பாதுகாப்பு இனி ஒரு விருப்பமல்ல, ஆனால் ஒவ்வொரு இணைய தொழில்நுட்ப பயிற்சியாளருக்கும் தேவையான பாடமாகும். HTTP, HTTPS, SSL, TLS - திரைக்குப் பின்னால் என்ன நடக்கிறது என்பதை நீங்கள் உண்மையில் புரிந்துகொள்கிறீர்களா? இந்தக் கட்டுரையில், நவீன மறைகுறியாக்கப்பட்ட தகவல் தொடர்பு நெறிமுறைகளின் முக்கிய தர்க்கத்தை ஒரு சாதாரண மனிதனின் மற்றும் தொழில்முறை வழியில் விளக்குவோம், மேலும் "பூட்டுகளுக்குப் பின்னால் உள்ள" ரகசியங்களை ஒரு காட்சி பாய்வு விளக்கப்படத்துடன் புரிந்துகொள்ள உதவுவோம்.
HTTP ஏன் "பாதுகாப்பற்றது"? --- அறிமுகம்
அந்த பழக்கமான உலாவி எச்சரிக்கை நினைவிருக்கிறதா?
"உங்கள் இணைப்பு தனிப்பட்டது அல்ல."
ஒரு வலைத்தளம் HTTPS ஐப் பயன்படுத்தவில்லை என்றால், பயனரின் அனைத்து தகவல்களும் நெட்வொர்க் முழுவதும் எளிய உரையில் மாற்றப்படும். உங்கள் உள்நுழைவு கடவுச்சொற்கள், வங்கி அட்டை எண்கள் மற்றும் தனிப்பட்ட உரையாடல்கள் கூட நன்கு நிலைநிறுத்தப்பட்ட ஹேக்கரால் கைப்பற்றப்படலாம். இதற்கு மூல காரணம் HTTP இன் குறியாக்கமின்மைதான்.
எனவே HTTPS மற்றும் அதன் பின்னால் உள்ள "கேட் கீப்பர்", TLS ஆகியவை எவ்வாறு தரவு இணையம் முழுவதும் பாதுகாப்பாக பயணிக்க அனுமதிக்கின்றன? அதை அடுக்காகப் பிரிப்போம்.
HTTPS = HTTP + TLS/SSL --- கட்டமைப்பு மற்றும் முக்கிய கருத்துக்கள்
1. HTTPS என்றால் என்ன?
HTTPS (ஹைபர்டெக்ஸ்ட் டிரான்ஸ்ஃபர் புரோட்டோகால் செக்யூர்) = HTTP + என்க்ரிப்ஷன் லேயர் (TLS/SSL)
○ HTTP: இது தரவைக் கொண்டு செல்வதற்குப் பொறுப்பாகும், ஆனால் உள்ளடக்கம் எளிய உரையில் தெரியும்.
○ TLS/SSL: HTTP தகவல்தொடர்புக்கு "குறியாக்கத்தைப் பூட்டுதல்" வழங்குகிறது, தரவை ஒரு புதிராக மாற்றுகிறது, இது முறையான அனுப்புநர் மற்றும் பெறுநர் மட்டுமே தீர்க்க முடியும்.
படம் 1: HTTP vs HTTPS தரவு ஓட்டம்.
உலாவி முகவரிப் பட்டியில் உள்ள "பூட்டு" என்பது TLS/SSL பாதுகாப்புக் கொடியாகும்.
2. TLS மற்றும் SSL இடையே உள்ள தொடர்பு என்ன?
○ SSL (பாதுகாப்பான சாக்கெட்டுகள் அடுக்கு): ஆரம்பகால கிரிப்டோகிராஃபிக் நெறிமுறை, இது கடுமையான பாதிப்புகளைக் கொண்டிருப்பதாகக் கண்டறியப்பட்டுள்ளது.
○ TLS (போக்குவரத்து அடுக்கு பாதுகாப்பு): SSL இன் வாரிசு, TLS 1.2 மற்றும் மிகவும் மேம்பட்ட TLS 1.3, இது பாதுகாப்பு மற்றும் செயல்திறனில் குறிப்பிடத்தக்க முன்னேற்றங்களை வழங்குகிறது.
இப்போதெல்லாம், "SSL சான்றிதழ்கள்" என்பது TLS நெறிமுறையின் செயல்படுத்தல்களாகும், அவை நீட்டிப்புகள் என்று பெயரிடப்பட்டுள்ளன.
TLS-ஐ ஆழமாகப் புரிந்துகொள்ளுங்கள்: HTTPS-க்குப் பின்னால் உள்ள கிரிப்டோகிராஃபிக் மாயாஜாலம்
1. கைகுலுக்கல் ஓட்டம் முழுமையாக தீர்க்கப்பட்டது.
TLS பாதுகாப்பான தகவல்தொடர்புக்கான அடித்தளம், அமைக்கும் நேரத்தில் கைகுலுக்கும் நடனம் ஆகும். நிலையான TLS கைகுலுக்கும் ஓட்டத்தை உடைப்போம்:
படம் 2: ஒரு பொதுவான TLS கைகுலுக்கல் ஓட்டம்.
1️⃣ TCP இணைப்பு அமைப்பு
ஒரு கிளையன்ட் (எ.கா., ஒரு உலாவி) சேவையகத்துடன் TCP இணைப்பைத் தொடங்குகிறது (நிலையான போர்ட் 443).
2️⃣ TLS கைகுலுக்கல் கட்டம்
○ கிளையன்ட் ஹலோ: உலாவி ஆதரிக்கப்படும் TLS பதிப்பு, சைஃபர் மற்றும் சீரற்ற எண்ணை சர்வர் பெயர் அறிகுறி (SNI) உடன் அனுப்புகிறது, இது சர்வர் எந்த ஹோஸ்ட்பெயரை அணுக விரும்புகிறது என்பதைத் தெரிவிக்கிறது (பல தளங்களில் IP பகிர்வை இயக்குகிறது).
○ சர்வர் ஹலோ & சான்றிதழ் சிக்கல்: சர்வர் பொருத்தமான TLS பதிப்பு மற்றும் சைஃபரைத் தேர்ந்தெடுத்து, அதன் சான்றிதழை (பொது விசையுடன்) மற்றும் சீரற்ற எண்களை திருப்பி அனுப்புகிறது.
○ சான்றிதழ் சரிபார்ப்பு: உலாவியானது சர்வர் சான்றிதழ் சங்கிலியை நம்பகமான ரூட் CA வரை சரிபார்க்கிறது, இதனால் அது போலியாக உருவாக்கப்படவில்லை என்பதை உறுதி செய்கிறது.
○ முன்மாஸ்டர் விசை உருவாக்கம்: உலாவி ஒரு முன்மாஸ்டர் விசையை உருவாக்கி, அதை சேவையகத்தின் பொது விசையுடன் குறியாக்கம் செய்து, சேவையகத்திற்கு அனுப்புகிறது. இரண்டு தரப்பினரும் அமர்வு விசையை பேச்சுவார்த்தை நடத்துகிறார்கள்: இரு தரப்பினரின் சீரற்ற எண்கள் மற்றும் முன்மாஸ்டர் விசையைப் பயன்படுத்தி, கிளையன்ட் மற்றும் சர்வர் ஒரே சமச்சீர் குறியாக்க அமர்வு விசையைக் கணக்கிடுகின்றன.
○ ஹேண்ட்ஷேக் நிறைவு: இரு தரப்பினரும் ஒருவருக்கொருவர் "முடிந்தது" செய்திகளை அனுப்பி மறைகுறியாக்கப்பட்ட தரவு பரிமாற்ற கட்டத்தில் நுழைகிறார்கள்.
3️⃣ பாதுகாப்பான தரவு பரிமாற்றம்
அனைத்து சேவைத் தரவுகளும் சமச்சீராக பேச்சுவார்த்தை அமர்வு விசையுடன் திறமையாக குறியாக்கம் செய்யப்படுகின்றன, நடுவில் இடைமறிக்கப்பட்டாலும் கூட, அது வெறும் "குப்பை குறியீடு" தான்.
4️⃣ அமர்வு மறுபயன்பாடு
TLS மீண்டும் Session-ஐ ஆதரிக்கிறது, இது அதே கிளையன்ட் சலிப்பூட்டும் ஹேண்ட்ஷேக்கைத் தவிர்க்க அனுமதிப்பதன் மூலம் செயல்திறனை பெரிதும் மேம்படுத்தும்.
சமச்சீரற்ற குறியாக்கம் (RSA போன்றவை) பாதுகாப்பானது ஆனால் மெதுவாக உள்ளது. சமச்சீர் குறியாக்கம் வேகமானது ஆனால் விசை விநியோகம் சிக்கலானது. TLS ஒரு "இரண்டு-படி" உத்தியைப் பயன்படுத்துகிறது - முதலில் ஒரு சமச்சீரற்ற பாதுகாப்பான விசை பரிமாற்றம் மற்றும் பின்னர் தரவை திறம்பட குறியாக்க ஒரு சமச்சீர் திட்டம்.
2. வழிமுறை பரிணாமம் மற்றும் பாதுகாப்பு மேம்பாடு
RSA மற்றும் டிஃபி-ஹெல்மேன்
○ ஆர்எஸ்ஏ
அமர்வு விசைகளைப் பாதுகாப்பாக விநியோகிக்க TLS கைகுலுக்கலின் போது இது முதலில் பரவலாகப் பயன்படுத்தப்பட்டது. கிளையன்ட் ஒரு அமர்வு விசையை உருவாக்கி, அதை சேவையகத்தின் பொது விசையுடன் குறியாக்கம் செய்து, சேவையகத்தால் மட்டுமே அதை மறைகுறியாக்க முடியும் வகையில் அனுப்புகிறது.
○ டிஃபி-ஹெல்மேன் (DH/ECDH)
TLS 1.3 இன் படி, முன்னோக்கி ரகசியத்தை (PFS) ஆதரிக்கும் மிகவும் பாதுகாப்பான DH/ECDH வழிமுறைகளுக்கு ஆதரவாக விசை பரிமாற்றத்திற்கு RSA இனி பயன்படுத்தப்படவில்லை. தனிப்பட்ட விசை கசிந்தாலும், வரலாற்றுத் தரவை இன்னும் திறக்க முடியாது.
| TLS பதிப்பு | விசை பரிமாற்ற வழிமுறை | பாதுகாப்பு |
| டிஎல்எஸ் 1.2 | ஆர்எஸ்ஏ/டிஎச்/ஈசிடிஎச் | உயர்ந்தது |
| டிஎல்எஸ் 1.3 | DH/ECDHக்கு மட்டும் | மேலும் உயர்ந்தது |
நெட்வொர்க்கிங் பயிற்சியாளர்கள் தேர்ச்சி பெற வேண்டிய நடைமுறை ஆலோசனைகள்
○ வேகமான மற்றும் மிகவும் பாதுகாப்பான குறியாக்கத்திற்கு TLS 1.3 க்கு முன்னுரிமை மேம்படுத்தல்.
○ வலுவான சைஃபர்களை (AES-GCM, ChaCha20, முதலியன) இயக்கவும் மற்றும் பலவீனமான வழிமுறைகள் மற்றும் பாதுகாப்பற்ற நெறிமுறைகளை (SSLv3, TLS 1.0) முடக்கவும்;
○ ஒட்டுமொத்த HTTPS பாதுகாப்பை மேம்படுத்த HSTS, OCSP ஸ்டேப்ளிங் போன்றவற்றை உள்ளமைக்கவும்;
○ அறக்கட்டளைச் சங்கிலியின் செல்லுபடியாகும் தன்மை மற்றும் ஒருமைப்பாட்டை உறுதிசெய்ய சான்றிதழ் சங்கிலியைத் தொடர்ந்து புதுப்பித்து மதிப்பாய்வு செய்யவும்.
முடிவு & எண்ணங்கள்: உங்கள் வணிகம் உண்மையிலேயே பாதுகாப்பானதா?
எளிய உரை HTTP முதல் முழுமையாக மறைகுறியாக்கப்பட்ட HTTPS வரை, ஒவ்வொரு நெறிமுறை மேம்படுத்தலுக்குப் பின்னாலும் பாதுகாப்புத் தேவைகள் உருவாகியுள்ளன. நவீன நெட்வொர்க்குகளில் மறைகுறியாக்கப்பட்ட தகவல்தொடர்புக்கான மூலக்கல்லாக, அதிகரித்து வரும் சிக்கலான தாக்குதல் சூழலைச் சமாளிக்க TLS தொடர்ந்து தன்னை மேம்படுத்திக் கொள்கிறது.
உங்கள் வணிகம் ஏற்கனவே HTTPS ஐப் பயன்படுத்துகிறதா? உங்கள் கிரிப்டோ உள்ளமைவு தொழில்துறையின் சிறந்த நடைமுறைகளுடன் ஒத்துப்போகிறதா?
இடுகை நேரம்: ஜூலை-22-2025
