13-Amaliy: SSL sertifikatlar, HTTP, HTTPS
TLS (Transport Layer Security) sertifikatlari sifatida ham tanilgan SSL (Secure Sockets Layer) sertifikatlari veb-server va veb-brauzer o'rtasida xavfsiz ulanishni o'rnatish uchun foydalaniladigan raqamli sertifikatlardir. Ular ikkalasi o'rtasidagi aloqani shifrlash va veb-sayt identifikatorini tasdiqlash uchun ishlatiladi. Bu erda SSL/TLS sertifikatlari haqida bir nechta asosiy fikrlar mavjud:
Shifrlash: SSL/TLS sertifikatlari veb-server va veb-brauzer o'rtasida shifrlangan aloqani o'rnatish uchun ishlatiladi, bu ikkalasi o'rtasidagi har qanday aloqa trafikni ushlab turishga urinayotgan uchinchi tomon uchun o'qib bo'lmaydi degan ma'noni anglatadi.
Autentifikatsiya: SSL/TLS sertifikatlari veb-sayt identifikatorini tasdiqlash uchun ham qo'llaniladi, bu foydalanuvchilar tajovuzkor tomonidan o'rnatilgan soxta veb-sayt bilan emas, balki to'g'ri veb-sayt bilan muloqot qilishlarini ta'minlaydi.
Sertifikat olish: SSL/TLS sertifikatini olish uchun veb-sayt egasi sertifikat organiga (CA) shaxsini tasdiqlashi kerak. Sertifikat organlarining har xil turlari mavjud, ba'zilari bepul, boshqalari esa to'lovni talab qiladi.
Sertifikatni o'rnatish: Olinganidan so'ng, SSL/TLS sertifikati veb-serverga o'rnatilishi kerak, o'rnatish jarayoni har bir veb-server uchun farq qiladi, lekin u odatda sertifikat imzolash so'rovini (CSR) yaratishni, uni CAga yuborishni va keyin sertifikatni serverga o'rnating.
Brauzerni tanib olish: Zamonaviy veb-brauzerlar SSL/TLS sertifikatlarini taniydi va qulf belgisi va yashil manzil satrini ko'rsatish orqali veb-sayt xavfsiz ekanligini ko'rsatadi, bu foydalanuvchilarga xavfsiz veb-saytga tashrif buyurgan yoki yo'qligini aniqlashga yordam beradi.
Yaroqlilik muddati: SSL/TLS sertifikatining amal qilish muddati, veb-sayt xavfsizligini yangilab turish va xizmat ko'rsatishda uzilishlarga yo'l qo'ymaslik uchun muddati tugashidan oldin yangilanishi kerak.
Sertifikat turlari: Domenni tasdiqlagan (DV), tashkilot tomonidan tasdiqlangan (OV) va kengaytirilgan tekshirish (EV) sertifikatlari kabi turli ehtiyojlar va kafolat darajalari uchun SSL/TLS sertifikatlarining har xil turlari mavjud.
HTTP (Hypertext Transfer Protocol) va HTTPS (HTTP Secure) ikkalasi ham internet orqali ma'lumotlarni uzatish uchun ishlatiladigan aloqa protokollaridir.
HTTP: HTTP Internet orqali ma'lumotlarni uzatish uchun standart protokoldir. Agar foydalanuvchi serverdan veb-sahifani so'rasa, server HTTP yordamida so'ralgan veb-sahifa bilan javob beradi. HTTP yordamida uzatiladigan ma'lumotlar shifrlanmagan, shuning uchun ularni tajovuzkorlar ushlab olishlari mumkin.
HTTPS: HTTPS HTTP kengaytmasi boʻlib, qoʻshimcha xavfsizlik qatlamini qoʻshadi. Agar foydalanuvchi HTTPS yordamida serverdan veb-sahifani so'rasa, server so'ralgan veb-sahifa bilan javob beradi va shifrlangan ulanishni o'rnatish uchun SSL/TLS sertifikatini yuboradi. HTTPS orqali uzatiladigan ma'lumotlar shifrlangan bo'lib, tajovuzkorlar ma'lumotlarni ushlab olish va o'qishni ancha qiyinlashtiradi.
Sertifikatlar: Veb-sayt HTTPS dan foydalanishi uchun u amaldagi SSL/TLS sertifikatiga ega bo‘lishi kerak, sertifikat ishonchli sertifikat organi (CA) tomonidan beriladi va veb-sayt identifikatorini tasdiqlash uchun ishlatiladi.
brauzerni tanib olish: Aksariyat zamonaviy veb-brauzerlar veb-sayt HTTPS dan foydalanayotganini taniy oladi va buni qulf belgisi va yashil manzil satrini ko'rsatish orqali ko'rsatadi, bu foydalanuvchilarga xavfsiz veb-saytga tashrif buyurgan yoki yo'qligini aniqlashga yordam beradi.
Xavfsizlik: Yuqorida aytib o'tilganidek, HTTP va HTTPS o'rtasidagi asosiy farq SSL/TLS sertifikati tomonidan taqdim etilgan qo'shimcha xavfsizlik va tranzitdagi ma'lumotlarni shifrlashdir. HTTPS shaxsiy ma'lumotlar, login hisob ma'lumotlari, moliyaviy operatsiyalar va boshqalar kabi nozik ma'lumotlarni qayta ishlaydigan har qanday veb-sayt uchun tavsiya etiladi.
6.HTTP/2: HTTP/2 asl HTTP protokolining yangilanishi boʻlib, u asosan bir vaqtning oʻzida bir nechta soʻrovlarni joʻnatish va qabul qilish imkonini berish orqali veb-sahifalar unumdorligini oshirishga qaratilgan va u server surishini qoʻllab-quvvatlaydi. mijoz ularni so'rashidan oldin mijozga resurslarni yuborish uchun server. Bundan tashqari, HTTPS HTTP/2 uchun majburiydir.
Foydalanuvchilarga kiberxavfsizlik tizimidagi eng zaif nuqta sifatida qaraladi. Foydalanuvchilar tomonidan har qanday yuqori darajadagi xavfsizlik ham buzilishi mumkin. Masalan, Bob amazon.com onlayn do‘konidan biror narsani sotib olmoqchi, deylik. Buning uchun Bob turli kriptografik usullarga tayanadigan SSL (Secure Sockets Layer) protokoli yordamida Amazon bilan ishonchli bog‘lanish uchun web-brauzerdan foydalanishi mumkin. Ushbu protokol barcha zarur amallar to‘g‘ri bajarilganida kafolatli xavfsizlikni ta’minlaydi.
Biroq, ushbu protokolga qaratilgan ba’zi hujum turlari (O‘rtada turgan odam hujumi, Man-in-the-middle attack) mavjudki, ularning amalga oshishi uchun foydalanuvchi “ishtiroki” talab etiladi (1-rasm). Agar foydalanuvchi xavfsiz holatni tanlasa (Вернуться к безопасной странице) hujum amalga oshmaydi. Biroq, foydalanuvchi tomonidan xavfsiz bo‘lmagan tanlov (Перейти на сайт …. (небезопасно)) amalga oshirilganida hujum muvaffaqiyatli tugaydi. Boshqacha aytganda, yuqori xavfsizlik darajasiga ega protokoldan foydalanilganda ham foydalanuvchining noto‘g‘ri harakati sababli xavfsizlik buzilishi mumkin.
Odatda foydalanuvchilar esda saqlash oson bo‘lgan parollardan foydalanishga harakat qiladilar. Biroq, bunday yo‘l tutish buzg‘unchi uchun parollarni taxminlab topish imkoniyatini oshiradi. Boshqa tomondan, murakkab parollardan foydalanish va ularni turli eltuvchilarda saqlash (masalan, qog‘ozda qayd etish) esa, ushbu muammoni yanada kuchaytiradi.
Bu misollar inson omili tufayli turli joylar va holatlarda xavfsizlik muammolarining kelib chiqishi mumkinligini ko‘rsatadi. Inson omili tufayli yuzaga keladigan xavfsizlik muammolariga ko‘plab misollar keltirish mumkin. Biroq, keltirilgan holatlardagi eng muhim jihat shundaki, xavfsizlik nuqtai nazaridan “tenglamadan” inson omilini olib tashlash zarur. Boshqacha aytganda, inson omili ishtirok etmagan tizimlar ishtirok etgan tizimlarga nisbatan xavfsizroq bo‘ladi.

1-rasm. SSL protokolidagi xavfsizlik ogohlantirishi

Eng muhim inson omillariga quyidagilar taalluqli:

• 
  Kiberxavfsizlik sohasiga oid bilimlarni yetishmasligi katta hajmdagi oshkor zaifliklarni paydo bo‘lishiga olib keladi. Kiberxavfsizlik sohasi an’anaviy xavfsizlikka aloqador bo‘lgani bois, zarur texnologik moslashishning tezkorligi ko‘p hollarda bo‘lishi mumkin bo‘lgan zaifliklar sonini oshiradi. Boshqa tomondan, insonning sohaga tegishli so‘nggi texnologik bilimlarni o‘zlashtirishi har doim ham yetarli bo‘lmaydi.
  
• 
  Risklarni bartaraf etishni va ular haqida xabar berishning yetarli bo‘lmasligi kiberxavfsizlikda takrorlanuvchi va kutilmagan buzilishlarga sababchi bo‘ladi. Insonlar odatda tashkilotlariga jiddiy xavf soluvchi risk mavjudligini bilishsada, uni oshkor qilishmaydi. Buning asosiy sababi sifatida risk bevosita shaxsning o‘ziga, uni moliyaviy holatiga ta’sir etmasligini yoki oshkor qilinganida shaxsning obro‘si tushishini keltirishadi.
  
• 
  Madaniyat va munosabatlardagi muammolarga tashkilotning o‘zi yoki tashkilot ichki ma’lumotlarini biluvchi norozi va e’tiborsiz xodimning paydo bo‘lishi sababchi bo‘lishi mumkin. Kiberxavfsizlik muammolarining aksariyati ichki hisoblanib, ular xodimlar orasidagi turli kelishmovchiliklar va tashkilot ichidagi muhitning yaxshi emasligi natijasida yuzaga keladi. Bu sabablar esa, xodimning tashkilot ichki strukturasini yaxshi bilgani bois, aksariyat hollarda jiddiy muammolarga olib keladi.
  
• 
  Xavfsizlik mashg‘ulotlariga kam mablag‘ sarflanishi boshqarilayotgan xavfsizlik risklari to‘g‘risidagi ma’lumotning kamligi sababchi bo‘ladi. Odatda, soha korxonalaridagi xodimlar mustaqil ravishda kiberxavfsizlik qoidalarini o‘rganishmaydi. Shuning uchun kiberxavfsizlik qoidalarini xodimlarga maxsus mashg‘ulotlar shaklida yetkazish zarur bo‘ladi. Bu esa tashkilotdan xavfsizlik mashg‘ulotlariga yetarlicha mablag‘ sarflanishni talab qiladi.
  
• 
  Hisobga olish nuqtasining yagona emasligi natijasida xavfsizlikning to‘laqonli amalga oshirilmasligi kuzatiladi. Amalda xavfsizlikni kafolatli ta’minlashda uning nazoratini bir nuqtada amalga oshirish muhim hisoblanadi. Yagona nuqtada amalga oshirilgan xavfsizlik nazorati taqsimlangan shakliga nisbatan ishonchli bo‘ladi. Biroq, tashkilotlardagi xavfsizlik nazoratining murakkabligi bois, nazorat odatda taqsimlangan holda boshqariladi.