Việc hiểu được cơ chế hoạt động và ý nghĩa của giao thức HTTPS là tối quan trọng, bởi giao thức này sẽ giúp giữ an toàn cho bạn khi đang sử dụng các dịch vụ ngân hàng trực tuyến, thương mại điện tử và chống lừa đảo giả dạng (phishing).
Mỗi khi bạn sử dụng giao thức HTTPS, thanh địa chỉ của trình duyệt sẽ xuất hiện biểu tượng hình khóa. Nói ngắn gọn, HTTPS (viết tắt của HTTP Secure – HTTP An toàn) là phiên bản bảo mật của giao thức HTTP (HyperText Transfer Protocol - Giao thức truyền tải siêu văn bản) vốn là cốt lõi của Internet. Hãy cùng tìm hiểu về giao thức này qua bài viết của trang How To Geek:
Vấn đề với HTTP
Khi bạn kết nối với một trang web thông qua giao thức HTTP, trình duyệt sẽ tìm địa chỉ IP tương ứng với trang web đó và kết nối với địa chỉ IP này. Trình duyệt sẽ mặc nhiên coi rằng bạn đang kết nối với đúng máy chủ cần kết nối. Dữ liệu gửi qua HTTP cũng không hề được mã hóa, thay vào đó chỉ sử dụng dạng ký tự văn bản bình thường, do đó những kẻ nghe/xem lén trên mạng wifi của bạn, nhà mạng mà bạn đang sử dụng và cả những cơ quan tình báo như NSA đều có thể dò tìm ra các trang web mà bạn đã ghé thăm cũng như các thông tin bạn đã gửi/nhận. Như vậy, những kẻ nghe lén sẽ dễ dàng lấy cắp được mật khẩu, số thẻ tín dụng và các thông tin khác mà bạn gửi qua HTTP.
Không chỉ có vậy, nếu chỉ sử dụng HTTP, bạn sẽ không có cách nào để xác thực rằng mình đang kết nối vào đúng trang web cần tới cả. Ví dụ, qua hình thức lừa đảo phishing, bạn có thể đang truy cập vào một trang web giả dạng làm một ngân hàng hay một trang bán hàng qua mạng. Ngay cả khi bạn truy cập vào các trang web thông thường qua HTTP, khả năng bạn bị người khác theo dõi và lấy cắp thông tin cá nhân vẫn có thể xảy ra.
Nói tóm lại, vấn đề lớn nhất của HTTP là giao thức này không được mã hóa. HTTPS sử dụng mã hóa để khắc phục các vấn đề này.
HTTPS giải quyết vấn đề như thế nào
Dù chưa đảm bảo được tính bảo mật 100% nhưng HTTPS vẫn an toàn hơn rất nhiều so với HTTP. Khi bạn kết nối vào một máy chủ sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật (security certificate) của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không. Nhờ đó, khi bạn truy cập vào những địa chỉ như
Dĩ nhiên, HTTPS không phải là không có lỗ hổng: các đơn vị cấp phát chứng thực bảo mật sẽ xác nhận rằng
Dù có lỗ hổng nhưng HTTPS vẫn tỏ ra hữu ích trong hầu hết các trường hợp sử dụng. Khi bạn cần cung cấp các thông tin như số thẻ tín dụng hay địa chỉ email, các trang web uy tín thường chuyển sang sử dụng các kênh HTTPS được mã hóa. Nhờ đó, các nhà mạng hay hacker gần như không thể dò tìm thông tin của bạn.
HTTPS cũng hỗ trợ tăng cường tính riêng tư. Ví dụ, hiện nay Google đang sử dụng giao thức HTTPS cho cả trang tìm kiếm của mình. Trước đây, do chỉ sử dụng HTTP nên bất kì ai cùng mạng wifi đều có thể theo dõi các tìm kiếm Google của bạn. Nếu như bạn truy cập vào các trang web khác, ví dụ như Wikipedia thông qua HTTPS, những người cùng mạng cũng không thể biết được bạn đang xem thông tin về chủ đề nào.
Khi nào thì bạn đang kết nối qua HTTPS?
Khi kết nối với máy chủ xác thực qua HTTPS, trình duyệt của bạn sẽ hiện biểu tượng khóa ngay bên cạnh ô địa chỉ. Bạn có thể click vào biểu tượng này để đọc thêm các thông tin về bảo mật. Tất cả các trình duyệt đều sẽ hiện biểu tượng khóa và hiển thị dòng chữ https:// trong ô địa chỉ, thay vì lược bớt phần http:// như khi sử dụng HTTP thông thường.
HTTPS trên Chrome
HTTPS trên Firefox
HTTPS trên Internet Explorer
Vì sao người dùng Internet cần hiểu rõ HTTPS?
Bạn phải để ý xem trang web đang sử dụng có dùng HTTPS hay không mỗi khi đăng nhập hay cung cấp thông tin thanh toán. Nếu trình duyệt không hiện biểu tượng hình khóa và giao thức HTTPS trong lúc bạn nhập tên tài khoản, mật khẩu, số thẻ tín dụng, mã an toàn…, bạn không nên cung cấp các thông tin này. Nếu cần thiết, hãy liên hệ trực tiếp với đơn vị đang yêu cầu thông tin của bạn để làm rõ.
Hiện nay, hầu hết các trang web uy tín tại Việt Nam và trên thế giới đã chuyển sang sử dụng HTTPS, ví dụ như trang web của các ngân hàng hay các trang web bán hàng qua mạng có sử dụng thẻ tín dụng. Tuy vậy, một số trang web lớn vẫn chưa chuyển sang sử dụng HTTPS, và do đó thông tin bạn gửi lên trang web này gần như bị mở (không được mã hóa) với hacker và các đối tượng xấu khác.
Dù không phải là hoàn hảo nhưng HTTPS cũng là một biện pháp chống hình thức lừa đảo giả dạng (phishing). Nếu bạn đang sử dụng một mạng wifi công cộng (tại quán café, sân bay…) để truy cập vào tài khoản ngân hàng của mình, hãy để ý tìm biểu tượng hình khóa, dòng chữ HTTPS trên ô địa chỉ và địa chỉ chính xác của trang ngân hàng trực tuyến này. Đây là cách hiệu quả nhất để xác thực rằng bạn đang truy cập vào đúng địa chỉ, thay vì vào một trang web lừa đảo, giả dạng khác. Nếu bạn không thấy HTTPS, chắc chắn mạng truy cập của bạn không an toàn.
Tránh bị lừa đảo giả dạng (phishing)
Những kẻ lừa đảo hiện tại đã phát hiện ra rằng chúng không thể giả dạng làm các ngân hàng uy tín thông qua HTTPS được nữa, do đó chúng sẽ tìm cách biện pháp ranh ma hơn.
Ví dụ, kẻ lừa đảo có thể gửi mail có chứa đường dẫn tới địa chỉ web
Trong mọi trường hợp, hãy kiểm tra xem địa chỉ bạn đang truy cập có phải là địa chỉ chính xác (nganhangA.com) hay không? Ngân Hàng A có thể được chia làm các tên miền nhỏ như tenmien1.nganhanga.com hay tenmien2.tenmien3.nganhanga.com, và do đó bạn cần xác nhận phần cuối cùng của tên miền đang truy cập. Nếu như địa chỉ đang truy cập có phần cuối cùng trước dấu / (dấu xược) đầu tiên chính xác là nganhangA.com và đang hiện biểu tượng khóa HTTPS, bạn có thể an tâm cung cấp các thông tin cần thiết.
Nếu cẩn thận, bạn hãy tránh click vào các đường link được cung cấp qua email, trừ khi địa chỉ gửi đã được xác thực. Bạn cũng có thể truy cập thẳng vào địa chỉ của ngân hàng và tìm đến chức năng cần sử dụng, thay vì click vào các đường link được gửi qua email.
Bài dịch gốc Vnreview
Nguồn
Mỗi khi bạn sử dụng giao thức HTTPS, thanh địa chỉ của trình duyệt sẽ xuất hiện biểu tượng hình khóa. Nói ngắn gọn, HTTPS (viết tắt của HTTP Secure – HTTP An toàn) là phiên bản bảo mật của giao thức HTTP (HyperText Transfer Protocol - Giao thức truyền tải siêu văn bản) vốn là cốt lõi của Internet. Hãy cùng tìm hiểu về giao thức này qua bài viết của trang How To Geek:
Vấn đề với HTTP
Khi bạn kết nối với một trang web thông qua giao thức HTTP, trình duyệt sẽ tìm địa chỉ IP tương ứng với trang web đó và kết nối với địa chỉ IP này. Trình duyệt sẽ mặc nhiên coi rằng bạn đang kết nối với đúng máy chủ cần kết nối. Dữ liệu gửi qua HTTP cũng không hề được mã hóa, thay vào đó chỉ sử dụng dạng ký tự văn bản bình thường, do đó những kẻ nghe/xem lén trên mạng wifi của bạn, nhà mạng mà bạn đang sử dụng và cả những cơ quan tình báo như NSA đều có thể dò tìm ra các trang web mà bạn đã ghé thăm cũng như các thông tin bạn đã gửi/nhận. Như vậy, những kẻ nghe lén sẽ dễ dàng lấy cắp được mật khẩu, số thẻ tín dụng và các thông tin khác mà bạn gửi qua HTTP.
Không chỉ có vậy, nếu chỉ sử dụng HTTP, bạn sẽ không có cách nào để xác thực rằng mình đang kết nối vào đúng trang web cần tới cả. Ví dụ, qua hình thức lừa đảo phishing, bạn có thể đang truy cập vào một trang web giả dạng làm một ngân hàng hay một trang bán hàng qua mạng. Ngay cả khi bạn truy cập vào các trang web thông thường qua HTTP, khả năng bạn bị người khác theo dõi và lấy cắp thông tin cá nhân vẫn có thể xảy ra.
Nói tóm lại, vấn đề lớn nhất của HTTP là giao thức này không được mã hóa. HTTPS sử dụng mã hóa để khắc phục các vấn đề này.
HTTPS giải quyết vấn đề như thế nào
Dù chưa đảm bảo được tính bảo mật 100% nhưng HTTPS vẫn an toàn hơn rất nhiều so với HTTP. Khi bạn kết nối vào một máy chủ sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật (security certificate) của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không. Nhờ đó, khi bạn truy cập vào những địa chỉ như
You must be registered for see links
, trình duyệt của bạn sẽ xác thực được rằng bạn đang truy cập vào địa chỉ thực của Ngân Hàng A.Dĩ nhiên, HTTPS không phải là không có lỗ hổng: các đơn vị cấp phát chứng thực bảo mật sẽ xác nhận rằng
You must be registered for see links
là địa chỉ xác thực của Ngân hàng A. Do đó, nếu các đơn vị cấp phát chứng thực để lọt một trang web xấu nào đó, bạn vẫn có thể bị lừa đảo khi truy cập vào các địa chỉ giả sử dụng HTTPS.Dù có lỗ hổng nhưng HTTPS vẫn tỏ ra hữu ích trong hầu hết các trường hợp sử dụng. Khi bạn cần cung cấp các thông tin như số thẻ tín dụng hay địa chỉ email, các trang web uy tín thường chuyển sang sử dụng các kênh HTTPS được mã hóa. Nhờ đó, các nhà mạng hay hacker gần như không thể dò tìm thông tin của bạn.
HTTPS cũng hỗ trợ tăng cường tính riêng tư. Ví dụ, hiện nay Google đang sử dụng giao thức HTTPS cho cả trang tìm kiếm của mình. Trước đây, do chỉ sử dụng HTTP nên bất kì ai cùng mạng wifi đều có thể theo dõi các tìm kiếm Google của bạn. Nếu như bạn truy cập vào các trang web khác, ví dụ như Wikipedia thông qua HTTPS, những người cùng mạng cũng không thể biết được bạn đang xem thông tin về chủ đề nào.
Khi nào thì bạn đang kết nối qua HTTPS?
Khi kết nối với máy chủ xác thực qua HTTPS, trình duyệt của bạn sẽ hiện biểu tượng khóa ngay bên cạnh ô địa chỉ. Bạn có thể click vào biểu tượng này để đọc thêm các thông tin về bảo mật. Tất cả các trình duyệt đều sẽ hiện biểu tượng khóa và hiển thị dòng chữ https:// trong ô địa chỉ, thay vì lược bớt phần http:// như khi sử dụng HTTP thông thường.
HTTPS trên Chrome
HTTPS trên FirefoxHTTPS trên Internet Explorer
Vì sao người dùng Internet cần hiểu rõ HTTPS?
Bạn phải để ý xem trang web đang sử dụng có dùng HTTPS hay không mỗi khi đăng nhập hay cung cấp thông tin thanh toán. Nếu trình duyệt không hiện biểu tượng hình khóa và giao thức HTTPS trong lúc bạn nhập tên tài khoản, mật khẩu, số thẻ tín dụng, mã an toàn…, bạn không nên cung cấp các thông tin này. Nếu cần thiết, hãy liên hệ trực tiếp với đơn vị đang yêu cầu thông tin của bạn để làm rõ.
Hiện nay, hầu hết các trang web uy tín tại Việt Nam và trên thế giới đã chuyển sang sử dụng HTTPS, ví dụ như trang web của các ngân hàng hay các trang web bán hàng qua mạng có sử dụng thẻ tín dụng. Tuy vậy, một số trang web lớn vẫn chưa chuyển sang sử dụng HTTPS, và do đó thông tin bạn gửi lên trang web này gần như bị mở (không được mã hóa) với hacker và các đối tượng xấu khác.
Dù không phải là hoàn hảo nhưng HTTPS cũng là một biện pháp chống hình thức lừa đảo giả dạng (phishing). Nếu bạn đang sử dụng một mạng wifi công cộng (tại quán café, sân bay…) để truy cập vào tài khoản ngân hàng của mình, hãy để ý tìm biểu tượng hình khóa, dòng chữ HTTPS trên ô địa chỉ và địa chỉ chính xác của trang ngân hàng trực tuyến này. Đây là cách hiệu quả nhất để xác thực rằng bạn đang truy cập vào đúng địa chỉ, thay vì vào một trang web lừa đảo, giả dạng khác. Nếu bạn không thấy HTTPS, chắc chắn mạng truy cập của bạn không an toàn.
Tránh bị lừa đảo giả dạng (phishing)
Những kẻ lừa đảo hiện tại đã phát hiện ra rằng chúng không thể giả dạng làm các ngân hàng uy tín thông qua HTTPS được nữa, do đó chúng sẽ tìm cách biện pháp ranh ma hơn.
Ví dụ, kẻ lừa đảo có thể gửi mail có chứa đường dẫn tới địa chỉ web
You must be registered for see links
. Trên trình duyệt web, biểu tượng hình khóa vẫn sẽ được hiển thị bên cạnh giao thức HTTPS, song thực tế bạn đang truy cập vào một phần (subdomain) có tên "nganhangA.com" của trang web 324924.com chứ không phải là trang web của Ngân Hàng A.Trong mọi trường hợp, hãy kiểm tra xem địa chỉ bạn đang truy cập có phải là địa chỉ chính xác (nganhangA.com) hay không? Ngân Hàng A có thể được chia làm các tên miền nhỏ như tenmien1.nganhanga.com hay tenmien2.tenmien3.nganhanga.com, và do đó bạn cần xác nhận phần cuối cùng của tên miền đang truy cập. Nếu như địa chỉ đang truy cập có phần cuối cùng trước dấu / (dấu xược) đầu tiên chính xác là nganhangA.com và đang hiện biểu tượng khóa HTTPS, bạn có thể an tâm cung cấp các thông tin cần thiết.
Nếu cẩn thận, bạn hãy tránh click vào các đường link được cung cấp qua email, trừ khi địa chỉ gửi đã được xác thực. Bạn cũng có thể truy cập thẳng vào địa chỉ của ngân hàng và tìm đến chức năng cần sử dụng, thay vì click vào các đường link được gửi qua email.
Bài dịch gốc Vnreview
Nguồn
You must be registered for see links
