WinUpGo
Demo oyunlarƏN YAXŞI Kazino
ƏN YAXŞI KazinoKAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
KAZİNO ProqramıDünya KazinoTelegram KazinoBot Kazinoİdman Kazinoİsti Mövzular
Axtarış
WinUpGo Wiki - onlayn casino, slot və iGaming sənayesinin ensiklopediyası WUG WIKI
Depozitsiz bonuslar Bonuslar
Oyun avtomatlarının provayderləri Provayderlər
Oyun maşınları Top Slots
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Şəxsi kabinet Kabinet
Community Chat Australian Pokies
Onlayn söhbət Chat
Onlayn dəstək Dəstək
Kriptovalyuta Casino Kriptovalyutalar Torrent Gear - universal torrent axtarış! Torrent Gear

Şifrələmə və API qorunması: TLS, HSTS, PFS, sirlərin rotasiyası

1) Təhdidlərin və məqsədlərin təsviri

MitM hücumu, trafikin tutulması, downqread hücumları, saxta tokenlər, açar sızmaları və uzunmüddətli sirlərin sui-istifadəsi altında API. Müdafiə məqsədləri:
  • Məxfilik və bütövlük (TLS 1. 3 + güclü şifrələr).
  • Downgread/stripping qorunması (HSTS, qadağan olunmuş versiyalar/şifrələr).
  • Kompromasiya zamanı zərərin minimuma endirilməsi (PFS, qısa TTL, sürətli rotasiya).
  • Etibarlı müştəri/xidmət identifikasiyası (mTLS/tokenlər) və izlənilebilirlik.

2) TLS baza kimi (server və servis-service)

Versiyalar və şifrələr:
  • TLS default 1. 3; TLS 1 icazə. 2 yalnız uyğunluq üçün. 1-i söndürün. 1/1. 0.
Prioritet şifrələr TLS 1. 3:
  • `TLS_AES_128_GCM_SHA256`, `TLS_AES_256_GCM_SHA384`, `TLS_CHACHA20_POLY1305_SHA256`.
  • TLS üçün 1. 2: AES-GCM/ChaCha20 və ECDSA/RSA imzası ilə yalnız ECDHE (məsələn, 'ECDHE-ECDSA-AES128-GCM-SHA256').
Açarlar və sertifikatlar:
  • Server açarları: ECDSA P-256/P-384 (daha sürətli və daha qısa) və ya RSA 2048 +/3072.
  • mTLS üçün müştəri açarları: ECDSA P-256; öz CA və ya ödənişli HSM/KMS vasitəsilə verilir.
  • Daha çox Must-Staple bayrağı və ALPN (HTTP/2/3) ilə OCSP stapling daxil edin.
PFS (Perfect Forward Secrecy):
  • Efemer mübadiləsi (ECDHE) ilə təmin edilir - server açarı sızsa belə, keçmiş sessiyalar deşifrə edilə bilməz.
  • Statik DH/RSA-açar müqaviləsini zorla söndürün.
Müasir əlavələr:
  • ECH (Encrypted Client Hello), ön/CDN tərəfindən dəstəklənərsə, SNI-ni gizlədir.
  • HTTP/2/3 yalnız güclü şifrələrlə; qorunmayan HTTP qadağası, HTTPS-də redirect.

3) TLS-stripping qarşı HSTS

Kök domen və alt domenlərdə HTTP Strict Transport Security daxil edin: 

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Domen kodunu HSTS preload siyahısına daxil edin.

Dərc etməzdən əvvəl düzgünlüyə diqqət yetirin (geri qaytarmaq çətindir).

4) Qarşılıqlı autentifikasiya: mTLS və/və ya tokenlər

mikroservislər/daxili API arasında mTLS: iki tərəfli sertifikatlar, service mesh (Istio/Linkerd) və ya öz PKI vasitəsilə avtomatik rotasiya.

API müştəriləri (mobil/tərəfdaş inteqrasiyası): tokenlər (OAuth2/OIDC, JWT), yüksək risk üçün isteğe bağlı mTLS.

Açıq cəbhələr üçün: TLS +/DPoP cihazına bağlı qısa ömürlü OAuth2/OIDC tokenləri.

5) Sertifikatların və həyat dövrünün idarə edilməsi

ACME-avtomatlaşdırma (məsələn, Let 's Encrypt/təşkilati CA) müddəti bitməzdən 30 gün əvvəl avtomatik yeniləmə ilə.

Sertifikatların qısa ömrü (90 gündən ≤) + vaxt monitorinqi, alertlər və kanarya deploy paketləri.

Mərkəzləşdirilmiş PKI: kök/aralıq CA, CRL/OCSP, buraxılış və geri çağırış auditi.

nginx nümunəsi (fraqment): 
nginx ssl_protocols TLSv1. 3 TLSv1. 2;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
ssl_prefer_server_ciphers on;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_stapling on; ssl_stapling_verify on;
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

6) Sirlərin rotasiyası: prinsiplər və nümunələr

Rotasiya məqsədləri: sızmaların «partlayış radiusunu» məhdudlaşdırmaq, sui-istifadə müddətini azaltmaq, sorunsuz buraxılışları təmin etmək.

Əsas qaydalar:
  • Sirləri yalnız gizli menecerdə saxlamaq (KMS/Vault/Cloud SM). Git/şəkillərdə heç bir sirr yoxdur.
  • Qısa TTL və avtomatik rotasiya: imza açarları, DB parolları, provayderlərin API açarları.
  • Double Post (dual-key window): Köhnə və yeni açarlar eyni zamanda paylama müddətində aktivdir.
  • Version + kid (JWT/JWKS üçün), köhnə tokenlərin təsdiqlənməsi üçün «grace» pəncərəsi.
Mütəmadi olaraq nə çevirmək lazımdır:
  • JWT-açarları (imza/şifrələmə), HMAC-vebhuk və callback sirləri, Şifrələr/DB hesabları, Cache Credits (Redis), CI/CD tokenləri, Provayderlərin sirləri (KYC/AML, ödənişlər, SMS/e-mail), SSH-açarları avtomatlaşdırma.

Plandankənar rotasiya triggerləri: sızma şübhəsi, giriş işçilərinin işdən çıxarılması, təchizatçının dəyişdirilməsi, tənzimləyicinin tələbləri.

7) JWT/JWKS: təhlükəsiz roll overlay

Cari və gələcək açarla JWKS endpoint yayımlayın ('kid' tələb olunur).

Rotasiya proseduru:

1. Yeni bir açar yaradın → JWKS-ə «ikinci» kimi əlavə edin.

2. Abunəçiləri yeniləyin → Yeni açarla yeni tokenlərin buraxılması.

3. Köhnə tokenlərin TTL gözləyin → JWKS-dən köhnə açarı silmək.

Əlavə yoxlama ilə qısa TTL tokenlərini (məsələn, 5-15 dəqiqə) + refresh axınlarını quraşdırın.

8) Praktikada gizli idarəetmə

KMS + envelope encryption: HSM/KMS-də əsas açar, məlumatlar «sarılmış» DEK-lə şifrələnir.

Vault/Cloud Secret Manager: DB-yə dinamik kreddlər (TTL ilə hesabların verilməsi), dövri rotasiya.

Kubernetes: External Secrets/Secrets Store CSI; etcd şifrələmə; RBAC; sirlərin log qadağan.

Rollar üzrə giriş: IAM/ABAC, ən kiçik imtiyazlar prinsipi, aparat sərhədləri (HSM, TPM).

Tam audit: kim, nə, nə vaxt, niyə oxudu/dəyişdi.

9) Perimetr daxilində nəqliyyat qorunması

«Daxili şəbəkəyə» etibar etməyin: hər yerdə TLS/mTLS (zero-trust).

Service mesh sertifikatları, yenidən başlamaq və rotasiya, müşahidə (mTLS default) avtomatlaşdırır.

TLS terminasiyalarını minimuma endirin: ya edge + şifrəli east-west, ya da keçici şifrələmə.

10) TLS üzərindən API təhlükəsizlik siyasəti

Rate limiting/DoS-qorunması, vebhuk imzasının yoxlanılması (HMAC Secrets Rotation).

Content-Security-Policy/Referrer-Policy/X-Content-Type-Options для фронта.

Kritik endpointlər üçün mTLS (ödənişlər, adminka), partnyorlar üçün IP allow-list.

Replay-qorunması: imzalanmış sorğularda timestamp + nonce, pəncərələr 5 dəqiqədən çox deyil.

11) Monitorinq və testlər

TLS müşahidə: metriklərdə versiyalar/şifrələr, downgread cəhdləri üçün risklər, əl sıxma uğursuzluqlarının artması.

Skanerlər (CI/CD və mütəmadi olaraq prodda): dəstəklənən şifrələrin, sertifikatların, HSTS, OCSP-nin yoxlanılması.

Chaos/DR təlimləri: sertifikatın başa çatması, gizli menecerin düşməsi, imza açarının güzəşti - reaksiya planlarını yoxlayın.

12) Cavab prosedurları

Açarın güzəşti: sertifikatın dərhal geri alınması/açarın JWKS-dən çıxarılması, ehtiyat üçün dönüş, tokenlərin məcburi bərpası.

Uzadılmadan bitmə: müvəqqəti deqradasiya (yalnız daxili trafik), sertifikatların avtomatik yenidən quraşdırılması.

Hadisə hesabatı: time line, təsir subyektləri, texniki. detallar, düzəliş tədbirləri.

13) Tez yoxlama çek siyahısı (prod-ready)

  • Yalnız TLS 1. 3 (+ 1. 2 legasi üçün), ciddi şifrələr siyahısı.
  • HSTS с `preload`, OCSP stapling, ALPN.
  • PFS üçün ECDHE; ECDSA P-256/384 və ya RSA 3072.
  • mTLS/kritik xidmətlər arasında.
  • JWKS + kid, qısa TTL tokenləri, rotasiya planı.
  • Secrets - yalnız KMS/Vault, auto-rotation DB/provayderlər.
  • Sertifikatların avtomatik yenilənməsi (ACME), 30 gün ərzində alertlər.
  • Təhlükəsizlik başlıqlarının və həssas şifrələrin CI/CD yoxlanılması.
  • Sənədli runbook 'i: rotasiya, baxış, hadisələr.

Xülasə

API-nin etibarlı qorunması TLS 1-in birləşməsidir. 3 + HSTS + PFS məcburi minimum və yetkin açar və sirr idarəetmə prosesləri kimi. Xidmətlər arasında mTLS əlavə edin, KMS/Vault/mesh vasitəsilə buraxılışı/rotasiyanı avtomatlaşdırın, açarları dəyişdirərkən qısa TTL və «ikiqat pəncərələr» saxlayın - və siz məhsulun əlçatanlığını və sürətini qırmadan saxlama, downqread və gizli sirlərdən sui-istifadə risklərini minimuma endirəcəksiniz.

× Oyunlarda axtarış
Axtarışı başlatmaq üçün ən azı 3 simvol daxil edin.