz şəkildə görə bilər

“TLS Handshake” (TLS təhlükəsiz əlaqə başlanğıcı) prosesi SSL prosesindən bir az fərqli baş verir. “TLS Handshake” prosesləri aşağıdakılardır:

  • İstifadəçi serverə, öz SSL versiyasını, şifrə konfiqurasiyasını, giriş məlumatlarını və serverin istifadəçi ilə əlaqələnə bilməsi üçün lazımlı olan digər məlumatları göndərir. Həmçinin bu proses server-istifadəçi olmaqla, əksinə baş verir. Bundan əlavə, server istifadəçiyə sertifikatını da göndərir.
  • İstifadəçi sertifikat vasitəsilə server məlumatlarını və sertifikatın yararlı olub-olmadığını təsdiqləyir. Əgər server təsdiqlənə bilməzsə, istifadəçi tərəfində şifrələmə və təsdiqləmənin uğurlu olmadığı haqqında bir xəta mesajı ilə istifadəçi məlumatlandırılır. Əks təqdirdə əməliyyatlar aşağıdakı ardıcıllıqla davam edər.
  • İstifadəçi giriş üçün ilk yaratdığından fərqli yeni bir gizli informasiya (məlumat) yaradır və serverin açıq açarı ilə gizli məlumatı şifrələyərək serverə göndərir.
  • Əgər server istifadəçidən şəxsiyyətini təsdiqləməsini, yəni autentifikasiyanı istəyərsə, istifadəçi həm öz tərəfindən bilinən, həm də server tərəfindən bilinən bir məlumatı imzalayaraq, imzalama etdiyi sertifikatı və ikinci dəfə paylaşılan gizli informasiyanı server tərəfinə göndərir.
  • Server, ona gələn imzalı informasiyanı təsdiqləməyə çalışır, təsdiqləyə bilməzsə giriş imkanları sonlandırılır. Təsdiqlənmə uğurlu olarsa, ikinci dəfəki göndərilən şifrəli məlumatı, gizli açarı istifadə edərək açar və ardınca əsas paylaşılacaq məxfi informasiyanı yaradır.
  • İstifadəçi və server ikinci məxfi informasiyanı istifadə edərək giriş üçün açar yaradırlar. Bundan sonrakı addımlarda bu giriş üçün hazırlanan açar istifadə edilərək, informasiya şifrələnərək istifadəçi və server arasında təhlükəsiz əlaqə qurulmuş olur.
  • İstifadəçi və server qarşılıqlı olaraq bir-birlərinə bundan sonra gələcək mesajların giriş aşarı ilə şifrələnəcəyini və ardınca isə fərqli bir mesajla “handshake” əməliyyatının öz üzərinə düşən hissəsinə ait proseslərin bitdiyini bildirən mesajlar göndərir.

Yaradılan giriş açarı üzərindən məlumatlar şifrələnərək əlaqə davam edən zaman, iki tərəfdən birinin istəyi ilə giriş aşarı, yuxarıdakı addımlar təkrar ediləcək formada yenilənə bilər. Bütün bu proseslər, əməliyyatlar server tərəfindəki istifadəçi tərəfindən heç hiss edilməz və yalnız veb sayt açılana qədər yuxarıda göstərilən bütün proseslər bitmiş olur. İstifadəçi yalnız brauzerin URL bölməsində (ünvan sahəsində), veb saytın təhlükəsizliyinə dair bir kilid işarəsi və ya təhlükəli olduğuna aid olan bir mesaj (Not Secure) görür.