Đã bao giờ bạn để ý các thành phần bắt đầu URL của trang web mà bạn đang truy cập hay chưa? Tham số đó bắt đầu bằng HTTP hay HTTPS? Và bạn đặt ra câu hỏi HTTPS là gì? Tại sao nên sử dụng HTTPS thay thế HTTP? Câu trả lời sẽ có cho bạn trong bài viết dưới đây của chúng tôi.
HTTPS là viết tắt của Hypertext Transfer Protocol with Secure, một phiên bản bảo mật của HTTP, cho phép chúng ta giao tiếp an toàn với các trang web bằng mã hóa. Để thấy rõ sự khác nhau giữa HTTPS và HTTP, bạn có thể theo dõi bài so sánh HTTPS và HTTP tại đây
Thay vì để dưới dạng plain text (văn bản thuần túy), tất cả dữ liệu sẽ được mã hóa trước khi gửi đến máy chủ của trang web. Điều này giúp tránh khỏi những kẻ tấn công (thậm chí là chính phủ) theo dõi và xem các dữ liệu này.
Nếu đang sử dụng chuẩn HTTP, những kẻ tấn công có thể sử dụng các công cụ để xem bạn đang làm những gì, đọc gì hay tìm kiếm những gì trên mạng Internet. Thậm chí kẻ tấn công cũng có thể “đánh cắp” được tên người dùng, mật khẩu, các thông tin cá nhân cũng như thông tin tài chính của bạn.
Tuy nhiên khi chuyển sang sử dụng HTTPS, tất cả các thông tin này sẽ được mã hóa trước khi chuyển đến trang web hoặc ngược lại. Vì vậy, kẻ tấn công không có cách nào để làm gián đoạn quá trình và xem các dữ liệu này.
Tất nhiên không một ai có thể dám chắc các mã hóa này có thể sẽ bị phá vỡ trong tương lai hay không.
Những nguy cơ khi sử dụng chuẩn HTTP
Nguy cơ lớn nhất là khi bạn truy cập trang web thông qua chuẩn HTTP, trình duyệt web của bạn sẽ tìm địa chỉ IP phù hợp với trang web yêu cầu với sự trợ giúp của máy chủ DNS. Sau đó nó kết nối với địa chỉ IP và kéo dữ liệu để hiển thị trang web chính xác, cũng như gửi các dữ liệu cần thiết để giao tiếp với trang web, chẳng hạn như đăng nhập hoặc thực hiện giao dịch, hiện nay có rất nhiều DNS nhanh khác nhau giúp người dùng lựa chọn để truy cập các dịch vụ bị nhà mạng chặn, bạn có thể tìm và sử dụng các DNS nhanh nhất này trên mạng internet hoặc trên chúng tôi
Tuy nhiên tất cả các dữ liệu sẽ được truyền dưới dạng plain text (văn bản thuần túy) mà không được mã hóa. Do đó kẻ tấn công có thể sử dụng các công cụ thích hợp (hoặc được cho phép giống như nhà cung cấp dịch vụ Internet của bạn hoặc cơ quan tình báo của chính phủ) để có thể dễ dàng xem trang web mà bạn đang truy cập, cũng như các dữ liệu mà bạn đang gửi và nhận.
Nhưng bạn có biết điều tồi tệ nhất là gì? Không có cách nào để xác minh rằng bạn đang truy cập đúng trang web. Chẳng hạn nếu bạn truy cập một trang web cụ thể có tên miền:
www.abcxyz.com
Thông qua HTTP, và nó sẽ hiển thị đúng trang web như bạn thường thấy. Tuy nhiên nếu bạn đang sử dụng mạng công cộng, hacker có thể tạo một trang web giả mạo và chuyển hướng bạn đến trang web đó.
Về cơ bản trang web giả mạo này giống với trang web thật, nhưng mục đích chính của các trang web này là đánh cắp các dữ liệu của bạn, chẳng hạn như thẻ tín dụng. Thủ thuật phổ biến nhất là tạo các trang web dịch vụ ngân hàng trực tuyến giả, Paypal.com hoặc Google Wallet, sau đó tấn công mạng (hoặc tạo một mạng không dây giả mạo miễn phí) và chuyển hướng người dùng đến những trang web giả mạo này để thu thập thông tin cá nhân, mật khẩu và các thông tin tài khoản ngân hàng.
Vấn đề là người dùng không thể nhận biết được đó là các trang web giả mạo vì không có bất kỳ một cảnh báo nào trên các trình duyệt. Hơn nữa khi bạn nhập các thông tin chi tiết (chẳng hạn như tên người dùng và mật khẩu) vào các trang web giả mạo, nó sẽ chuyển hướng bạn đến trang web chính xác, nơi mà bạn cần phải cung cấp lại các thông tin đó lần nữa. Lúc đó có thể bạn sẽ nghĩ rằng trang web bị lỗi, chứ không bao giờ nghĩ rằng đó là trang web giả mạo.
Với chuẩn HTTPS không có cách nào để tạo các trang web giả mạo như thế. Với sự trợ giúp của SSL certificate (chứng chỉ SSL), trình duyệt của bạn sẽ xác minh URL, địa chỉ IP và SSL certificate của từng trang web để đảm bảo đó là trang web hợp pháp. Nếu đó là trang web giả mạo, bạn sẽ nhận được một trong số những cảnh báo như: Your connection is not private, This connection is untrusted, hay Your connection is not secure, depending on the browser you are using.
Hiện nay có 2 loại chứng chỉ SSL và CA đều là miễn phí, với ngườ dùng ít kinh nghiệm thì khó mà phân biệt được giữa 2 loại này, nếu quan tâm, bạn tham khảo bài đánh giá chứng chỉ SSL miễn phí tốt hơn CA miễn phí tại đây
Rõ ràng khi tìm hiểu HTTPS là gì? Tại sao nên sử dụng HTTPS thay thế HTTP? bạn sẽ thấy HTTPS an toàn hơn rất nhiều so với HTTP thông thường.
Đó cũng là lý do tại sao người dùng được khuyến cáo sử dụng HTTPS khi thực hiện các thanh toán hoặc đặt hàng.
Ngoài việc bảo vệ các thông tin nhạy cảm của bạn, HTTPS cũng bảo vệ quyền riêng tư khi bạn thực hiện các tác vụ bình thường, chẳng hạn như tìm kiếm thứ gì đó trên Google.com. Với HTTPS, không một ai có thể biết bạn đang tìm kiếm hoặc xem những gì trên Internet, ngay cả nhà cung cấp dịch vụ Internet hay các tổ chức chính phủ của bạn.
Về khía cạnh bảo mật trực tuyến, rõ ràng HTTPS cũng khá an toàn.
Cách nhận biết bạn đang kết nối với một trang web HTTPS
Rất đơn giản để nhận biết bạn đang kết nối với một trang web có chuẩn HTTPS, nếu URL trên thanh địa chỉ trình duyệt bắt đầu bằng https://. Ngoài ra còn có một biểu tượng khóa màu xanh. Đôi khi nó còn kèm theo cả tên một công ty hoặc tổ chức , tùy thuộc vào loại SSL certificate (chứng chỉ SSL) mà trang web sử dụng. Để xem các thông tin về trang web và mã hóa của trang web đó, bạn click chọn biểu tượng hình khóa màu xanh lá cây.
Tuy nhiên, nó sẽ phụ thuộc vào trình duyệt web bạn đang sử dụng vì mỗi trình duyệt có một cách hiển thị HTTPS khác nhau.
Ví dụ:
Đây là cách trang web HTTPS trong trình duyệt Google Chrome
Hay trên trình duyệt Firefox
Và trình duyệt Microsoft Edge
Cách đây vài tháng, Google Chrome đã bắt đầu phân loại và đánh dấu trang web HTTP và HTTPS bằng thẻ Not Secure (không bảo mật) và Secure (bảo mật) trên thanh địa chỉ.
Vì vậy nếu đăng nhập vào tài khoản Paypal.com, thực hiện thanh toán hoặc đặt hàng, tốt nhất bạn nên sử dụng HTTPS thay vì HTTP.
Về khía cạnh webmaster, Google đã đề xuất và thưởng cho các trang web đang sử dụng HTTPS với một thay đổi để có được vị trí tốt hơn trong công cụ tìm kiếm khổng lồ của họ, mà rất nhiều chủ sở hữu các trang web đang cố gắng để có được. Nhưng điều đó không có nghĩa là khi bạn chuyển sang HTTPS thì trang web của bạn chắc chắn sẽ có vị trí cao hơn trong danh sách kết quả của công cụ tìm kiếm. Đó chỉ là một yếu tố cộng thêm với tất cả các yếu tố xếp hạng khác.
Nếu nhận được một trong số các cảnh báo như ở trên, hoặc không thể tìm thấy chỉ báo HTTPS khi truy cập trang web đăng nhập, mạng mà bạn đang kết nối có thể bị tấn công và thỏa hiệp. Vì vậy, tránh nhập bất kỳ các thông tin quan trọng nào, chẳng hạn như mật khẩu, tài khoản ngân hàng hoặc thẻ tín dụng.
Trong trường hợp nếu lo rằng mình quên sử dụng HTTPS, bạn có thể sử dụng plugin có tên HTTPS Everywhere, plugin này sẽ buộc trình duyệt của bạn sử dụng HTTPS mọi lúc, nếu trang web được hỗ trợ. Nếu không, nó sẽ chuyển hướng đến HTTP. Bạn có thể tải về và cài đặt tiện ích này cho trình duyệt của mình tại đây : Download HTTPS Everywhere
Tuy nhiên ở thời điểm này, plugin HTTPS Everywhere chỉ có sẵn cho trình duyệt Mozilla Firefox, Google Chrome và Opera.
Tuy nhiên cũng đừng chỉ dựa vào các biểu tượng khóa HTTPS trên trình duyệt mà không quan tâm đến vấn đề bảo mật trên máy tính hoặc các thiết bị của bạn. Tất nhiên bạn sẽ phải chủ động bảo vệ máy tính cũng như tất cả các thiết bị khác của mình khỏi các mối đe dọa bởi hacker có thể tìm và vận dụng nhiều cách khác nhau để khai thác dữ liệu của bạn.
Trên đây là tất cả những gì về HTTPS là gì? Tại sao nên sử dụng HTTPS thay thế HTTP? mà chúng tôi muốn giới thiệu cho bạn đọc. Hy vọng sau bài viết này bạn có thêm kiến thức về bảo mật để bảo vệ các dữ liệu quan trọng mình, tránh khỏi các mối đe dọa cũng như các cuộc tấn công của hacker.