Keselamatan bukan lagi satu pilihan, tetapi satu kursus yang diperlukan untuk setiap pengamal teknologi Internet. HTTP, HTTPS, SSL, TLS - Adakah anda benar-benar memahami apa yang berlaku di sebalik tabir? Dalam artikel ini, kami akan menerangkan logik teras protokol komunikasi disulitkan moden dengan cara yang mudah dan profesional, dan membantu anda memahami rahsia "di sebalik kunci" dengan carta alir visual.
Mengapa HTTP "tidak selamat"? --- Pengenalan
Ingat amaran pelayar yang biasa itu?
"Sambungan anda tidak peribadi."
Sebaik sahaja sesebuah laman web tidak menggunakan HTTPS, semua maklumat pengguna akan dihantar merentasi rangkaian dalam bentuk teks biasa. Kata laluan log masuk, nombor kad bank dan juga perbualan peribadi anda boleh dirampas oleh penggodam yang berada pada kedudukan yang baik. Punca utamanya ialah kekurangan penyulitan HTTP.
Jadi bagaimanakah HTTPS, dan "penjaga pintu" di sebaliknya, TLS, membolehkan data bergerak dengan selamat merentasi Internet? Mari kita huraikannya lapisan demi lapisan.
HTTPS = HTTP + TLS/SSL --- Struktur dan Konsep Teras
1. Apakah sebenarnya HTTPS?
HTTPS (Protokol Pemindahan HiperTeks Selamat) = HTTP + Lapisan Penyulitan (TLS/SSL)
○ HTTP: Ini bertanggungjawab untuk mengangkut data, tetapi kandungannya boleh dilihat dalam teks biasa
○ TLS/SSL: Menyediakan "penyulitan kunci" untuk komunikasi HTTP, menjadikan data sebagai teka-teki yang hanya penghantar dan penerima yang sah sahaja yang boleh menyelesaikannya.
Rajah 1: Aliran data HTTP vs HTTPS.
"Kunci" dalam bar alamat pelayar ialah bendera keselamatan TLS/SSL.
2. Apakah hubungan antara TLS dan SSL?
○ SSL (Lapisan Soket Selamat): Protokol kriptografi terawal yang didapati mempunyai kelemahan yang serius.
○ TLS (Keselamatan Lapisan Pengangkutan): Pengganti SSL, TLS 1.2 dan TLS 1.3 yang lebih canggih, yang menawarkan penambahbaikan ketara dalam keselamatan dan prestasi.
Pada masa kini, "sijil SSL" hanyalah pelaksanaan protokol TLS, hanya dinamakan sambungan.
Jauh ke dalam TLS: Keajaiban Kriptografi Di Sebalik HTTPS
1. Aliran jabat tangan diselesaikan sepenuhnya
Asas komunikasi selamat TLS ialah tarian jabat tangan semasa persediaan. Mari kita huraikan aliran jabat tangan TLS standard:
Rajah 2: Aliran jabat tangan TLS yang tipikal.
1️⃣ Persediaan Sambungan TCP
Klien (contohnya, pelayar) memulakan sambungan TCP ke pelayan (port standard 443).
2️⃣ Fasa Jabat Tangan TLS
○ Klien Hello: Pelayar menghantar versi TLS yang disokong, cipher dan nombor rawak bersama-sama dengan Petunjuk Nama Pelayan (SNI), yang memberitahu pelayan nama hos yang ingin diaksesnya (membolehkan perkongsian IP merentasi berbilang tapak).
○ Isu Helo & Sijil Pelayan: Pelayan memilih versi dan cipher TLS yang sesuai dan menghantar kembali sijilnya (dengan kunci awam) dan nombor rawak.
○ Pengesahan sijil: Pelayar mengesahkan rantaian sijil pelayan sehingga ke CA root yang dipercayai untuk memastikan ia tidak dipalsukan.
○ Penjanaan kunci prainduk: Pelayar menjana kunci prainduk, menyulitkannya dengan kunci awam pelayan dan menghantarnya ke pelayan. Dua pihak merundingkan kunci sesi: Menggunakan nombor rawak kedua-dua pihak dan kunci prainduk, klien dan pelayan mengira kunci sesi penyulitan simetri yang sama.
○ Penyempurnaan jabat tangan: Kedua-dua pihak menghantar mesej "Selesai" antara satu sama lain dan memasuki fasa penghantaran data yang disulitkan.
3️⃣ Pemindahan Data Selamat
Semua data perkhidmatan disulitkan secara simetri dengan kunci sesi yang dirundingkan dengan cekap, walaupun dipintas di tengah, ia hanyalah sekumpulan "kod yang tidak teratur".
4️⃣ Penggunaan Semula Sesi
TLS sekali lagi menyokong Session, yang boleh meningkatkan prestasi dengan ketara dengan membenarkan klien yang sama melangkau jabat tangan yang membosankan.
Penyulitan asimetri (seperti RSA) adalah selamat tetapi perlahan. Penyulitan simetri adalah pantas tetapi pengedaran kunci adalah rumit. TLS menggunakan strategi "dua langkah" - pertama pertukaran kunci selamat asimetri dan kemudian skema simetri untuk menyulitkan data dengan cekap.
2. Evolusi algoritma dan penambahbaikan keselamatan
RSA dan Diffie-Hellman
○ RSA
Ia pertama kali digunakan secara meluas semasa jabat tangan TLS untuk mengagihkan kunci sesi dengan selamat. Klien menjana kunci sesi, menyulitkannya dengan kunci awam pelayan dan menghantarnya supaya hanya pelayan sahaja yang boleh menyahsulitnya.
○ Diffie-Hellman (DH/ECDH)
Mulai TLS 1.3, RSA tidak lagi digunakan untuk pertukaran kunci dan menggantikannya dengan algoritma DH/ECDH yang lebih selamat yang menyokong kerahsiaan ke hadapan (PFS). Walaupun kunci peribadi bocor, data sejarah masih tidak dapat dibuka kuncinya.
| Versi TLS | Algoritma Pertukaran Utama | Keselamatan |
| TLS 1.2 | RSA/DH/ECDH | Lebih tinggi |
| TLS 1.3 | hanya untuk DH/ECDH | Lebih Tinggi |
Nasihat Praktikal yang mesti dikuasai oleh Pengamal Rangkaian
○ Keutamaan naik taraf kepada TLS 1.3 untuk penyulitan yang lebih pantas dan selamat.
○ Dayakan sifer yang kuat (AES-GCM, ChaCha20, dsb.) dan lumpuhkan algoritma yang lemah dan protokol yang tidak selamat (SSLv3, TLS 1.0);
○ Konfigurasikan HSTS, OCSP Stapling, dsb. untuk meningkatkan perlindungan HTTPS keseluruhan;
○ Kemas kini dan semak semula rantaian sijil secara berkala untuk memastikan kesahihan dan integriti rantaian amanah.
Kesimpulan & Pemikiran: Adakah perniagaan anda benar-benar selamat?
Daripada HTTP teks biasa kepada HTTPS yang disulitkan sepenuhnya, keperluan keselamatan telah berkembang di sebalik setiap peningkatan protokol. Sebagai asas komunikasi yang disulitkan dalam rangkaian moden, TLS sentiasa menambah baik dirinya untuk menghadapi persekitaran serangan yang semakin kompleks.
Adakah perniagaan anda sudah menggunakan HTTPS? Adakah konfigurasi kripto anda selaras dengan amalan terbaik industri?
Masa siaran: 22 Julai 2025
