HTTPS — web sahifa, API yoki internet xizmati bilan xavfsiz aloqa qilish uchun ishlatiladigan protokol. HTTPS inglizcha HyperText Transfer Protocol Secure so‘zlarining qisqartmasi bo‘lib, HTTP protokolining shifrlangan ko‘rinishi hisoblanadi.
HTTPS foydalanuvchi brauzeri va server o‘rtasida almashinayotgan ma’lumotlarni himoyalaydi. Login, parol, karta ma’lumotlari, token, cookie va boshqa muhim axborotlar HTTPS orqali xavfsizroq uzatiladi.
Vazifasi
HTTPS’ning asosiy vazifasi — internet orqali yuborilayotgan ma’lumotlarni shifrlangan holda uzatish.
HTTPS quyidagi vazifalarni bajaradi:
- foydalanuvchi va server o‘rtasidagi ma’lumotni shifrlaydi;
- sayt haqiqiy serverga tegishli ekanini tekshirishga yordam beradi;
- ma’lumot yo‘lda o‘zgartirilmasligini ta’minlaydi;
- login va parollarni himoyalaydi;
- cookie va session ma’lumotlarini xavfsizroq uzatadi;
- API so‘rovlarini xavfsiz kanal orqali yuboradi.
Masalan, foydalanuvchi saytga login qilganda, parol serverga HTTPS orqali shifrlangan holatda yuboriladi.
HTTPS qanday ishlaydi?
HTTPS HTTP protokoli ustiga xavfsizlik qatlami qo‘shadi. Bu qatlam odatda TLS orqali ishlaydi. TLS foydalanuvchi brauzeri va server o‘rtasida shifrlangan aloqa kanalini yaratadi.
Oddiy HTTPS jarayoni:
- foydalanuvchi brauzerda HTTPS saytni ochadi;
- brauzer serverdan SSL/TLS sertifikatni oladi;
- brauzer sertifikat haqiqiyligini tekshiradi;
- server va brauzer shifrlash uchun maxsus kalitlar bo‘yicha kelishadi;
- shifrlangan aloqa kanali hosil bo‘ladi;
- HTTP so‘rov va javoblar shu kanal orqali almashinadi.
Foydalanuvchiga bu jarayon oddiy sayt ochilgandek ko‘rinadi, lekin ichki tomonda ma’lumotlar shifrlanadi.
HTTP va HTTPS farqi
HTTP va HTTPS ikkalasi ham web ma’lumot almashish uchun ishlatiladi, lekin xavfsizlik darajasi farq qiladi.
- HTTP — ma’lumotni ochiq ko‘rinishda uzatadi;
- HTTPS — ma’lumotni shifrlangan ko‘rinishda uzatadi;
- HTTP odatda 80-portda ishlaydi;
- HTTPS odatda 443-portda ishlaydi;
- HTTPS SSL/TLS sertifikat talab qiladi;
- HTTPS login, to‘lov va shaxsiy ma’lumotlar uchun muhim.
Masalan, HTTP orqali yuborilgan parol tarmoqda ushlab qolinsa, uni o‘qish osonroq bo‘lishi mumkin. HTTPS’da esa bu ma’lumot shifrlangan bo‘ladi.
SSL/TLS sertifikat
HTTPS ishlashi uchun serverda SSL yoki TLS sertifikat bo‘lishi kerak. Bu sertifikat sayt domeni va server o‘rtasidagi ishonchni tasdiqlaydi.
Sertifikat tarkibida odatda quyidagi ma’lumotlar bo‘ladi:
- domen nomi;
- sertifikat egasi;
- sertifikat bergan tashkilot;
- amal qilish muddati;
- public key;
- imzo ma’lumotlari.
Brauzer saytga kirganda sertifikatni tekshiradi. Agar sertifikat yaroqsiz, muddati tugagan yoki domen bilan mos bo‘lmasa, brauzer ogohlantirish ko‘rsatadi.
TLS
TLS — HTTPS’da ishlatiladigan asosiy xavfsizlik protokoli. TLS inglizcha Transport Layer Security so‘zlarining qisqartmasi.
TLS quyidagilarni ta’minlaydi:
- ma’lumotni shifrlash;
- serverni tekshirish;
- ma’lumot yo‘lda o‘zgarmaganini nazorat qilish;
- xavfsiz kalit almashinuvi;
- client va server o‘rtasida himoyalangan kanal yaratish.
SSL eskiroq texnologiya hisoblanadi. Amalda “SSL sertifikat” deb aytilsa ham, zamonaviy tizimlarda asosan TLS ishlatiladi.
Brauzerdagi belgilar
HTTPS ishlayotgan saytlar brauzerda odatda qulf belgisi bilan ko‘rsatiladi. Bu belgi sayt bilan aloqa shifrlanganini bildiradi.
Brauzer quyidagi holatlarni ko‘rsatishi mumkin:
- xavfsiz HTTPS ulanish;
- sertifikat xatosi;
- aralash kontent;
- xavfsiz bo‘lmagan HTTP ulanish;
- muddati tugagan sertifikat;
- domen bilan mos kelmaydigan sertifikat.
Qulf belgisi sayt to‘liq ishonchli degani emas. U faqat brauzer va server o‘rtasidagi aloqa shifrlanganini bildiradi.
Mixed content
Mixed content — HTTPS sahifa ichida HTTP orqali yuklanayotgan resurslar mavjud bo‘lishi. Masalan, sayt HTTPS’da ochiladi, lekin rasm, script yoki stylesheet HTTP orqali keladi.
Mixed content turlari:
Bu holat xavfsizlik muammosiga olib kelishi mumkin. Brauzer ayrim mixed content resurslarni bloklashi mumkin.
API’da HTTPS
API xizmatlarida HTTPS juda muhim. Chunki API orqali login tokenlari, foydalanuvchi ma’lumotlari, to‘lov ma’lumotlari va boshqa maxfiy axborotlar almashiladi.
API’da HTTPS quyidagi holatlarda ishlatiladi:
- login va ro‘yxatdan o‘tish;
- JWT token yuborish;
- foydalanuvchi profilini olish;
- to‘lov tizimlari bilan aloqa;
- webhook qabul qilish;
- mobile ilova va backend o‘rtasidagi aloqa;
- admin panel so‘rovlari.
HTTPS bo‘lmasa, API orqali uzatilayotgan muhim ma’lumotlar tarmoqda ochiqroq qolishi mumkin.
SEO’dagi o‘rni
HTTPS web saytlar uchun SEO va foydalanuvchi ishonchida muhim rol o‘ynaydi. Zamonaviy brauzerlar HTTP saytlarni xavfsiz emas deb belgilashi mumkin.
HTTPS quyidagi jihatlarga ta’sir qiladi:
- foydalanuvchi ishonchi;
- brauzer ogohlantirishlari;
- cookie xavfsizligi;
- zamonaviy web API’lardan foydalanish;
- qidiruv tizimlaridagi texnik sifat belgisi;
- saytning professional ko‘rinishi.
Ko‘plab zamonaviy web funksiyalar faqat HTTPS muhitida to‘liq ishlaydi.
Serverda HTTPS
Serverda HTTPS ishlashi uchun web server va sertifikat sozlanadi. Nginx, Apache, Caddy yoki boshqa web serverlar HTTPS so‘rovlarni qabul qilishi mumkin.
Serverda HTTPS uchun quyidagi qismlar kerak bo‘ladi:
- domen;
- SSL/TLS sertifikat;
- private key;
- web server konfiguratsiyasi;
- 443-port;
- DNS sozlamasi;
- HTTP’dan HTTPS’ga redirect.
Masalan, Nginx HTTPS so‘rovni qabul qilib, uni backend ilovaga proxy orqali uzatishi mumkin.
Bog‘liq tushunchalar
HTTP, SSL sertifikat, TLS, Domen, DNS, Server, Client, URL, API, Nginx, Cookie, Authentication