WinUpGo
Бозиҳои демоТОП Казино
ТОП КазиноНармафзори КазиноҶаҳон КазиноТелеграм КазиноБот КазиноВарзиш КазиноМавзӯъҳои гарм
Нармафзори КазиноҶаҳон КазиноТелеграм КазиноБот КазиноВарзиш КазиноМавзӯъҳои гарм
Ҷустуҷӯ
Win WUG WIKI
Не мукофотпулии амонатӣ Бонусҳо
Таъминкунандагони мошини ковокии Таъминкунандагон
Мошинҳои ковокии Ковокии боло
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Ҳисоби шахсӣ Дафтар
Community Chat Australian Pokies
Сӯҳбати зинда Чат
Дастгирии онлайн Дастгирии муштариён
Казино Cryptocurrency Казино Crypto Torrent Gear ҷустуҷӯи ҷӯйборҳои мақсадноки шумост! Torrent фишанги

Рамзгузорӣ ва муҳофизати API: TLS, HSTS, PFS, гардиши махфӣ

1) Тасвир ва ҳадафҳои таҳдид

API-ҳо дар ҳамлаи MITM, дахолати ҳаракат, ҳамлаҳои коҳишёбанда, ғоратгарии нишонаҳо, ихроҷи калидҳо ва сӯиистифода аз сирри дарозмуддат. Ҳадафҳои муҳофизат:
  • Махфият ва якпорчагӣ (TLS 1). 3 + рамзҳои қавӣ).
  • Муҳофизат аз коҳиш/кашидан (HSTS, версияҳои/шифрҳои манъшуда).
  • Кам кардани зарари созиш (PFS, TTL кӯтоҳ, гардиши зуд).
  • Аутентификатсияи боэътимоди муштарӣ/хидматрасонӣ (m: TLS/токенҳо) ва пайгирӣ.

2) TLS ҳамчун асос (сервер ва хидматрасонӣ ба хидмат)

Версияҳо ва шифрҳо:
  • Пешфарз TLS 1 аст. 3; иҷозат TLS 1. 2 танҳо барои мутобиқат. Хомӯш кардани 1. 1/1. 0.
Рамзгузории афзалиятнок TLS 1. 3:
  • 'TLS _ AES _ 128 _ GCM _ SHA256', 'TLS _ AES _ 256 _ GCM _ SHA384', 'TLS _ CHACHA20 _ POLY1305 _ SHA256'.
  • Барои TLS 1. 2: танҳо ECDHE бо имзои AES-GCM/ChaCha20 ва ECDSA/RSA (масалан, 'ECDHE-ECDSA-AES128-GCM-SHA256').
Калидҳо ва сертификатҳо:
  • Калидҳои сервер: ECDSA P-256/P-384 (тезтар ва кӯтоҳтар) ё RSA 2048 +/3072.
  • Калидҳои муштарӣ барои mTLS: ECDSA P-256; барориши тавассути CA ё пардохти HSM/KMS.
  • Даргиронидани степлинги OCSP, беҳтараш бо парчами Must-Staple ва ALPN (HTTP/2/3).
PFS (Сирри пешрафтаи комил):
  • Бо мубодилаи эфемералӣ (ECDHE) таъмин карда мешавад - ҳатто агар калиди сервер паҳн шуда бошад ҳам, ҷаласаҳои гузашта рамзкушо карда намешаванд.
  • Созишномаи калидии DH/RSA-ро маҷбур кунед.
Иловаҳо муосир:
  • ECH (Client Client Hello), агар аз ҷониби front/CDN дастгирӣ карда шавад, SNI-ро пинҳон мекунад.
  • HTTP/2/3 танҳо бо рамзҳои қавӣ; манъи HTTP-и муҳофизатнашуда, ба HTTPS равона кунед.

3) HSTS против TLS-кашидан

Даргиронидани HTTP Амнияти Қатъии Нақлиёт дар домени решавӣ ва зерсохторҳо: 

Сахт-Нақлиёт-Амният: максимум-синну сол = 63072000; дохилкунии Sub- Domains; боркунии пешакӣ

Доменро дар рӯйхати пешакии HSTS ҷойгир кунед.

Пеш аз нашр дурустиро тамошо кунед (бозгашт мушкил аст).

4) Аутентификатсияи мутақобила: mTLS ва/ё нишонаҳо

MTLS байни microservices/API-ҳои дохилӣ: шаҳодатномаҳои дуҷониба, гардиши худкор тавассути торҳои хидматӣ (Istio/Linkerd) ё PKI хусусӣ.

Мизоҷони API (интегратсияҳои мобилӣ/шарикӣ): токенҳо (OAuth2/OIDC, JWT), ихтиёрии m-TLS барои хавфи баланд.

Барои ҷабҳаҳои оммавӣ: TLS + аломатҳои кӯтоҳмуддат бо дастгоҳ/DP-и ҳатмӣ.

5) Идоракунии шаҳодатномаҳо ва давраҳо

Автоматизатсияи ACME (масалан, биёед рамзгузорӣ кунем/CA ташкилӣ) бо навсозии худкор 30 рӯз пеш аз ба охир расидани мӯҳлат.

Мӯҳлати кӯтоҳи шаҳодатномаҳо (≤ 90 рӯз) + мониторинги мӯҳлатҳо, огоҳиҳо ва бастаҳои ҷойгиркунии канарӣ.

PKI мутамарказ: CA решавӣ/фосилавӣ, CRL/OCSP, версияҳои аудитӣ ва бекоркунӣ.

Намунаи nginx (порча): 
nginx ssl_protocols TLSv1. 3 TLSv1. 2;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
ssl_prefer_server_ciphers оид ба;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_stapling оид ба; ssl_stapling_verify оид ба;
add_header Сахтафзор-Нақлиёт-Амният "max-age = 63072000; дохилкунии Sub- Domains; preload" ҳамеша;

6) Гардиши махфӣ: Принсипҳо ва намунаҳо

Ҳадафҳои гардиш: "радиуси тарканда" -и ихроҷро маҳдуд кунед, вақти сӯиистифодаро кам кунед ва релизҳои бефосила таъмин кунед.

Қоидаҳои асосӣ:
  • Нигоҳ доштани асрори танҳо дар менеҷери махфӣ (KMS/Vault/Cloud SM). Асрори Git/тасвирҳо нест.
  • TTL кӯтоҳ ва гардиши автоматӣ: калидҳои имзо, паролҳои асоси маълумот, тугмаҳои провайдери API.
  • Равзанаи калиди дугона: Калидҳои кӯҳна ва нав дар як вақт барои давраи рол фаъол мебошанд.
  • Версия + кӯдак (барои JWT/JWKS), равзанаи "файз" барои тасдиқи нишонаҳои кӯҳна.
Чӣ бояд мунтазам чарх занад:
  • Калидҳои JWT (имзо/рамзгузорӣ), асрори HMAC-и веб-китобҳо ва зангҳо, паролҳо/ҳисобҳои пойгоҳи додаҳо, кэшҳо (Редис), нишонаҳои CI/CD, сирри провайдерҳо (KYC/AML, пардохтҳо, SMS/e-mail), SSSH - калидҳои автоматика.

Триггерҳои гардиши ғайринақшавӣ: шубҳа дар бораи ихроҷ, аз кор озод кардани кормандон бо дастрасӣ, иваз кардани таъминкунанда, талаботи танзимкунанда.

7) JWT/JWKS: Нақши бехатар

Нуқтаи охири JWKS-ро бо калиди ҷорӣ ва оянда нашр кунед ('кӯдак' лозим аст).

Тартиби гардиш:

1. Тавлиди калиди нав → онро ба JWKS ҳамчун калиди "дуюм" илова кунед.

2. Нав кардани имзокунандагон → додани аломатҳои нав бо калиди нав.

3. Интизор шавед, ки TTL-и нишонаҳои кӯҳна → хориҷ кардани калиди кӯҳна аз JWKS.

Насб кардани аломатҳои кӯтоҳи TTL (масалан, 5-15 дақиқа) + ҷараёнҳои нав бо санҷиши иловагӣ.

8) Идоракунии махфӣ дар амал

Рамзгузории KMS + лифофа: калиди асосӣ дар HSM/KMS, маълумот бо "печонидашуда" DEK рамзгузорӣ карда мешавад.

Менеҷери махфии Vault/Cloud: қарзҳои динамикӣ ба пойгоҳи додаҳо (додани сабтҳо бо TTL), гардиши даврӣ.

Кубернетҳо: Асрори беруна/Дӯкони асрори CSI; рамзгузории etcd; RBAC; манъ кардани сабти асрори.

Дастрасии нақш: IAM/ABAC, принсипи камтарин имтиёзҳо, ҳудуди сахтафзор (HSM, TPM).

Аудити пурра: кӣ, кай, чаро хондан/иваз кардан.

9) Муҳофизати нақлиёт дар дохили периметр

Ба "шабакаи дохилӣ" бовар накунед: дар ҳама ҷо TLS/MTLS (сифр-эътимод).

Торҳои хидматрасонӣ сертификатҳо, бозоғозӣ ва гардиш, мушоҳидашавиро автоматӣ мекунанд (бо нобаёнӣ MTLS).

Қатъи TLS-ро кам кунед: ё танҳо канори + рамзикунонидашудаи шарқу ғарб ё рамзгузории ниҳоӣ.

10) API бар сиёсати амнияти TLS

Маҳдудияти нархҳо/муҳофизати Do-S, санҷиши имзоҳои webhook (HMAC бо гардиши махфӣ).

Content-Security-Policy/Referrer-Policy/X-Content-Type-Options dlya fronta.

MTLS барои нуқтаҳои ниҳоӣ (пардохтҳо, панели маъмурӣ), рӯйхати иҷозатдиҳии IP аз ҷониби шарикон.

Муҳофизати такрорӣ: мӯҳлат + nonce дар дархостҳои имзошуда, тирезаҳо на бештар аз 5 дақиқа.

11) Мониторинг ва санҷишҳо

Мушоҳидаҳои TLS: версияҳо/шифрҳо дар ченакҳо, огоҳиҳо дар бораи коҳиш додани кӯшишҳо, афзоиши нокомии дастӣ.

Сканерҳо (дар CI/CD ва мунтазам дар фурӯш): санҷиши рамзҳои дастгирӣ, шаҳодатномаҳо, HSTS, OCSP.

Машқҳои бесарусомонӣ/DR: мӯҳлати эътибори сертификат, тарки менеҷери махфӣ, созишномаи калидҳои имзо - нақшаҳои аксуламалро тафтиш кунед.

12) Тартиби вокуниш

Созишномаи калидӣ: бекоркунии фаврии шаҳодатномаҳо/хориҷ кардани калидҳо аз JWKS, баргардонидан ба нусхабардорӣ, таҷдиди маҷбурии токен.

Мӯҳлати бе тамдид: таназзули муваққатӣ (танҳо трафики дохилӣ), барқароркунии автоматии шаҳодатномаҳо.

Ҳисобот дар бораи ҳодисаҳо: Ҷадвал, мавзӯъҳои зарардида, Tech. қисмҳо, чораҳои ислоҳӣ.

13) Рӯйхати санҷиши зуд (омодашуда)

  • танҳо TLS 1. 3 (+ 1. 2 барои легаси), рӯйхати қатъии рамзҳо.
  • HSTS s 'preload', stapling OCSP, ALPN.
  • ECDHE барои PFS; ECDSA P-256/384 ё RSA 3072.
  • m/TLS дар доираи кластер/байни хидматҳои муҳим.
  • JWKS + кӯдак, аломатҳои кӯтоҳи TTL, нақшаи гардиш.
  • Асрҳо - танҳо дар KMS/Vault, гардиши худкори пойгоҳи додаҳо/провайдерҳо.
  • Таҷдиди худкори шаҳодатномаҳо (ACME), огоҳӣ дар 30 рӯз.
  • Санҷиши CI/CD сарлавҳаҳои амният ва рамзҳои осебпазир.
  • Дафтарчаи ҳуҷҷатгузорӣ 'ва: гардиш, ёдраскунӣ, ҳодисаҳо.

Хулосаи дубора

Муҳофизати боэътимоди API маҷмӯи TLS 1 мебошад. 3 + HSTS + PFS ҳамчун равандҳои ҳатмии ҳадди аққал ва баркамол ва идоракунии махфӣ. MTLS-ро дар байни хидматҳо илова кунед, озодкунӣ/гардишро тавассути KMS/Vault/mesh автоматӣ кунед, TTL-ҳои кӯтоҳ ва тирезаҳои дукарата ҳангоми тағир додани калидҳо нигоҳ доред - ва шумо хатари боздошт, коҳиш ва сӯиистифода аз сирри ихроҷшударо бидуни шикастани дастрасӣ ва суръати маҳсулот кам мекунед..

× Ҷустуҷӯ аз рӯи бозиҳо
Барои оғоз кардани ҷустуҷӯ, ҳадди аққал 3 аломат ворид кунед.