TLS/SSL Protokolu: İnternetdə Məlumatlarınızı Necə Qoruyur? TLS/SSL nədir? TLS (Transport Layer Security) və SSL (Secure Sockets Layer) internetdə məlumatların şifrəli şəkildə ötürülməsini təmin edən texnologiyalardır. Bunu belə düşün: sən kuryer vasitəsilə məktub göndərirsən, amma məktubu adi zərfdə yox, kilidli qutuda qoyursan. Kilidi isə yalnız qarşı tərəf aça bilər. Ən sadə nümunə: brauzerinizdə https:// ilə başlayan ünvan görürsünüzsə, bu, saytın TLS/SSL istifadə etdiyini göstərir. Kilid işarəsi də bunun təsdiqidir. Əgər sayt yalnız http:// ilə başlayırsa — deməli, məlumatlarınız şifrəsiz ötürülür və hücuma açıqdır. Ekspertlərin sözlərinə görə, internetdəki ən böyük təhlükələrdən biri “ortadakı adam hücumu” (Man-in-the-Middle Attack) adlanır. Bu hücumda kimsə sizinlə sayt arasında “araya girərək” məlumatlarınızı ələ keçirə bilər. TLS/SSL isə bu riski ciddi şəkildə azaldır. Sadə dillə desək: TLS/SSL olmadan internet — məktubu açıq zərfdə göndərmək kimidir. İstəyən yolda açıb oxuya bilər. Amma TLS/SSL ilə bu məktub möhkəm kilidli qutuda göndərilir və açmaq üçün xüsusi açar lazımdır. Mütəxəssislər tövsiyə edir: ·        Yalnız https ilə başlayan saytlarda şəxsi məlumat daxil edin. ·        Kilid işarəsi yoxdursa, o saytda kart məlumatı verməyin. ·        Xüsusilə ictimai Wi-Fi istifadə edərkən TLS/SSL olmayan saytlarla əlaqə qurmayın. Bu necə işləyir? TLS/SSL iki kompüterin (siz və saytın serveri) yalnız bir-birinə başa düşəcəyi gizli “dil” yaratmasına kömək edir. Bu “dil” sayəsində aradakı heç bir şəxs (hacker və ya başqa qurum) göndərilən məlumatları oxuya bilmir. Əsas məqam odur ki, TLS/SSL sadəcə “kilid işarəsi” deyil. Bu texnologiyalar sertifikatlar vasitəsilə qarşı tərəfin həqiqətən iddia etdiyi şəxs olduğunu təsdiqləyir. Yəni, siz bir sayta daxil olanda brauzer həmin saytın sertifikatını yoxlayır və təhlükəsiz bağlantı qurur. Ancaq təhlükəsizlik yalnız sertifikatın mövcudluğu ilə də bitmir. Yanlış konfiqurasiya, köhnə protokol versiyaları və zəif şifrələmə üsulları hücumçulara fürsət yarada bilər. Buna görə də mütəxəssislər daim TLS versiyalarını yeniləməli, güclü şifrələmə üsullarından istifadə etməli və sertifikatların vaxtında yeniləndiyinə əmin olmalıdır. Tarixdə yadda qalan SSL/TLS zəiflik hücumları: Nələr baş verib və biz nə öyrənməliyik? İnternet təhlükəsizliyinin əsas dayaqlarından olan SSL və TLS protokolları da zaman-zaman ciddi zəifliklər və hücumlarla üzləşib. Bu hadisələr bizə təhlükəsizliyin davamlı olaraq diqqət və yenilənmə tələb etdiyini göstərir. Heartbleed (2014) Ən məşhur SSL zəifliyi olan Heartbleed, OpenSSL kitabxanasındakı kritik boşluq idi. Hücumçular bu zəiflikdən istifadə edərək serverlərin yaddaşından şifrələnmiş olsa belə, gizli məlumatları – o cümlədən istifadəçi şifrələrini, şəxsi açarları ələ keçirə bildilər. Bu, internet tarixində ciddi sarsıntı yaratdı və minlərlə sayt və xidmət dərhal təcili təhlükəsizlik yeniləmələri etməli oldu. POODLE Hücumu (2014) Bu hücum SSL 3.0 protokolundakı zəifliyi hədəfləyirdi. Hücumçular SSL 3.0 istifadə edən əlaqələri manipulyasiya edərək məlumatları deşifrə edə bilirdilər. Nəticədə, çox sayt SSL 3.0 dəstəyini ləğv edib TLS istifadə etməyə keçdi.