Xəbər 06 Apr 2026

SSL sertifikatı necə işləyir: TLS handshake izahı

Brauzerinizin URL çubuğundakı yaşıl kilid - sadə bir işarə deyil, mürəkkəb kriptoqrafik proseslərin nəticəsidir. TLS handshake - hər HTTPS bağlantıdan əvvəl baş verən doğrulama prosesidir.

Asimmetrik və simmetrik şifrələmə

Asimmetrik şifrələmə nədir?

İki açar var - public key (hamı bilir) və private key (yalnız sahib bilir). Public-lə şifrələnən mətni yalnız private ilə açmaq olar. RSA, ECDSA - alqoritmlər.

Simmetrik şifrələmə

Bir açar - hər iki tərəf eyni açardan istifadə edir. Sürətlidir, lakin açarı necə təhlükəsiz ötürmək problemdir. AES - standart alqoritm.

TLS handshake addımları

1. Client Hello

Brauzer serverə "Salam, mən TLS 1.3 dəstəkləyirəm, bu cipher suite-lərim var" deyir.

2. Server Hello + Sertifikat

Server "Tamam, biz TLS 1.3 və AES-256-GCM cipher istifadə edirik" deyir və sertifikatını göndərir.

3. Sertifikat doğrulama

Brauzer sertifikatın yoxlanılır: domen uyğundurmu, vaxtı keçməyibmı, etibarlı Certificate Authority tərəfindən imzalanıbmı?

4. Açar mübadiləsi

Brauzer asimmetrik şifrələmə ilə simmetrik açar göndərir - yalnız server private key ilə oxuya bilər.

5. Şifrələnmiş əlaqə

Bundan sonra bütün mətn AES ilə şifrələnir - tez və təhlükəsiz.

Certificate Authority (CA) nədir?

SSL sertifikatlarını imzalayan etibarlı təşkilatlar - Lets Encrypt, DigiCert, Sectigo. Brauzerdə ön-yüklənmiş kök sertifikatlar var.

TLS versiyaları

  • SSL 3.0: 1996 - təhlükəlidir, istifadə etməyin
  • TLS 1.0: 1999 - köhnəlmiş
  • TLS 1.1: 2006 - köhnəlmiş
  • TLS 1.2: 2008 - hələ də istifadə olunur
  • TLS 1.3: 2018 - tövsiyə olunur

TLS 1.3 nəyə görə daha yaxşıdır?

1-RTT handshake

Köhnə TLS-də 2 round-trip lazım idi. TLS 1.3-də 1 round-trip - 50% daha sürətli.

0-RTT (Zero Round Trip)

Əvvəl bağlanmış serverlərə yenidən bağlanma - sıfır gecikmə.

Köhnə cipher-lar silinib

RSA key exchange, RC4, MD5, SHA-1 - hamısı silinib. Yalnız modern alqoritmlər qalıb.

Forward Secrecy nədir?

Hər sessiya üçün ayrı simmetrik açar yaranır. Server private key-i gələcəkdə oğurlansa belə, keçmiş sessiyaları deşifrə edə bilməz.

HSTS (HTTP Strict Transport Security)

Brauzerə "həmişə HTTPS istifadə et" deyir. .htaccess-də Strict-Transport-Security: max-age=31536000 ilə əlavə edilir.

Sertifikat zəncirləri

Sertifikat → intermediate CA → root CA. Brauzer hər birinə güvənib son qərara gəlir.

Hostinq.az hosting TLS 1.3 + HSTS hazır gəlir, ən modern şifrələmə standartları.

Paylaş: