WinUpGo
Demo oyunlarTEPE Kumarhane
TEPE KumarhaneYUMUŞAK KumarhaneDünya CasinoTelegram CasinoBot CasinoSpor CasinoSıcak Konular
YUMUŞAK KumarhaneDünya CasinoTelegram CasinoBot CasinoSpor CasinoSıcak Konular
Aramak
WinUpGo Wiki - online casinolar, slotlar ve iGaming endüstrisi ansiklopedisi WUG WIKI
Depozito bonusu yok Bonuslar
Slot makinesi sağlayıcıları Sağlayıcılar
Slot makineleri Üst yuvalar
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Kişisel hesap Ofis
Community Chat Australian Pokies
Canlı sohbet Sohbet
Online destek Destek
Cryptocurrency casino Crypto Casino Torrent Gear, çok amaçlı torrent aramanızdır! Torrent Dişli

Şifreleme ve API koruması: TLS, HSTS, PFS, gizli döndürme

1) Tehdit resmi ve hedefler

MitM saldırısı altındaki API'ler, trafik kesme, düşürme saldırıları, belirteç sahteciliği, anahtar sızıntıları ve uzun ömürlü sırların kötüye kullanılması. Koruma hedefleri:
  • Gizlilik ve Bütünlük (TLS 1. 3 + güçlü şifreler).
  • Düşürme/sıyırmaya karşı koruma (HSTS, yasaklanmış sürümler/şifreler).
  • Uzlaşma hasarını en aza indirmek (PFS, kısa TTL, hızlı rotasyon).
  • Güvenilir istemci/hizmet kimlik doğrulaması (mTLS/belirteçler) ve izlenebilirlik.

2) Temel olarak TLS (sunucu ve servisten servise)

Versiyonlar ve şifreler:
  • Varsayılan değer TLS 1'dir. 3; TLS 1'e izin ver. 2 sadece uyumluluk için. 1'i devre dışı bırak. 1/1. 0.
Öncelikli şifreleme TLS 1. 3:
  • 'TLS _ AES _ 128 _ GCM _ SHA256', 'TLS _ AES _ 256 _ GCM _ SHA384', 'TLS _ CHACHA20 _ POLY1305 _ SHA256'.
  • TLS 1 için. 2: Yalnızca AES-GCM/ChaCha20 ve ECDSA/RSA imzalı ECDHE (örn. 'ECDHE-ECDSA-AES128-GCM-SHA256').
Anahtarlar ve sertifikalar:
  • Sunucu anahtarları: ECDSA P-256/P-384 (daha hızlı ve daha kısa) veya RSA 2048 +/3072.
  • mTLS için istemci anahtarları: ECDSA P-256; Kendi CA veya ödeme HSM/KMS üzerinden verilmesi.
  • Tercihen Zorunlu Zımba bayrağı ve ALPN (HTTP/2/3) ile OCSP zımbalamayı etkinleştirin.
PFS (Perfect Forward Secrecy):
  • Geçici değişimler (ECDHE) tarafından sağlanır - sunucu anahtarı sızdırılmış olsa bile, geçmiş oturumların şifresi çözülemez.
  • Statik bir DH/RSA anahtar anlaşmasını zorla.
Modern eklemeler:
  • TECH (Şifreli İstemci Merhaba), ön/CDN tarafından destekleniyorsa, SNI'yi gizler.
  • Sadece güçlü şifrelerle HTTP/2/3; Korunmasız HTTP'nin yasaklanması, HTTPS'ye yönlendirin.

3) HSTS vs TLS-sıyırma

Kök etki alanında ve alt etki alanlarında HTTP Strict Transport Security özelliğini etkinleştirin: 

Sıkı Taşıma Güvenliği: Maksimum yaş = 63072000; IncludeSubDomains; ön yükleme

Etki alanını HSTS ön yükleme listesine yerleştirin.

Yayınlamadan önce doğruluğu izleyin (geri alma zordur).

4) Karşılıklı kimlik doğrulama: mTLS ve/veya belirteçler

Mikro hizmetler/dahili API'ler arasında mTLS: çift yönlü sertifikalar, servis ağı (Istio/Linkerd) veya tescilli PKI aracılığıyla otomatik döndürme.

API istemcileri (mobil/iş ortağı entegrasyonları): belirteçler (OAuth2/OIDC, JWT), yüksek risk için isteğe bağlı mTLS.

Genel cepheler için: TLS + cihaz/DPoP bağlama ile kısa ömürlü OAuth2/OIDC belirteçleri.

5) Sertifika ve yaşam döngüsü yönetimi

Son kullanma tarihinden 30 gün önce otomatik güncelleme ile ACME otomasyonu (örneğin, Let's Encrypt/Organizational CA).

Sertifikaların kısa ömrü (≤ 90 gün) + son teslim tarihlerinin izlenmesi, uyarılar ve kanarya dağıtım paketleri.

Merkezi PKI: kök/ara CA, CRL/OCSP, denetim bültenleri ve iptal.

Nginx örneği (fragman): 
Nginx ssl_protocols TLSv1. 3 TLSv1. 2;
ssl_ciphers TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256;
ssl_prefer_server_ciphers üzerine;
ssl_ecdh_curve X25519:P-256:P-384;
ssl_stapling üzerine; ssl_stapling_verify üzerine;
add_header Sıkı Taşıma Güvenliği "max-age = 63072000; IncludeSubDomains; ön yükleme'her zaman;

6) Gizli Rotasyon: İlkeler ve Desenler

Rotasyon hedefleri: Sızıntıların "patlayıcı yarıçapını" sınırlayın, kötüye kullanım süresini azaltın ve sorunsuz sürümler sağlayın.

Temel kurallar:
  • Sırları yalnızca gizli yöneticide saklayın (KMS/Vault/Cloud SM). Git/images'da sır yok.
  • Kısa TTL ve otomatik rotasyon: imza anahtarları, veritabanı şifreleri, sağlayıcı API anahtarları.
  • Çift tuşlu pencere: Eski ve yeni tuşlar, rulo süresi boyunca aynı anda etkindir.
  • Sürüm oluşturma + çocuk (JWT/JWKS için), eski belirteçleri doğrulamak için "grace" penceresi.
Düzenli olarak döndürmek için ne:
  • JWT anahtarları (imza/şifreleme), webhooks ve callback'lerin HMAC sırları, Şifreler/veritabanı hesapları, önbellekler (Redis), CI/CD belirteçleri, Sağlayıcı sırları (KYC/AML, ödemeler, SMS/e-posta), SSH - otomasyon anahtarları.

Planlanmamış rotasyonun tetikleyicileri: sızıntı şüphesi, erişimi olan çalışanların işten çıkarılması, tedarikçinin değiştirilmesi, düzenleyicinin gereksinimleri.

7) JWT/JWKS: Güvenli Rol Yerleşimi

JWKS uç noktasını mevcut ve gelecekteki anahtarla yayınlayın ('çocuk 'gereklidir).

Rotasyon prosedürü:

1. Yeni bir anahtar oluşturun - JWKS'ye "ikinci" anahtar olarak ekleyin.

2. İmzacıları güncelleyin - yeni bir anahtarla yeni belirteçler yayınlayın.

3. Eski belirteçlerin TTL'sini bekleyin - eski anahtarı JWKS'den çıkarın.

Kısa TTL belirteçleri yükleyin (örneğin, 5-15 dakika) + ek doğrulama ile akışları yenileyin.

8) Uygulamada gizli yönetim

KMS + zarf şifreleme: HSM/KMS'de ana anahtar, veriler "sarılmış" DEK ile şifrelenir.

Vault/Cloud Secret Manager: Veritabanına dinamik krediler (TTL ile kayıtların verilmesi), periyodik rotasyon.

Kubernetes: Dış Sırlar/Secrets Store CSI; etcd şifrelemesi; RBAC; Sırları kaydetme yasağı.

Rol erişimi: IAM/ABAC, en az ayrıcalık ilkesi, donanım sınırları (HSM, TPM).

Tam denetim: kim, ne, ne zaman, neden okuma/değiştirme.

9) Çevre içinde taşıma koruması

"Dahili ağa" güvenmeyin: her yerde TLS/mTLS (sıfır güven).

Servis ağı sertifikaları, yeniden başlatmayı ve döndürmeyi, gözlemlenebilirliği (varsayılan olarak mTLS) otomatikleştirir.

TLS sonlandırmasını en aza indirin: Yalnızca edge + şifrelenmiş doğu-batı ya da uçtan uca şifreleme.

10) TLS güvenlik politikaları üzerinden API

Hız sınırlaması/DoS koruması, webhook imzalarının doğrulanması (gizli rotasyonlu HMAC).

Content-Security-Policy/Referrer-Policy/X-Content-Type-Options для фронта.

Kritik uç noktalar (ödemeler, yönetici paneli) için mTLS, iş ortaklarına göre IP izin listesi.

Yeniden oynatma koruması: zaman damgası + imzalı isteklerde nonce, pencereler en fazla 5 dakika.

11) İzleme ve testler

TLS'nin gözlemlenebilirliği: metriklerdeki sürümler/şifreler, düşürme girişimlerine yönelik uyarılar, el sıkışma başarısızlıklarında bir artış.

Tarayıcılar (CI/CD'de ve düzenli olarak satışta): desteklenen şifreleri, sertifikaları, HSTS, OCSP'yi kontrol eder.

Kaos/DR egzersizleri: sertifika sona ermesi, gizli yönetici düşüşü, imza anahtarı uzlaşma - reaksiyon planlarını kontrol edin.

12) Yanıt prosedürleri

Anahtar uzlaşma: JWKS'den anında sertifika iptali/anahtar kaldırma, yedeklemeye geri dönme, zorla belirteç rejenerasyonu.

Yenileme yapılmadan sona erme: geçici bozulma (yalnızca dahili trafik), sertifikaların otomatik olarak yeniden yüklenmesi.

Olay Raporu: Zaman Çizelgesi, Etkilenen Konular, Teknoloji. parçalar, düzeltici önlemler.

13) Hızlı Kontrol Kontrol Listesi (prod-ready)

  • Sadece TLS 1. 3 (+ 1. 2 legasi için), kesin bir şifre listesi.
  • HSTS с 'ön yükleme', OCSP zımbalama, ALPN.
  • PFS için ECDHE; ECDSA P-256/384 veya RSA 3072.
  • mTLS küme içinde/kritik hizmetler arasında.
  • JWKS + çocuk, kısa TTL belirteçleri, rotasyon planı.
  • Sırlar - sadece KMS/Vault, veritabanlarının/sağlayıcıların otomatik rotasyonu.
  • Sertifikaların otomatik yenilenmesi (ACME), 30 gün içinde uyarılar.
  • Güvenlik başlıkları ve savunmasız şifrelerin CI/CD kontrolü.
  • Belgelenmiş çalışma kitabı've: rotasyon, hatırlama, olaylar.

Özgeçmiş Özeti

Güvenilir API koruması, TLS 1'in bir kombinasyonudur. Zorunlu minimum ve olgun anahtar ve gizli yönetim süreçleri olarak 3 + HSTS + PFS. Hizmetler arasında mTLS ekleyin, KMS/Vault/mesh aracılığıyla serbest bırakma/döndürmeyi otomatikleştirin, anahtarları değiştirirken kısa TTL'leri ve çift pencereleri tutun - ve ürünün kullanılabilirliğini ve hızını bozmadan sızan sırların ele geçirilmesi, düşürülmesi ve kötüye kullanılması risklerini en aza indirirsiniz.

× Oyuna göre ara
Aramaya başlamak için en az 3 karakter girin.