Tuy nhiên, hiện tại các trang Web vẫn còn sử dụng HTTP đang được khuyến khích, thúc đẩy bởi cả Google và Mozilla để nhanh chóng chuyển sang HTTPS. Theo đó các trình duyệt sẽ dán nhãn với các trang Web dùng kết nối HTTP là “không an toàn”. Google thậm chí còn mạnh tay hơn khi xếp hạng các trang dùng kết nối HTTPS ở thứ hạng cao hơn.
Với các nỗ lực như vậy, HTTPS đã không còn giới hạn trong các trang của ngân hàng và webmail nữa, thay vào đó càng ngày càng có nhiều website sử dụng kết nối này. Vậy chữ “S” trong HTTPS có gì thần thánh mà những ông lớn về Internet lại phải hỗ trợ để phổ biến nó như vậy?
Chữ “S” có phải là Security (An toàn) không?
Mặc dù những trang Web sử dụng liên kết HTTP đang bị những trình duyệt dán nhãn là không bảo đảm an toàn, nhưng điều đó không có nghĩa là những trang web HTTPS là bảo đảm an toàn. Nói đúng chuẩn hơn, HTTPS chỉ có nghĩa là liên kết của bạn là bảo đảm an toàn, chứ không phải tài liệu của bạn lưu trên website đó là bảo đảm an toàn. Trên trong thực tiễn, HTTPS không tương quan gì đến website, máy chủ lưu trữ, hay bất kỳ tài liệu nào bạn cung ứng cho nó .
Nếu HTTPS không bảo vệ sự bảo đảm an toàn, thì đúng mực là nó có tính năng gì ? Nói một cách ngắn gọn, HTTPS mang lại ba điều : sự bí hiểm, toàn vẹn và độ đáng tin cậy .
– Trước tiên, điều đơn giản nhất là sự bí mật:
HTTPS sử dụng mã hóa để bảo vệ không ai hoàn toàn có thể xem được tài liệu truyền qua dây dẫn. Khi trình duyệt của bạn liên kết với một website trải qua HTTPS, liên kết từ trình duyệt của bạn đến trang web bạn muốn xem sẽ được mã hóa. Điều đó nghĩa là bất kỳ dữ liệu nào được trao đổi, cũng sẽ không hiển thị cho bất kể ai rình mò trong mạng lưới .
– Khả năng mã hóa của HTTPS cũng mang lại đặc điểm thứ hai cho nó: tính toàn vẹn.
Anh Jacob Hoffman-Andrews từ EFF (Electronic Frontier Foundation: Tổ chức Biên giới điện tử) cho biết, mã hóa giống như “một rào chắn nhỏ tối thiểu” cho Web ngày nay. “Nếu chúng ta đang thiết kế lại Internet từ đầu ngày hôm nay, chúng tôi sẽ nói mã hóa rất rẻ tiền và dễ dàng, không còn hạn chế việc xuất sang định dạng khác nữa, do vậy nó sẽ là mặc định và bạn sẽ không phải lo gì về nó nữa.”
Nếu không có mã hóa, bất kể ai với chút ít năng lực cũng hoàn toàn có thể giám sát được liên kết, để biết mọi thứ bạn nhu yếu và những gì những trang web gửi trả lại. Không chỉ vậy, người đó – được gọi là Người Đứng Giữa ( Man-in-the-Middle ) – sẽ hoàn toàn có thể can thiệp vào dòng tài liệu gửi đi và nhận lại đó. Ví dụ, nhà mạng cung ứng Internet hoàn toàn có thể hiển thị một quảng cáo để buộc bạn phải click vào quảng cáo đó mới được đọc .
Và điều này không phải chưa từng xảy ra. Bằng kỹ thuật tiến công man-in-the-middle, nhà mạng không dây Verizon đã chỉnh sửa băng thông trên mạng lưới của họ để tạo ra một bộ theo dõi ( nó bổ trợ thêm một đoạn đầu gắn vào HTTP được gọi là X-UIDH ) và gửi đến hàng loạt những trang web không mã hóa mà người mua của Verizon thường truy vấn .
Điều này cho phép Verizon, theo cách nói của EFF, “lắp ghép một hồ sơ vĩnh viễn, sâu sắc về thói quen duyệt web của người dùng mà không cần sự đồng ý của họ.” Ngoài Verizon, các dịch vụ Wifi của Comcast và AT&T cũng tương tự như vậy.
Việc những nhà mạng làm gì với tài liệu này vẫn là điều không hề đoán được, do vậy đây hoàn toàn có thể xem như một trong những nguyên do lớn nhất làm Google muốn Web chuyển sang liên kết HTTPS. Trong khi đó với liên kết mã hóa khi website sử dụng HTTPS, những tài liệu được truyền trên đó sẽ rất khó bị đọc được. Sẽ không có cách nào để đọc hay can thiệp vào đoạn văn bản toàn mã hiệu nếu không có chìa khóa mã hóa. Đây chính là ưu điểm thứ hai của HTTPS, khi nó bảo vệ bạn nhận được đúng nội dung trình duyệt nhu yếu .
Từ năng lực mã hóa của mình, HTTPS còn có một quyền lợi khác : đó là ngăn ngừa việc kiểm duyệt từ những nhà sản xuất dịch vụ mạng hay những chính phủ nước nhà. Như đã nói ở trên, những mạng lưới không mã hóa làm cho việc kiểm duyệt trở nên rất thuận tiện – bên thứ ba chỉ việc can thiệp vào luồng tài liệu, khóa hoặc đổi khác những gì bạn muốn đọc lại .
Tuy nhiên, với năng lực mã hóa đường truyền, những bên thứ ba sẽ không theo dõi và can thiệp được vào nội dung hay luồng tài liệu đó. Ví dụ, cơ quan chính phủ Nga từng muốn chặn, không cho truy vấn một bài viết trên trang Wikipedia, nhưng do tại Wikipedia sử dụng HTTPS nên không có cách nào để biết những người đang truy vấn vào trang này đang nhu yếu bài viết nào. nhà nước Nga lúc đó đương đầu với sự lựa chọn, hoặc chặn cả trang Wikipedia hoặc không gì cả, và ở đầu cuối họ chọn không gì cả .
Việc thiếu vắng năng lực mã hóa đường truyền còn tạo ra một rủi ro tiềm ẩn khác lớn hơn. Một cuộc tiến công mạng bị đưa ra ánh sáng vào năm ngoái đã cho thấy, sự thiếu vắng những trang web HTTPS còn tạo ra rủi ro tiềm ẩn tiến công DDoS phân tán, bằng cách sử dụng những truy vấn từ những người dùng không biết gì về cuộc tiến công này .
Cuộc tiến công Đại Pháo – Great Cannon – giống như tên gọi của mình, là một cuộc tiến công rất phức tạp. Bằng cách nào đó, ai đấy đã chiếm quyền một bit Javascript cung ứng bởi Baidu, người khổng lồ về tìm kiếm của Trung Quốc, và thêm vào đó một phụ tải ( payload ) để nó tiếp tục gửi đi những nhu yếu đến hai website, vốn thử thách sự kiểm duyệt của chính phủ nước nhà Trung Quốc. Bất kỳ ai bị gắn đoạn script kia khi truy vấn vào Baidu, sẽ là một phần của cuộc tiến công mà không biết .
Cách duy nhất để ngăn ngừa một cuộc tiến công kiểu Great Cannon, hay việc theo dõi mạng lưới như của Verizon, là mã hóa băng thông truy vấn của bạn .
– Điều cuối cùng HTTPS mang lại là tính xác thực và tin cậy
Trang web bạn đang truy cập sẽ được xác nhận bởi trình duyệt rằng đây đúng là trang web đó và không phải một kẻ mạo danh. Để xác thực kết nối của bạn, các trình duyệt Web duy trì một danh sách các chứng nhận đã được thẩm định là đáng tin cậy và đã được biết.
Khi trình duyệt của bạn nhu yếu tải một trang nào đó, nó sẽ nhận được những ghi nhận bảo đảm an toàn của trang đó, chứa một chuỗi hoàn toàn có thể dẫn ngược về đơn vị chức năng đánh giá và thẩm định ghi nhận đó. Nếu đơn vị chức năng thẩm định và đánh giá đó tương thích với một đơn vị chức năng thẩm định và đánh giá mà trình duyệt đã biết, sau đó trình duyệt của bạn sẽ tin cậy trang web mà bạn đang liên kết là đúng như những gì nó công bố .
HTTPS – Tấm lá chắn đắt đỏ cho bảo mật Web
Giờ chắc rằng bạn đã hiểu những gì HTTPS mang lại : sự mã hóa, tính toàn vẹn và tính xác nhận – cũng như tại sao ngân hàng nhà nước, Gmail, Facebook, Twitter hay ngày càng nhiều trang web khác đang sử dụng nó. Nhưng liệu HTTPS có phải một lá chắn hoàn hảo nhất, hữu hiệu cho những quốc tế Web thời nay hay không ? Liệu mọi website đều nên chuyển sang sử dụng liên kết này hay không ?
Không hẳn vậy .
Blogger và là nhà phát triển, ông Dave Winer trong một bài đăng trên blog cho rằng “HTTPS là một nhà hát bảo mật đắt đỏ.” Ông lập luận rằng HTTPS không những không giúp đỡ gì cho các trang web lưu trữ cũ, mà còn làm lãng phí thời gian của những người sở hữu trang web. Không chỉ có Winer, ông Tim Berner-Lee cũng đặt nghi vấn về khả năng đảm bảo tính toàn vẹn của HTTPS.
Cả hai đều nhấn mạnh vấn đề những yếu tố tiềm tàng của việc chuyển sang HTTPS sẽ làm phức tạp thêm quy trình thiết lập website và tạo ra điều gì đó mới mẻ và lạ mắt trên Web, và nó hoàn toàn có thể phá vỡ những link. Đó là điều mà những nhà tăng trưởng hiểu biết hoàn toàn có thể thuận tiện bỏ lỡ. Tuy nhiên, quốc tế web to lớn không chỉ do những nhà tăng trưởng hiểu biết, mà còn từ bất kể ai với việc bỏ ra vài USD một tháng .
Trong khi đó, nhu yếu những trang web bổ trợ một chứng từ bảo mật thông tin là thêm một rào cản đáng kể để truy vấn vào Web. Bất kỳ ai đều đã sử dụng HTTPS cho website của mình đểu biết rằng đó là một sự phiền phức kinh khủng. Đây có vẻ như là trở ngại lớn nhất để phổ cập thoáng rộng HTTPS so với những người quản lý và vận hành những website nhỏ .
Cho đến gần đây, vẫn chưa có cách nào để có một chứng từ SSL không tính tiền ( một vài nhà phát hành chứng từ không thu phí cấp chứng từ, nhưng sẽ tính phí nếu bạn tịch thu nó ). Tuy nhiên đã có một số ít giải pháp từ những tên tuổi trong làng công nghệ tiên tiến để xử lý yếu tố này .
Tổ chức EFF ( Electronic Frontier Foundation ) và Mozilla đã hợp tác với nhau để tạo ra Let’s Encrypt, một công cụ để mang lại những chứng từ HTTPS không lấy phí, cũng tựa như như giải pháp của Symantec. Các lựa chọn này thực sự không lấy phí, không nhu yếu người dùng phải phân phối thông tin nhân dạng. Đó cũng là một tập hợp những công cụ dòng lệnh để giúp việc thiết lập và chỉnh sửa những chứng từ đơn thuần nhất hoàn toàn có thể .
Tuy nhiên, đó cũng chưa phải là hết. Sau khi có được chứng từ, bạn sẽ phải thiết lập nó và để sever web của bạn hoạt động giải trí cho đúng. Lại một lần nữa, giả sử rằng bạn có kiến thức và kỹ năng của một người quản trị mạng lưới hệ thống cơ bản, điều này sẽ không quá khó khăn vất vả, nhưng việc tinh chỉnh và điều khiển nó đến khi bạn có được điểm A trong bài kiểm tra bảo mật thông tin của SSLLab sẽ mất nhiều giờ để sửa lỗi ( ngay cả Facebook cũng chỉ được điểm B trong bài kiểm tra này ) .
Do vậy, việc đơn giản hóa quy trình thiết lập HTTPS sẽ cần nhiều công cụ hơn trong chuỗi công cụ của bạn. Nó sẽ làm những cá thể phải nhờ vào nhiều hơn vào những công cụ được thiết kế xây dựng bởi người khác. Và so với những nhà tăng trưởng Web cá thể, khi họ phải nhờ vào vào những công ty lớn để xử lý những yếu tố phức tạp, điều đó sẽ làm giảm mất niềm vui của họ. Vì lúc đó, họ không còn là người phát minh sáng tạo của Web nữa, chỉ đơn thuần là người dùng .
Không những vậy, cách các trình duyệt nhấn mạnh kết nối HTTPS ngày nay đang gây hiểu lầm nghiêm trọng và cần được thay đổi. Trong khi các kết nối HTTP bị gắn nhãn “không an toàn” bởi Firefox của Mozilla và các trình duyệt thuộc từ Chromium Project, các kết nối HTTPS lại được gắn nhãn là “an toàn”.
Điều này có thể gây ra các hiểu nhầm nghiêm trọng cho người dùng. Trên thực tế, các trình duyệt không có cách nào để biết được rằng trang web đó thực sự “an toàn” theo nghĩa rộng hơn hay không. Sử dụng HTTPS, không có nghĩa trang web đó không lưu trữ mật khẩu và số thẻ tín dụng của bạn dưới dạng văn bản đơn thuần (plain text). Cũng không có nghĩa trang web đó không bị hack để gắn vào các đoạn Javascript độc hại và những điều tương tự như vậy. Như đã nói ở trên, HTTPS chỉ giúp đảm bảo các kết nối đến trang web đó được an toàn hơn mà thôi.
Ngoài ra ông Winer cũng đặc biệt quan trọng lo lắng về Google khi hãng này có những quyền lợi kinh tế tài chính trong việc thôi thúc mọi trang web chuyển sang HTTPS. Do liên kết HTTPS sẽ ngăn ngừa những đối thủ cạnh tranh của Google can thiệp vào tác dụng tìm kiếm. Tuy nhiên việc hãng ngừng tải và xếp hạng những trang web sử dụng liên kết HTTP để thôi thúc chuyển sang HTTPS là một sự lạm dụng nghiêm trọng vị thế của họ trong hệ sinh thái web .
Nhưng rõ ràng không thể phủ nhận sự cần thiết của mã hóa trong Web. Không chỉ người dùng cần đến nó, mà còn mạng lưới cũng cần đến mã hóa để đảm bảo tính trung lập của mình. Không những vậy, nếu không có mã hóa, chỉ cần lướt web thôi cũng có thể biến bạn thành một kẻ giúp đỡ không chủ đích cho một cuộc tấn công DDoS.
Do vậy, HTTPS vẫn là một sự lựa chọn tốt khi mang đến cho người dùng tính bí mật lớn hơn, đảm bảo tính toàn vẹn của dữ liệu khi chuyển tiếp, và cung cấp một sự xác thực đầy ý nghĩa và giúp mạng lưới trở nên ít thù địch hơn hiện tại. Có thể sự lạm dụng vẫn sẽ xảy ra, sự giám sát vẫn có thể thực hiện được, nhưng các cuộc tấn công sẽ “chuyển từ số lượng lớn sang nhắm vào các mục tiêu cụ thể hơn” và mạng lưới sẽ trở lại thành một đường ống truyền tin vô hại.
Tham khảo Ars Technica
Source: https://final-blade.com
Category: Kiến thức Internet
