Segurtasuna ez da jada aukera bat, baizik eta Interneteko teknologiako profesional orok nahitaezko ikastaroa. HTTP, HTTPS, SSL, TLS - Benetan ulertzen al duzu zer gertatzen den eszenaren atzean? Artikulu honetan, komunikazio-protokolo enkriptatu modernoen oinarrizko logika azalduko dugu modu laiko eta profesionalean, eta "sarrailen atzean" dauden sekretuak ulertzen lagunduko dizugu fluxu-diagrama bisual batekin.
Zergatik da HTTP "ez-segurua"? --- Sarrera
Gogoratzen al duzu arakatzailearen abisu ezagun hura?
"Zure konexioa ez da pribatua."
Webgune batek HTTPS ezartzen ez duenean, erabiltzailearen informazio guztia testu arruntean zabaltzen da sarean zehar. Zure saioa hasteko pasahitzak, bankuko txartelaren zenbakiak eta baita elkarrizketa pribatuak ere ondo kokatutako hacker batek atzeman ditzake. Horren erroko arrazoia HTTPren enkriptazio falta da.
Beraz, nola ahalbidetzen du HTTPS-k, eta haren atzean dagoen "atezainak", TLS-k, datuak Interneten zehar modu seguruan bidaiatzea? Geruzaz geruza bana dezagun.
HTTPS = HTTP + TLS/SSL --- Egitura eta oinarrizko kontzeptuak
1. Zer da funtsean HTTPS?
HTTPS (HyperText Transfer Protocol Secure) = HTTP + Enkriptazio geruza (TLS/SSL)
○ HTTP: Datuak garraiatzeaz arduratzen da, baina edukia testu arruntean ikusten da.
○ TLS/SSL: HTTP komunikaziorako "enkriptazio blokeoa" eskaintzen du, datuak igorle eta hartzaile legitimoek bakarrik konpondu dezaketen puzzle bihurtuz.
1. irudia: HTTP vs HTTPS datu-fluxua.
Nabigatzailearen helbide-barran dagoen "Blokeoa" TLS/SSL segurtasun-bandera da.
2. Zein da TLS eta SSL arteko erlazioa?
○ SSL (Secure Sockets Layer): Lehenengo protokolo kriptografikoa, ahultasun larriak dituela ikusi dena.
○ TLS (Garraio Geruzako Segurtasuna): SSLren, TLS 1.2ren eta aurreratuago den TLS 1.3ren ondorengoa, segurtasunean eta errendimenduan hobekuntza nabarmenak eskaintzen dituena.
Gaur egun, "SSL ziurtagiriak" TLS protokoloaren inplementazio hutsak dira, luzapenak izenekoak besterik gabe.
TLS sakonean: HTTPS-ren atzean dagoen magia kriptografikoa
1. Esku-ematearen fluxua guztiz konponduta dago
TLS komunikazio seguruaren oinarria konfigurazio-garaian egiten den esku-ematearen dantza da. Azter dezagun TLS esku-emate estandarraren fluxua:
2. irudia: TLS esku-ematearen fluxu tipikoa.
1️⃣ TCP konexioaren konfigurazioa
Bezero batek (adibidez, nabigatzaile batek) TCP konexio bat hasten du zerbitzariarekin (443 portu estandarra).
2️⃣ TLS esku-emate fasea
○ Bezeroaren Kaixo: Nabigatzaileak onartutako TLS bertsioa, zifraketa eta ausazko zenbakia bidaltzen ditu Zerbitzariaren Izenaren Adierazpenarekin (SNI) batera, eta horrek zerbitzariari zein ostalari-izen atzitu nahi duen esaten dio (IP helbidea hainbat gunetan partekatzea gaitzen du).
○ Zerbitzariaren kaixo eta ziurtagiriaren arazoa: Zerbitzariak TLS bertsio eta zifraketa egokia hautatzen ditu, eta bere ziurtagiria (gako publikoarekin) eta ausazko zenbakiak bidaltzen ditu itzultzeko.
○ Ziurtagiriaren balidazioa: Nabigatzaileak zerbitzariaren ziurtagiri-katea egiaztatzen du fidagarria den erroko CAraino, faltsutu ez dela ziurtatzeko.
○ Aurre-master gakoen sorrera: Nabigatzaileak aurre-master gako bat sortzen du, zerbitzariaren gako publikoarekin enkriptatzen du eta zerbitzariari bidaltzen dio. Bi aldeek saio-gakoa negoziatzen dute: Bi aldeen ausazko zenbakiak eta aurre-master gakoa erabiliz, bezeroak eta zerbitzariak enkriptazio simetrikoko saio-gako bera kalkulatzen dute.
○ Esku-ematearen amaiera: Bi aldeek "Amaituta" mezuak bidaltzen dizkiote elkarri eta datu enkriptatuak transmititzeko fasean sartzen dira.
3️⃣ Datuen transferentzia segurua
Zerbitzu-datu guztiak modu simetrikoan enkriptatzen dira negoziatutako saio-gakoarekin, eta, nahiz eta erdian atzeman, "kode nahasi" multzo bat besterik ez da.
4️⃣ Saioaren berrerabilpena
TLS-k berriro ere Session onartzen du, eta horrek errendimendua asko hobetu dezake bezero berak diosal-emate aspergarria saihesteko aukera emanez.
Enkriptazio asimetrikoa (RSA bezalakoa) segurua baina motela da. Enkriptazio simetrikoa azkarra da, baina gakoen banaketa korapilatsua da. TLS-k "bi urratseko" estrategia erabiltzen du: lehenik gakoen truke seguru asimetrikoa eta gero eskema simetrikoa datuak eraginkortasunez enkriptatzeko.
2. Algoritmoen bilakaera eta segurtasunaren hobekuntza
RSA eta Diffie-Hellman
○ RSA
Lehen aldiz TLS esku-ematean erabili zen saio-gakoak modu seguruan banatzeko. Bezeroak saio-gako bat sortzen du, zerbitzariaren gako publikoarekin enkriptatzen du eta bidaltzen du zerbitzariak bakarrik deszifratu ahal izan dezan.
○ Diffie-Hellman (DH/ECDH)
TLS 1.3 bertsiotik aurrera, RSA ez da gehiago erabiltzen gakoen trukerako, aurreranzko sekretua (PFS) onartzen duten DH/ECDH algoritmo seguruagoen alde. Gako pribatua filtratu arren, datu historikoak ezin dira desblokeatu.
| TLS bertsioa | giltza-truke algoritmoa | Segurtasuna |
| TLS 1.2 | RSA/DH/ECDH | Goiago |
| TLS 1.3 | DH/ECDHrentzat bakarrik | Gorago |
Sareko profesionalek menperatu behar dituzten aholku praktikoak
○ Lehentasunezko eguneratzea TLS 1.3ra enkriptazio azkarrago eta seguruagoa lortzeko.
○ Gaitu zifratze sendoak (AES-GCM, ChaCha20, etab.) eta desgaitu algoritmo ahulak eta protokolo ez-seguruak (SSLv3, TLS 1.0);
○ Konfiguratu HSTS, OCSP grapaketa, etab. HTTPS babes orokorra hobetzeko;
○ Ziurtagiri-katea aldizka eguneratu eta berrikusi, konfiantza-katearen baliozkotasuna eta osotasuna bermatzeko.
Ondorioa eta gogoetak: Benetan segurua al da zure negozioa?
HTTP testu arruntetik HTTPS guztiz enkriptatura, segurtasun-eskakizunak eboluzionatu egin dira protokoloaren eguneratze bakoitzaren atzean. Sare modernoetan komunikazio enkriptatuaren oinarrizko elementu gisa, TLS etengabe hobetzen ari da gero eta konplexuagoa den eraso-inguruneari aurre egiteko.
Zure negozioak HTTPS erabiltzen al du dagoeneko? Zure kriptografia-konfigurazioa industriako jardunbide egokienekin bat dator?
Argitaratze data: 2025eko uztailak 22
