BẢO MẬT WEB

Giao thức HTTPS là gì? Vì sao phải dùng HTTPS?

Trước kia chúng ta hay thấy các website có định dạng http://abc.xyz với chuẩn giao thức là HTTP. Ngày nay HTTP đã lỗi thời không đáp ứng nhu cầu bảo mật thông tin cá nhân trên Internet. Các nhà phát triển cũng như các website đang chuyển đổi sang dùng HTTPS.

https la gi

Giao thức HTTP là gì?

HTTP viết tắt của Hyper Text Transfer Protocol. HTTP là giao thức truyền tải nội dung web giữa người dùng và server web.

Giao thức HTTPS là gì?

HTTPS (viết tắt của Hyper Text Transfer Protocol Secure Secure) là sự kết hợp giữa giao thức HTTP với giao thức SSL và TLS để bảo vệ thông tin trao đổi trên Internet cho các ứng dụng Web.

Vì sao HTTPS lại bảo mật?

Các trang web HTTPS thường dùng một trong hai giao thức bảo mật sau để mã hóa thông tin liên lạc:

  • SSL (Secure Sockets Layer, tầng ổ bảo mật).
  • TLS (Transport Layer Security, bảo mật tầng truyền tải).

Cả giao thức TLS và SSL đều sử dụng PKI (Public Key Infrastructure, hạ tầng khóa công khai) không đối xứng. Một hệ thống không đối xứng sử dụng hai “khóa” để mã hóa thông tin liên lạc. Nó bao gồm khóa “công khai” và khóa “riêng”. Bất cứ thứ gì được mã hóa bằng khoá công khai (public key) chỉ có thể được giải mã bởi khóa riêng (private key) và ngược lại.

Đọc thêm:  Cloudflare là gì thế? Vì sao sử dụng cloudflare lại tốt cho website?

https 1024x543 - Giao thức HTTPS là gì? Vì sao phải dùng HTTPS?

Như vậy, khóa “riêng” cần được bảo vệ nghiêm ngắt và chỉ truy cập được bởi chủ nhân của khóa riêng. Trong trường hợp một trang web, khóa riêng được giữ kín trên máy chủ web. Ngược lại, khóa công khai được phân phối cho bất kỳ ai và tất cả mọi người cần để có thể giải mã thông tin đã được mã hoá bằng khóa riêng.

HTTPS hoạt động như thế nào

Khi bạn kết nối vào một trang web sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật (security certificate) của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không. Nhờ đó, khi bạn truy cập vào địa chỉ như https://nganhangX.com, trình duyệt của bạn sẽ xác thực được rằng bạn đang truy cập vào đúng địa chỉ thực của Ngân Hàng X.

HTTPS cũng hỗ trợ tăng cường tính riêng tư trong truy cập cá nhân. Ví dụ, hiện nay Google đang sử dụng giao thức HTTPS cho cả trang tìm kiếm của mình. Trước đây, do chỉ sử dụng HTTP nên bất kì ai cùng mạng Wi-Fi đều có thể theo dõi các tìm kiếm Google của bạn. Nếu như bạn truy cập vào các trang web khác, ví dụ như Wikipedia thông qua HTTPS, những người cùng mạng cũng không thể biết được bạn đang xem thông tin về chủ đề nào.

http vs https

 

HTTPS có hoàn toàn bảo mật không?

Khi sử dụng một bên thứ 3 thì HTTPS cũng sẽ lỗ hổng: các nhà cấp phát chứng thực bảo mật sẽ xác nhận rằng https://nganhangX.com là địa chỉ xác thực của Ngân hàng X. Nếu nhà cung cấp chứng thực bị hack hoặc để lọt một trang giả mạo nào đó thì rất nguy hiểm. Khi đó, bạn có thể bị lừa khi truy cập vào các địa chỉ giả sử dụng HTTPS.

Đọc thêm:  10 thủ thuật với .htaccess bảo mật website Wordpress cực kỳ hữu ích

Để đảm bảo lòng tin thì các đơn vị cung cấp chứng chỉ SSL luôn đưa ra các gói bảo đảm lên đến cả triệu USD trong trường hợp bạn bị hack. Thêm nữa, họ còn có hạ tầng bảo mật rất cao cấp nên các bạn yên tâm nhé.

Dù vậy, HTTPS vẫn tỏ ra rất an toàn trong hầu hết các trường hợp. Khi bạn cần cung cấp các thông tin như số thẻ tín dụng hoặc địa chỉ email. Các trang web uy tín thường chuyển sang sử dụng các kênh HTTPS được mã hóa. Nhờ đó, các nhà mạng (quản trị router) hoặc hacker gần như không thể dò tìm thông tin của bạn.

Dù chưa đảm bảo được tính bảo mật 100% nhưng HTTPS vẫn an toàn hơn rất nhiều so với HTTP.

Vì sao phải dùng HTTPS thay thế cho HTTP?

Internet là mạng lưới rất nhiều các thiết bị mạng: Switch, Router, Firewall… Giao thức HTTP không mã khóa nội dung trang web nên khi người dùng truy cập. Nếu một trong các thành phần mạng như: Switch, Router, Firewall mà bị hack. Hacker có thể đọc các bản tin và phân tích lấy thông tin tài khoản và mật khẩu của bạn dễ dàng.

Các máy tính trong LAN cũng dễ dàng giả danh địa chỉ MAC của bạn để capture các thông tin này. Ngoài ra còn có một lỗ hổng trong mạng Wifi mới phát hiện vừa rồi cũng có thể capture các bản tin. Hacker dễ dàng đọc các thông tin khi bạn truy cập các website HTTP. Do đó, bạn hãy cân nhắc không sử dụng các website không sử dụng HTTPS. Đặc biệt là khi đăng nhập và nhất là liên quan thanh toán điện tử, thẻ VISA, Master card…

Đọc thêm:  Cấu hình bảo mật Website Wordpress với iThemes Security toàn tập

4 lý do chúng ta nên sử dụng HTTPS thay cho HTTP:

Bảo mật

Nếu duyệt web bằng http thì mọi thông tin bạn truy cập, nhập liệu sẽ không được mã hoá. Ai cũng có thể đọc các thông tin nếu có được các bản tin ấy. Hơn nữa khách truy cập thì luôn luôn muốn các thông tin của mình được bảo mật.

Tốt cho SEO

Từ 2014, Google đề cập đến việc ưu tiên kết quả từ các trang sử dụng HTTPS so với HTTP. Với các trang thương mại điện tử thì google sẽ đánh giá cao hơn hẳn. Lý do là các trang này có phần thanh toán. Nếu không bảo mật rất dễ bị lộ thông tin thẻ và tài khoản ngân hàng.

Duyệt web an toàn

Ở các trình duyệt mới như Chrome từ bản 56. Khi bạn điền vào các trường mật khẩu hoặc thông tin thẻ ở các trang sử dụng HTTP. Trình duyệt sẽ có một thông báo đây là trang web không an toàn.

Thanh toán online

Hầu hết các module thanh toán sẽ không hoạt động nếu trang web của bạn không sử dụng HTTPS.

Nhận biết website HTTPS như thế nào?

Các website sử dụng giao thức HTTPS đều có biểu tượng chiếc khóa. Đa phần có màu xanh trên góc phải thanh URL của trình duyệt.

nhan-biet-https

Một số website không đúng chuẩn HTTPS sẽ không hiển thị chiếc khóa. Nó sẽ có biểu tượng chấm than hoặc vẫn tối màu. Các website này có chứa các tài nguyên còn ở định dạng HTTP

Các website của các ngân hàng bắc buộc phải có thông tin Ngân hàng hiển thị màu xanh trên URL thanh trình duyệt. Các bạn nhớ kiểm tra điều này nhé, tránh mất thông tin cá nhân và tài khoản.

 

 

Tags

A Tùng

IT guy, thích đam mê công nghệ, Server, Linux, Wordpress, SEO và uống trà

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button
Close