Cho đến lúc đó,hầu hết các trình duyệt hoàn toàn có khả năng nhận nội dung HTTP an toàn,nhưng rất ít chủ sở hữu trang web bận tâm đến việc thiết lập trang web của họ bằng HTTPS.
Vậy thì HTTPS là gì? Nó là viết tắt của giao thức truyền siêu văn bản an toàn. Và ngày nay phiên bản HTTPS an toàn này là cách phần lớn các trang web trên Internet truyền tải nội dung của họ tới các trình duyệt.
HTTPS là gì?
Khi một trang web sử dụng HTTPS,điều đó có nghĩa là tất cả dữ liệu được truyền giữa trang web đó và trình duyệt của bạn đều được mã hóa.
Trước HTTPS,tin tặc có thể dễ dàng chặn đường truyền giữa máy chủ web và trình duyệt của người dùng và đọc nội dung đang được truyền. Điều này là do nội dung được truyền dưới dạng HTML hoặc văn bản thuần túy. Trong nhiều trường hợp ngay cả ID và mật khẩu cũng dễ dàng bị trích xuất từ những đường truyền này.
Điều gì làm cho HTTPS khác biệt? HTTPS sử dụng cái được gọi là Bảo mật lớp truyền tải(TLS),trước đây được gọi là Lớp cổng bảo mật (SSL).
TLS sử dụng hai khóa bảo mật để mã hóa hoàn toàn dữ liệu giữa máy chủ web và trình duyệt của bạn:
- Khóa cá nhân : Đây là khóa được lưu trữ trên máy chủ web gốc. Nó không thể truy cập công khai,vì vậy chỉ khóa riêng tư này được lưu trữ trên máy chủ web thực sự mới có thể giải mã việc truyền.
- Khóa công khai: Khóa công khai được sử dụng bởi bất kỳ trình duyệt nào muốn giao tiếp với máy chủ web lưu giữ trang web.
Cách hoạt động của giao tiếp HTTPS
Qúa trình giao tiếp hoạt động như sau:
1. Người dùng mở trình duyệt và kết nối với một trang web.
2. Trang web sẽ gửi cho trình duyệt của người dùng chứng chỉ SSL có chứa khóa công khai.
Trình duyệt cần khóa công khai này để mở kết nối ban đầu với trang web.
3. Điều này bắt đầu cái được gọi là “bắt tay TLS” trong đó máy khách và máy chủ “đồng ý” sử dụng mật mã,xác minh chữ ký số SSL của trang web và tạo khóa phiên bản mới cho phiên hiện tại.
Khi “Phiên” được thiết lập,không ai giữa trình duyệt và máy chủ web có thể dễ dàng xác định thông tin hoặc dữ liệu đang được chuyển.
Điều này áp dụng với tất cả mọi thứ,thậm chí cả HTML được truyền tới trình duyệt,đều được mã hóa. Chỉ trình duyệt đã thiết lập kết nối ban đầu với trang web mới có thể giải mã thông tin và ngược lại. Chỉ trang web mới có thể nhận những thông tin như ID và mật khẩu và giải mã chúng để sử dụng.
Vì vậy,bất cứ khi nào bạn thấy rằng một trang web an toàn,bạn có thể yên tâm rằng thông tin liên lạc giữa trình duyệt của bạn và trang web từ xa là riêng tư và an toàn.
Làm thế nào để biết nếu một trang web sử dụng HTTPS
Bắt đầu từ năm 2007,Goolge đã gây áp lực lên các chủ sỡ hữu trang web để kết hợp chứng chỉ SSL vào trang web của họ. Họ đã làm điều này bằng cách tích hợp một tính năng mới vào phiên bản Chrome mới nhất,hiển thị cảnh báo “Không an toàn” cho người dùng bất cứ khi nào họ truy cập vào trang web không sử dụng HTTPS.
Nếu bạn đang chạy phiên bản mới nhất của trình duyệt Chrome và bạn truy cập một trang web an toàn sử dụng HTTPS,bạn sẽ thấy một biểu tượng ổ khóa nhỏ ở bên trái của URL Website.
Không lâu sau,các trình duyệt khác bắt đầu làm theo,bao gồm Firefox,Safari,vv.vv. Tất cả chúng sẽ hiển thị một biểu tượng khóa giống như Chrome.
Nếu bạn truy cập một trang web và trang web đó không sử dụng HTTPS để giao tiếp,thì bạn sẽ thấy lỗi “Không an toàn” ở bên trái URL.
Mặc dù điều này ,thông thường người dùng thường sẽ không để ý tới,nhưng Goolge vẫn có cách riêng của họ đó là thiết lập một chính sách trong đó việc sử dụng chứng chỉ SSL sẽ giúp các trang web xếp hạng cao hơn trong kết quả tìm kiếm.
Tại sao bạn nên quan tâm đến HTTPS?
Là người dùng Internet,bạn có nên quan tâm đến rất nhiều việc một trang web có sử dụng HTTPS hay không? Bạn có thể nghĩ rằng không có ai rảnh rỗi để quan tâm đến những trang web bạn truy cập hoặc những gì bạn đang làm trên Internet. Nhưng bạn đã nhầm,có rất nhiều tin tặc ngoài kia rất quan tâm đấy nhé.
Bằng cách chặn liên lạc giữa trình duyệt của bạn với các trang web,tin tặc liên tục theo dõi bất kỳ thông tin nào sau đây:
- Địa chỉ Email của bạn,để họ có thể bán nó cho những kẻ gửi thư rác.
- Số điện thoại và địa chỉ thực của bạn để họ có thể bán cho các nhà tiếp thị.
- ID và mật khẩu sử dụng để đăng nhập vào tài khoản ngân hàng của mình.
….Vẫn còn rất nhiều điều khác nữa.
Nếu bạn là một chủ sỡ hữu của một website,bạn càng có nhiều lý do nên quan tâm đến việc cài đặt chứng SSL và bật HTTPS:
- Bạn sẽ nhận được nhiều lưu lượng tìm kiếm hơn trên Google
- Khách hàng truy cập sẽ cảm thấy an toàn hơn khi truy cập website của bạn
- Khách hàng sẽ yên tâm khi mua sản phẩm từ bạn.
- Tin tặc sẽ ít có khả năng lấy được tài khoản và mật khẩu.
Cộng Đồng