HTTPS Là Gì? Tại Sao Nên Sử Dụng HTTPS Thay HTTP?

HTTPS Là Gì? Tại Sao Nên Sử Dụng HTTPS Thay HTTP?

Bạn cần hiểu rõ HTTPS là gì? Cơ chế hoạt động ra sao? Có ý nghĩa như thế nào? Khi bạn thật sự hiểu được HTTPS là gì bạn sẽ biết tại sao nó cần thiết cho trang web. HTTPS giúp bạn giữ an toàn hơn khi sử dụng các dịch vụ trên trang web. Nhất là khi bạn sử dụng các dịch vụ trực tuyến như internet banking, thương mại điện tử, chống lừa đảo giả dạng (phishing).

HTTPS là gì?

Mỗi khi bạn sử dụng giao thức HTTPS, thanh địa chỉ của trình duyệt sẽ xuất hiện biểu tượng hình khóa. Vậy HTTPS là gì? HTTPS là chữ viết tắt của Hypertext Transfer Protocol Secure – giao thức truyền tải siêu văn bản an toàn. HTTPS là một giao thức kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet. Hiểu đơn giản, HTTPS (HTTP Secure) là phiên bản bảo mật giao thức HTTP (Hypertext Transfer Protocol), cốt lõi Internet. Giao thức HTTPS thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao.

Vấn đề gặp phải khi sử dụng HTTP là gì?

HTTP là Hypertext Transfer Protocol – giao thức truyền tải siêu văn bản. Khi người dùng vào trang web với giao thức HTTP gặp vấn đề về độ bảo mật không cao.

Cụ thể khi bạn kết nối với trang web bằng giao thức HTTP, những hacker sẽ theo dõi được bạn. Các hacker sẽ sử dụng các công cụ để xem bạn đang làm gì hay tìm kiếm gì trên internet. Đáng chú ý hơn, hacker còn đánh cắp được tên người dùng, mật khẩu, thông tin cá nhân của bạn.

Khi truy cập trang web với chuẩn HTTP, trình duyệt sẽ hiểu bạn đang kết nối với đúng máy chủ. Trình duyệt tìm ra địa chỉ IP tương ứng với trang web và kết nối với địa chỉ IP này. Khi đó, dữ liệu gửi qua bằng chuẩn HTTP sẽ không được mã hóa. Đó là kẽ hở để các hacker theo dõi hoạt động trên internet và lấy cắp thông tin người dùng.

Ngoài ra, bằng hình thức lừa đảo Phishing – một cách để câu thông tin người dùng. Khi bạn truy cập trang web chuẩn HTTP, bạn không thể biết mình vào đúng trang mình cần hay không. Có thể trang bạn đang vào là một trang giả dạng. Khả năng bạn bị người khác theo dõi và lấy cắp thông tin cá nhân vẫn có thể xảy ra.

Để khác phục những vấn đề đó của HTTP, phiên bản HTTPS đã mang tính an toàn cao hơn, bảo vệ thông tin người dùng tốt hơn. Vậy HTTPS là gì? Cách dùng HTTPS như thế nào?

https là gì - https khắc phục vấn đề của http
HTTPS là gì? HTTPS khắc phục vấn đề của HTTP

Cách thức hoạt động của HTTPS

HTTPS là giao thức mới hiện nay, kèm theo chứng chỉ bảo mật SSL. Bạn cần hiểu HTTPS là gì để biết tính bảo mật kèm theo SSL.

HTTPS là gì? HTTPS là sự kết hơp giữa HTTP và SSL – Secure Sockets Layer, tầng ổ bảo mật hoặc TLS – Transport Layer Security, bảo mật tầng truyền tải. Cả hai giao thức TLS và SSL đều sử dụng hệ thống PKI (Public Key Infrastructure, hạ tầng khóa công khai) không đối xứng. Một hệ thống không đối xứng sử dụng hai “khóa” để mã hóa thông tin liên lạc, khóa “công khai” và khóa “riêng”. Bất cứ thứ gì được mã hóa bằng khoá công khai (public key) chỉ có thể được giải mã bởi khóa riêng (private key) và ngược lại.

Như vậy, khi người dùng truy cập trang web với giao thức HTTPS sẽ được bảo mật thông tin. Các hacker sẽ khó có thể đánh cắp thông tin hay theo dõi hoạt động của bạn trên trang web.

Nhìn chung, người dùng có thể hoàn toàn tin tưởng khi truy cập trang web chuẩn HTTPS. Khi truy cập bằng HTTP thông tin không được mã hóa như HTTPS. Mọi thông tin người dùng đến Server đều được mã hóa, hacker khó có thể đánh cắp thông tin.

HTTPS là gì? Mã hóa bảo mật thông tin
HTTPS là gì? Mã hóa bảo mật thông tin

Client và Server giao tiếp với nhau như thế nào thông qua HTTPS?

1. Client gửi yêu cầu (request) cho một trang bảo mật (secure page) (có URL bắt đầu với https://)

2. Server gửi lại cho client certificate của nó.

3. Client (trình duyệt web) tiến hành xác thực certificate này bằng cách kiểm tra (verify) tính hợp lệ của chữ ký số của CA được kèm theo certificate.

Giả sử certificate đã được xác thực và còn hạn sử dụng hoặc client vẫn cố tình truy cập mặc dù Web browser đã cảnh báo rằng không thể tin cậy được certificate này (do là dạng self-signed SSL certificate hoặc certificate hết hiệu lực, thông tin trong certificate không đúng) thì mới xảy ra bước 4 sau.

4. Client tự tạo ra ngẫu nhiên một symmetric encryption key (hay session key), rồi sử dụng public key (lấy trong certificate) để mã hóa session key này và gửi về cho server.

5. Server sử dụng private key (tương ứng với public key trong certificate ở trên) để giải mã ra session key ở trên.

6. Sau đó, cả server và client đều sử dụng session key đó để mã hóa/giải mã các thông điệp trong suốt phiên truyền thông.

Và tất nhiên, các session key sẽ được tạo ra ngẫu nhiên và khác nhau trong mỗi phiên làm việc với server. Ngoài encryption thì cơ chế hashing sẽ được sử dụng để đảm bảo tính Integrity cho các thông điệp được trao đổi.

Lợi ích khi sử dụng HTTPS là gì?

Thông tin cá nhân người dùng khi truy cập trang web được mã hóa, tăng tính bảo mật.

Người dùng khi truy cập trang web của doanh nghiệp có thể yên tâm hơn. Doanh nghiệp đã đăng ký và sở hữu tên miền, người dùng có thể xác minh thông tin doanh nghiệp. Đồng thời khi người dùng truy cập sẽ biết thông tin của họ được bảo mật một cách an toàn nhất, tăng được sự tương tác giữa khách hàng và doanh nghiệp bằng internet sử dụng HTTPS.

Ngọc Thu

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *