GH GambleHub

In Transit shifrlash

In Transit shifrlash

1) Nazorat chegarasini belgilash

In transit shifrlash - bu tarmoqqa uzatishning butun yo’lidagi ma’lumotlarni (brauzer, servis, agent, broker, ilova bazasi, datacentr, datacenter) passiv tutib olish va kanalga faol hujumlar qilish tarkibni ochib bermasligi va uni aniqlamasdan modifikatsiyalashga imkon bermasligi uchun himoyalashdir.

Biz nimani qamrab olamiz: ommaviy va shaxsiy API (HTTP/HTTPS, gRPC), striming va brokerlar (Kafka, NATS, RabbitMQ), WebSocket, tarmoq bazalari va keshlar, klaster ichidagi xizmat trafigi, VPN/ma’lumotlar markazi va bulutlar o’rtasidagi, DNS-so’rovlar, mobil/IoT-mijozlar.

Biz buni to’liq qoplamaymiz: oxirgi nuqtalarga hujum qilish (xost/brauzerning buzilishi), ilovalarning zaifligi, loglardan/damplardan sizib chiqish. Bu alohida nazorat bilan hal qilinadi (A&A, huquqlarni minimallashtirish, at rest shifrlash, xavfsiz loging).

2) Tahdidlar va maqsadlar modeli

Xavf-xatarlar: trafikni ushlash/almashtirish (MITM), protokol/shifrosuit daungreed, soxta sertifikatlar/SA, kalitlarning sizib chiqishi, SNI/meta ma’lumotlarga hujumlar, aralash kontent, balansda TLSni noto’g "ri terminallash, xavfsiz xizmatlararo ulanishlar.

Maqsadlar:

1. Maxfiylik + kriptografik autentifikatsiyalash bilan yaxlitlik.

2. Daungreidga qarshi turish (qat’iy siyosat va ).

3. Tomonlarni identifikatsiyalash (server, zarurat bo’lganda - o’zaro).

4. Sertifikatlar/kalitlarning boshqariladigan hayot sikli va audit.

5. Xavfsizlik murosasiz ishlash profili.

3) Bazaviy prinsiplar

TLS hamma joyda andoza. Tashqi va ichki trafikni shifrlaymiz.
Zamonaviy versiyalar. TLS 1. 3 standart sifatida; TLS 1. 2 - faqat qat’iy siyosatdagina. Oʻchirish 1. 0/1. 1.
PFS bilan AEAD-shifrosuitlar. AES-GCM yoki ChaCha20-Poly1305; (EC) DHE orqali PFS.
Egri chiziqlar/key-ekscheynj. X25519 (afzal) yoki secp256r1 (P-256). RSA-kalitlar ≥ 2048, yaxshiroq ECDSA (P-256).
mTLS ishonch kam bo’lganda. Xizmatlararo kanallar, ma’muriy-API, brokerlar, bazalar - o’zaro autentifikatsiya orqali.
Veb uchun HSTS. Ommaviy domenlar uchun majburiy HTTPS + preload.
«Shifrlang-va-qayta-shifrlang». Perimetrda TLS-terminatsiya + orqa tomonlargacha qayta shifrlash yoki passthrough orqali - tahdidlar modeli bo’yicha tanlaymiz.
Crypto-agility. Egri chiziqlarni/suitlarni/nol toʻxtash versiyalarini oʻzgartirish imkoniyati.

4) Bayonnomalar va ssenariylar steki

4. 1 HTTP/2, HTTP/3 (QUIC), gRPC, WebSocket

ALPN: HTTP/2 uchun h2, HTTP/3 uchun h3; h2c taqiq (TLSsiz).
HTTP/3/QUIC: birikmalarning latentligini, 0-RTT va migratsiyasini kamaytiradi; 0-RTT tanlab ruxsat berish (replay xavfi).
gRPC: h2/h3 ustiga; majburiy TLS, ixtiyoriy mTLS + per-RPC avtorizatsiya.
WebSocket: faqat wss ://; proksi/balanslarda - domenni to’g "ri yangilash va TLS-pinning.

4. 2 Xizmatlararo trafik va servis-meshlar

Sidecar-model (Istio/Linkerd va boshqalar). Avtomatik mTLS, ruxsat berish siyosati, sertifikatlarni almashtirish.
SPIFFE/SPIRE. Markazlashtirilmagan identifikatsiya xizmatlari (SPIFFE ID), SVID sertifikatlari, qisqa TTL.
TLS moslamalari markazlashtirilmoqda. Services kodida turli xil konfiguratsiyalarni minimallashtirish.

4. 3 Brokerlar/striming/navbatlar

Kafka/NATS/RabbitMQ: mijoz uchun TLS - broker va broker - broker; iloji bo’lsa - mTLS.
TLS ustidagi SASL: Agar mTLS’ni autentifikatsiya qilish mumkin boʻlmasa, u token/login orqali amalga oshiriladi, lekin kanalni shifrlash mumkin.
ACL va mavzularni avtorizatsiya qilish. Shifrlash ≠ nazorat qilish.

4. 4 Maʼlumotlar bazasi va keshlar

PostgreSQL/MySQL/SQL Server: TLS, CN/SAN validatsiyasini, pin SA/ildizni yoqish.
Redis/Memcached: stunnel/TLS-redislardan foydalanish; prodda plain-trafikni taqiqlash.

4. 5 Tarmoq/tunnellar

Ma’lumotlar markazi/bulutlar o’rtasida: IPsec (IKEv2) yoki WireGuard (zamonaviy primitivlar to’plami).
Ma’muriy kirish: zamonaviy KEX/shifrlar bilan SSH; maxfiy soʻzlarni taqiqlash, faqat kalitlar/SSO.

4. 6 DNS va yordamchi protokollar

DNS over HTTPS (DoH )/DNS over TLS (DoT) mijozlar uchun va iloji boricha klaster ichida.
Aralash tarkibni oʻchirish. http ://sahifalarida hech narsa yoʻq.

5) Sertifikatlar, PKI va kalitlarni boshqarish

PKI-modeli: tashqi domenlar uchun - ommaviy CA; ichki trafik uchun - o’z CA yoki SPIRE-CA.
Avtomatlashtirish: ACME/Cert-manager for Kubernetes, qisqa TTL, avto-rotatsiya.
OCSP stapling и CRL. Frontlarda stapling qilish; zanjirlarni muntazam yangilab turish.
Pinning - ehtiyotkorlik bilan. Mobil/desktop-mijozlarda - pin CA/SPKI halokatli yoyish mexanizmiga ega.
Kalitlarni saqlash: HSM/KMS/secret-saqlash joylarida shaxsiy kalitlar; minimal ekspozitsiyalar; logirovkani taqiqlash.

6) Konfiguratsiyalar: amaliy profillar

Tavsiya etilgan TLS profili (tashqi perimetri):
  • Versiyalar: TLS 1. 3 (majburiy), TLS 1. 2 (fallback).
Suitlar (misol):
  • TLS 1. 3: `TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`.
  • TLS 1. 2:’ECDHE-ECDSA-AES128-GCM-SHA256’,’ECDHE-RSA-AES128-GCM-SHA256’(+ variantlar AES256/CHACHA20 zarurat bo’lganda).
  • Egri chiziqlar: X25519, secp256r1.
  • Sertifikatlar: ECDSA-afzal, RSA-fallback.
  • Xavfsiz sarlavhalar: «Strict-Transport-Security», «X-Content-Type-Options», «X-Frame-Options» (keys bo’yicha), «Referrer-Policy».
  • Cookies:’Secure’,’HttpOnly’,’SameSite’(dizayn boʻyicha Lax/Strict).
Ichki perimetri (mTLS):
  • Mijoz sertifikati majburiydir.
  • Qisqa TTL mijozlar SVID (soatlar/kunlar), avtomatik rotatsiya.
  • Siyosatchilar: kim kimga ulanishi mumkin (intent-based/mesh-avtorizatsiya orqali ishlash).

7) Unumdorlik va ishonchlilik

Apparat tezlashuvi: AES-NI/ARMv8 Crypto, AES-NIsiz CPUda ChaCha20-Poly1305 afzalligi.
Session resumption: TLS 1. 3 tickets; umr ko’rish muddatini (perf va xavfsizlik o’rtasidagi balans) o’ylab ko’rish.
0-RTT: faqat idempotent so’rovlari uchun; repleydan himoyalanish (server anti-replay mexanizmlari).
Balans/proksi: aniq tanlash termination vs passthrough; termination - orqa tomonga qayta shifrlash.
Observability: qo’l siqish/xato/muzokaralar metrikasi ALPN, TLS foizi 1. 3, sertifikatlar tugashi, OCSP-maqomi.

8) Test sinovi va verifikatsiya

TLS profil skaneri. Qoʻllab-quvvatlanadigan versiyalar/suitlar/egri chiziqlar va HSTS/OCSPni muntazam tekshirish.
Salbiy testlar: downgrade taqiqlanishi, zaif signallarning og’ishi, SNIsiz/valid zanjirli sertifikatsiz ulanishlarning ishdan chiqishi.
Kanal pentesti: MITM simulyatsiyalari, mobil mijozlarda pinning tekshiruvi, 0-RTT repleyiga urinishlar.
Chaos testlari: sertifikatning tugashi/chaqirib olinishi, OCSP/CA ning mavjud emasligi.

9) Tez - tez xatolar va ulardan qanday qochish mumkin

TLS yoqilgan, ammo xost tasdiqlanmagan. Har doim CN/SAN’ni tekshiramiz,’InsecureSkipVerify’ni taqiqlaymiz.
Aralash kontent. Https sahifalardagi http manbalarini bloklab, CSPdan foydalaning.
Zaif/eskirgan versiyalar va suitlar. TLS 1 ni oʻchirish. 0/1. 1, CBC/RC4/3DES.
Ichkarida qayta shifrlash mavjud emas. Balansdan ilovaga plain-trafik - xavf.
Uzoq umr koʻradigan sertifikatlar. Qisqa TTL va avto yangilanishlarni amalga oshiring.
Proksi uchun notoʻgʻri SNI/ALPN. TLS-pass-tru/terminatsiyasida SNI/ALPNni toʻgʻri uzatish.

10) Mini-retseptlar (konfiguratsiya parchalari)

Nginx (front, TLS 1. 3/1. 2, HSTS, OCSP stapling): 

ssl_protocols      TLSv1. 3 TLSv1. 2;
ssl_ciphers       TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve     X25519:P-256;
ssl_stapling      on;
ssl_stapling_verify   on;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Envoy (servislar o’rtasida mTLS, sxema): 

transport_socket:
name: envoy. transport_sockets. tls typed_config:
"@type": type. googleapis. com/envoy. extensions. transport_sockets. tls. v3. DownstreamTlsContext common_tls_context:
tls_params:
tls_minimum_protocol_version: TLSv1_3 validation_context:
trusted_ca: { filename: /etc/tls/ca. crt }
tls_certificates:
certificate_chain: { filename: /etc/tls/tls. crt }
private_key:   { filename: /etc/tls/tls. key }
require_client_certificate: true
WireGuard (MTMlar orasidagi tunnel, sxematik): 

[Interface]
PrivateKey = <priv>
Address  = 10. 10. 0. 1/24
[Peer]
PublicKey = <pub>
AllowedIPs = 10. 10. 0. 0/24
Endpoint  = gw. example. com:51820
PersistentKeepalive = 25

11) Siyosat va muvofiqlik

Minimal talablar: TLS 1. 3 mumkin bo’lgan joyda; TLS 1. 2 - cheklangan to’plam bilan.
Regulyator: PCI DSS/finsektor - zaif versiyalarni/suitlarni taqiqlash; majburiy rotatsiya va audit.
Zero Trust-yondashuv: har bir ish yukiga bir xil, uzluksiz tekshirish va servis darajasidagi siyosat.

12) Ekspluatatsiya va SLO

SLO: ≥ 99% muvaffaqiyatli qo’l siqish, 95% ≥ TLS 1 trafigi. 3, 0% aralash kontent.
Alertlar: sertifikatlarning tugashi (<14 kun), qo’l siqish holatlarining ko’payishi, TLS ulushining pasayishi 1. 3, OCSP stapling xatolari.
Protseduralar: SA/ildizni avariya holatida almashtirish, buzilgan kalitni chaqirib olish, 0-RTT uzib qo’yish.

13) Chek-varaqlar

Sahnalashtirishdan oldin:
  • TLS 1 oʻchirildi. 0/1. 1 va zaif signallar, AEAD va PFS kiritilgan.
  • ALPN sozlangan (h2/h3); h2c taqiq.
  • HSTS aktiv (ochiq domenlar uchun), mixed content mavjud emas.
  • Sertifikatlar avto yangilanmoqda, OCSP stapling ishlamoqda.
  • Ichki kanallar mTLS (yoki WireGuard/IPsec ekvivalenti) bilan himoyalangan.
  • SDK mijozlarida xost/zanjir validatsiyasi tekshirildi.
Foydalanish:
  • TLS/ALPN/xato va ekspiratsiya versiyalarini kuzatish.
  • Crypto-agility rejasi (yangi signal/egri chiziqlarga tarjima qilish).
  • Kanalning davriy pentestlari va konfiguratsiyalarning revyusi.

14) FAQ

S: Faqat perimetrda TLS yetarlimi?
A: Yo’q. Ichki trafik ham shifrlanishi kerak (mTLS/tunnel/mesh), ayniqsa bulutlarda va ko’p ijarada.

V: 0-RTT kerakmi?
O: Idempotent so’rovlari uchun nuqtani yoqing, aks holda replay xavfi tufayli o’chirib qo’ying.

V: Ma’lumotlar markazi o’rtasida nimani tanlash kerak? IPsec yoki WireGuard?
O: WireGuard sodda va tezkor, IPsec - etuk va keng qo’llab-quvvatlanadigan. Ikkalasi ham toʻgʻri konfiguratsiyada mumkin.

S: Vebxuklarni yo’lda qanday himoya qilish kerak?
O: Zamonaviy profilga ega HTTPS + jo’natuvchi sertifikatini tekshirish (agar mTLS bo’lsa) + foydali yuk imzosi va taymstempni tekshirish (qarang: «Vebxuklarni yetkazib berish kafolatlari», «Imzo va so’rovlarni tekshirish»).

Bog’liq materiallar:
  • «At Rest shifrlash»
  • «Autentifikatsiya va avtorizatsiya»
  • «So’rovlarning imzosi va verifikatsiyasi»
  • «S2S-autentifikatsiya»
  • «Kalitlarni boshqarish va rotatsiya»
Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.