HTTPS là gì? HTTPS có vai trò quan trọng như thế nào?

HTTPS là gì? HTTPS có vai trò quan trọng như thế nào?

15/03/2021

Bất kỳ trang web nào, đặc biệt là những trang web yêu cầu thông tin đăng nhập, nên sử dụng HTTPS. Vậy HTTPS là gì và nó có vai trò gì trong việc bảo mật website? Hãy cùng tìm hiểu qua bài viết dưới đây.

HTTPS là gì?

Giao thức truyền siêu văn bản an toàn – Hypertext transfer protocol secure  – HTTPS là gì? Đó phiên bản bảo mật của HTTP, là giao thức chính được sử dụng để gửi dữ liệu giữa trình duyệt web và trang web. HTTPS được mã hóa để tăng tính bảo mật khi truyền dữ liệu. Điều này đặc biệt quan trọng khi người dùng truyền dữ liệu nhạy cảm. Chẳng hạn như bằng cách đăng nhập vào tài khoản ngân hàng,dịch vụ email hoặc nhà cung cấp bảo hiểm y tế.

Trong các trình duyệt web hiện đại như Chrome, các trang web không sử dụng HTTPS được đánh dấu khác với các trang web đó. Tìm ổ khóa màu xanh lá cây trong thanh URL để biểu thị trang web được bảo mật. Các trình duyệt web coi trọng HTTPS. Google Chrome và các trình duyệt khác gắn cờ tất cả các trang web không phải HTTPS là không an toàn.

Cách hoạt động của HTTPS là gì?

HTTPS sử dụng một giao thức mã hóa để mã hóa thông tin liên lạc được gọi là Transport Layer Security (TLS). Trước đây, nó được gọi là Secure Socket Layer (SSL). Giao thức này bảo mật thông tin liên lạc bằng cách sử dụng cơ sở hạ tầng khóa công khai (PKI) bất đối xứng. Loại hệ thống bảo mật này sử dụng hai khóa khác nhau để mã hóa thông tin liên lạc giữa hai bên.

  1. Khóa riêng tư (Private key) – khóa này do chủ sở hữu trang web kiểm soát và nó được giữ, như người đọc có thể đã suy đoán, là riêng tư. Nó nằm trên một máy chủ web và được sử dụng để giải mã thông tin được mã hóa bởi khóa công khai (public key).
  2. Khóa công khai (public key) – khóa này khả dụng cho tất cả những ai muốn tương tác với máy chủ theo cách an toàn. Thông tin được mã hóa bằng public key chỉ có thể được giải mã bằng private key.

Tầm quan trọng của HTTPS? Điều gì xảy ra nếu một trang web không có HTTPS?

Rất nhiều người không quan tâm đến tầm quan trọng HTTPS, vì vậy họ không cài đặt nó. HTTPS ngăn các trang web phát tán thông tin của nó theo cách mà bất kỳ ai trên mạng đều dễ dàng xem được. Khi thông tin được gửi qua HTTP thông thường, thông tin được chia thành các gói dữ liệu có thể dễ dàng bị “đánh hơi” (sniff) bằng phần mềm miễn phí. Điều này làm cho giao tiếp không an toàn. Chẳng hạn như Wifi công cộng, rất dễ bị “nghe lén”. Trên thực tế, tất cả các giao tiếp xảy ra qua HTTP đều ở dạng văn bản thuần túy. Khiến chúng có khả năng bị đánh cắp cao.

Với HTTPS, lưu lượng truy cập được mã hóa sao cho ngay cả khi các gói tin bị phát hiện hoặc bị chặn,  chúng sẽ trở thành các ký tự vô nghĩa. Hãy xem một ví dụ:

Trước khi mã hóa:

This is a string of text that is completely readable

Sau khi mã hóa:

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Trong các trang web không có HTTPS. Nhà cung cấp dịch vụ Internet (ISP) hoặc các tổ chức trung gian khác có thể đưa nội dung vào các trang web mà không cần sự chấp thuận của chủ sở hữu trang web. Điều này thường diễn ra dưới hình thức quảng cáo. Trong đó ISP đang tìm cách tăng doanh thu sẽ đưa quảng cáo trả phí vào các trang web của khách hàng của họ. Không có gì đáng ngạc nhiên, khi điều này xảy ra. Lợi nhuận cho các quảng cáo và việc kiểm tra chất lượng của những quảng cáo đó không được chia sẻ với chủ sở hữu trang web. HTTPS loại bỏ khả năng đưa quảng cáo vào nội dung web của các bên thứ ba chưa được kiểm duyệt.

Hình ảnh từ Ars Technica

Sự khác nhau giữa HTTP và HTTPS là gì?

Về mặt kỹ thuật, HTTPS không phải là một giao thức tách biệt với HTTP. Nó chỉ đơn giản là sử dụng mã hóa TLS/SSL qua giao thức HTTP. HTTPS xảy ra dựa trên việc truyền các chứng chỉ (certificate) TLS/SSL. Các chứng chỉ này xác minh rằng một nhà cung cấp có đúng chính xác là đối tượng bạn muốn truy cập hay không.

Khi người dùng kết nối với một trang web. Trang web sẽ gửi SSL Certificate của nó chứa Public Key cần thiết để bắt đầu secure session. Hai máy tính, client và server, sau đó trải qua một quá trình được gọi là bắt tay (handshake) SSL/TLS, là một loạt các thỏa thuận (negotiation) qua lại được sử dụng để thiết lập kết nối an toàn.

Cách để một trang web bắt đầu sử dụng HTTPS là gì?

Cách để kích hoạt HTTPS là gì? Nhiều nhà cung cấp dịch vụ lưu trữ trang web và các dịch vụ khác sẽ cung cấp chứng chỉ TLS/SSL với một khoản phí. Các chứng chỉ này thường sẽ được chia sẻ cho nhiều khách hàng. Các chứng chỉ đắt tiền hơn có sẵn có thể được đăng ký riêng cho các thuộc tính web cụ thể.

Tất cả các trang web sử dụng Vietnix đều có thể được HTTPS miễn phí bằng chứng chỉ Let’s encrypt. Bạn cũng có thể tham khảo chứng chỉ số SSL trả phí của chúng tôi cho các chứng chỉ cá nhân hoặc doanh nghiệp. Trong cả hai trường hợp, thuộc tính web đều nhận được tất cả lợi ích của việc sử dụng HTTPS.

Theo Cloudflare

Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments