Đã tới lúc mã hoá HTTPS với tất cả các trang web của bạn

Đã tới lúc mã hoá HTTPS với tất cả các trang web của bạn

【Back to basics】Lưu password của user như thế nào?
Không có tiền, đừng mơ phần mềm không lỗi

 

Vấn đề với HTTP

  • Khi bạn kết nối với một trang web thông qua giao thức HTTP, trình duyệt sẽ tìm địa chỉ IP tương ứng với trang web đó và kết nối với địa chỉ IP này. Trình duyệt sẽ mặc nhiên coi rằng bạn đang kết nối với đúng máy chủ cần kết nối. Dữ liệu gửi qua HTTP cũng không hề được mã hóa, thay vào đó chỉ sử dụng dạng ký tự văn bản bình thường, do đó những kẻ nghe/xem lén trên mạng Wi-Fi của bạn, nhà mạng mà bạn đang sử dụng và cả những cơ quan tình báo như NSA đều có thể dò tìm ra các trang web mà bạn đã ghé thăm cũng như các thông tin bạn đã gửi/nhận. Như vậy, những kẻ nghe lén sẽ dễ dàng lấy cắp được mật khẩu, số thẻ tín dụng và các thông tin khác mà bạn gửi qua HTTP.
  • Không chỉ có vậy, nếu chỉ sử dụng HTTP, bạn sẽ không có cách nào để xác thực rằng mình đang kết nối vào đúng trang web cần tới cả. Ví dụ, qua hình thức lừa đảo phishing, bạn có thể đang truy cập vào một trang web giả dạng làm một ngân hàng hoặc một trang bán hàng qua mạng. Ngay cả khi bạn truy cập vào các trang web thông thường qua HTTP, khả năng bạn bị người khác theo dõi và lấy cắp thông tin cá nhân vẫn có thể xảy ra.
  • Nói tóm lại, vấn đề lớn nhất của HTTP là giao thức này không được mã hóa. HTTPS sử dụng mã hóa để khắc phục các vấn đề này.

Chuyển sang sử dụng HTTPS

  • Bảo mật: HTTPS an toàn hơn
    • Khi bạn kết nối vào một máy chủ sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không.
    • Các gói tin gửi qua HTTPS sẽ được mã hoá, vì thế bạn có thể yên tâm không 1 bên thứ 3 nào có thể đọc trộm gói tin, hay tấn công man-in-the-middle vào bạn
  • Tăng thứ hạng tìm kiếm: Google xếp hạng các trang web có HTTPS cao hơn
  • Hiệu năng: HTTPS không chậm hơn đáng kể, cũng như không tiêu tốn tài nguyên đáng kể so với HTTP
    • Trên hệ thống của chúng tôi, SSL/TLS chỉ chiếm ít hơn 1% CPU, ít hơn 10KB bộ nhớ trên mỗi kết nối và ít hơn 2% tài nguyên mạng. Nhiều người tin rằng SSL/TLS chiếm nhiều tài nguyên CPU nên chúng tôi hy vọng những con số trên sẽ xua tan sự nghi ngờ đó — Adam Langley, Google

  • Chi phí mua Certificate (chứng chỉ) SSL là rất đắt đỏ.
    • Có rất nhiều gói Certificate SSL: từ rẻ cho tới đắt, hay cực đắt. Nếu trang web của bạn đơn thuần là tin tức và không chứa giao dịch tài chính hay thông tin nhạy cảm, bạn có thể cân nhắc chứng chỉ miễn phí của Let’s Encrypt hay của Cloud Flare.
    • Bản thân trang blog này cũng đang dùng Universal SSL của Cloud Flare 

Xu thế không thể đảo ngược

  • 20 năm qua HTTPS được sử dụng rất ít, cho tới bây giờ. Số liệu từ BuiltWith cho thấy việc sử dụng HTTPS làm mặc định của website đã tăng gấp đôi trong năm qua
  • Google Chrome dự định trong tháng 1/2017 sẽ hiển thị cảnh báo dưới đây nếu như 1 credit card form hoặc login form hiển thị trên 1 kết nối không mã hoá 

HTTPS có thật sự an toàn?

Dù sao thì HTTPS cũng chỉ là HTTP + SSL. SSL chỉ đảm bảo kết nối giữa client và server được bảo mật và mã hoá. Sự bảo mật của SSL được đảm bảo bởi chứng chỉ từ 1 nhà cung cấp chứng chỉ (CA – Certification Authority). Có khoảng 150 CA mà trình duyệt của bạn hay dùng. Nói nôm na là nếu 1 trong các CA ấy mà phản bội bạn thì SSL cũng trở thành vô nghĩa.

Ngoài ra bất kỳ vấn đề nào liên quan tới server như Cross-Site-Scripting, Cross-Site-Request-Forgery, SQL-Injection, insecure Session-IDs, tức là ngoài tầm với của SSL, thì đều có thể gây hại cho bạn.

COMMENTS