Bài viết sẽ đề cập đến khái niệm cơ bản của chứng chỉ SSL, đây là tiêu chuẩn mã hoá thông dụng trên Internet hiện nay giúp bảo vệ người dùng.
Chứng chỉ SSL là gì?
SSL (Secure Sockets Layer) là một tiêu chuẩn an ninh công nghệ toàn cầu, cho phép mã hóa kết nối giữa trình duyệt web và máy chủ web. Thực tế, nó đang trở thành loại mật mã thương mại điện tử phổ biến nhất. Hầu hết các ứng dụng intranet và extranet thường đòi hỏi sự kết hợp của các cơ chế bảo mật bao gồm mã hoá, xác thực và kiểm soát truy cập.
SSL đã được cập nhật lên thành SSL/TLS (Secure Sockets Layer / Transport Layer Security), nhưng nó vẫn được biết là SSL. Nó là cơ sở an toàn cho giao thức HTTP hoặc HTTPS – một trang web được vận chuyển qua giao thức truyền siêu văn bản đi qua kết nối an toàn và mã hóa.
Có thể hiểu đơn giản chứng chỉ SSL thông qua ví dụ sau:
Giả sử bạn cần mở tài khoản ngân hàng. Bạn gặp nhân viên nhưng cô ấy không mở cho bạn vì không biết bạn. Để thực hiện ngân hàng cần gọi cho cơ quan chức năng để xác minh danh tính của bạn.
Nhưng quy trình này thường nhiêu khê, nên thay vào đó bạn cung cấp hộ chiếu có chứa các chi tiết cá nhân của bạn… Đây là tài liệu xác thực danh tính của bạn. Tài liệu tự nó không làm gì ngoại trừ việc xác định bạn. Bạn dĩ nhiên không thể dùng nó để rút tiền từ ngân hàng.
Tuy nhiên, vì hộ chiếu là một tài liệu xác định do một cơ quan đáng tin cậy (chính phủ, bộ phận nhà nước ban hành), bạn có thể sử dụng nó để mở một tài khoản, sau đó bạn có thể sử dụng để gửi và rút tiền từ ngân hàng.
Ví dụ trên tương tự khi bạn truy cập trang web có chế độ an toàn. Khách hàng của bạn tìm kiếm xác thực và xác định từ máy chủ web, được trình bày thông qua chứng chỉ SSL của nó. Trang web không thể đơn giản chỉ cần trưng dòng “Tôi là ngân hàng của Mỹ”, nó cần một nhà cung cấp chứng chỉ đáng tin cậy để thiết lập bảo chứng này.
Điều này cần hình thức bắt tay SSL, đó là một giao tiếp qua lại để thiết lập kết nối và nhận dạng trước khi trình duyệt web thực sự yêu cầu các thông tin cần thiết.
Chứng chỉ SSL được sử dụng bởi hàng triệu công ty trực tuyến và cá nhân để bảo đảm việc mua bán bằng thẻ, chuyển dữ liệu và đăng nhập. Gần đây nó đã trở thành tiêu chuẩn khi bảo đảm việc duyệt các trang truyền thông xã hội.
Để xây dựng kết nối bảo mật này (SSL), một chứng chỉ SSL hoặc chứng chỉ số (một tập tin dữ liệu nhỏ kết hợp một khoá mã với thông tin của một tổ chức) được cài đặt trên một máy chủ web. Nó xác thực danh tính của trang web và nó mã hóa dữ liệu trước khi được gửi đi.
Chứng chỉ số SSL hoạt động như thế nào?
Khi trình duyệt cố gắng truy cập một website được bảo mật bởi SSL, cả trình duyệt và máy chủ web tạo lập một kết nối SSL bằng phương pháp gọi là “SSL Handshake”.
Thực ra, có ba “chìa khóa” để cài đặt kết nối SSL: các khóa công khai, khóa riêng tư và khóa theo phiên. Bất cứ cái gì được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa riêng tư và ngược lại.
Quá trình mã hoá và giải mã với khóa công khai và riêng tư cần nhiều sức mạnh xử lí hơn, chúng chỉ được sử dụng thông qua SSL Handshake để tạo ra một khoá phiên đối xứng. Sau khi kết nối an toàn được thiết lập, khóa theo phiên được sử dụng để mã hóa tất cả dữ liệu được truyền.
Video dưới đây ví dụ về cách chứng chỉ SSL hoạt động. Để xem có phụ đề tiếng Việt, bạn bấm vào biểu tượng bánh răng (Settings) > chọn Subtitles/CC > Auto Translate > Vietnamese
Dịch từ Latesthackingnews