Шифрование данных — это преобразование читаемого текста в набор непонятных символов с помощью специального алгоритма. Без ключа этот текст невозможно расшифровать обратно. Практически все современные интернет-сервисы опираются на технологии шифрования, и инфраструктура Sayt.uz не исключение. Сайты, базы и файлы клиентов находятся под многоуровневой защитой как при хранении на сервере, так и при обмене с внешним миром.
Симметричное и асимметричное шифрование
Алгоритмы шифрования делятся на два больших семейства. Симметричные используют один ключ и для шифрования, и для расшифровки. Самый популярный — AES с длиной ключа 128, 192 или 256 бит. Он работает быстро и идеален для больших объёмов данных. В асимметричных алгоритмах используются два ключа — открытый и закрытый. RSA и ECC относятся именно к этому типу. Они медленнее, но необходимы для обмена ключами и цифровых подписей.
At-rest шифрование — диск и база
At-rest шифрование защищает данные, которые лежат на сервере и сейчас не используются. Если диск украдут или резервная копия попадёт не в те руки, незашифрованные данные читаются напрямую. С зашифрованного диска извлечь что-либо невозможно. На серверах Sayt.uz целые разделы диска зашифрованы через LUKS или dm-crypt с использованием AES-256. Для баз данных MySQL применяется transparent data encryption, которая шифрует файлы таблиц при записи на диск автоматически.
In-transit шифрование — передача по сети
In-transit шифрование защищает данные в пути от одной точки до другой. Основной протокол здесь — TLS. При подключении браузера к сайту сначала проходит TLS handshake: проверяется сертификат, обмениваются ключами, и только потом передаются реальные данные по зашифрованному каналу. Все SSL-сертификаты на Sayt.uz поддерживают TLS 1.2 и 1.3, старые уязвимые версии полностью отключены.
Управление ключами и ротация
Самое слабое место шифрования — не алгоритм, а способ хранения ключа. Если ключ лежит открытым в коде или используется одним и тем же годами, вся защита теряет смысл. Хорошая практика требует хранить ключи в отдельных vault-системах и периодически их обновлять. В инфраструктуре Sayt.uz мастер-ключи хранятся в HSM-модулях или HashiCorp Vault, а рабочие ключи автоматически ротируются каждые 90 дней.
Хеширование и его отличие от шифрования
Многие путают хеширование с шифрованием, хотя это совершенно разные вещи. Шифрование — обратимый процесс: при наличии ключа текст восстанавливается. Хеширование одностороннее: из хеша исходный текст вернуть невозможно. Для хранения паролей используется именно хеширование, никогда не шифрование. Пароли пользователей Sayt.uz хранятся с алгоритмом bcrypt, для каждого пароля добавляется уникальная соль.
Практика Sayt.uz
На платформе Sayt.uz шифрование данных идёт по умолчанию — дополнительной платы не требуется. Во всех тарифах включены шифрование диска, шифрование базы и обязательный HTTPS. SSL-сертификаты начинаются от 95 тысяч сум в год, Wildcard — от 380 тысяч. По данным 2026 года, 97 процентов наших клиентов используют HTTPS, инцидентов с незашифрованными данными на серверных дисках зафиксировано ноль. В корпоративных тарифах поддерживается HSM-управление ключами и шифрование уровня FIPS 140-2.