Bài viết này được tạo ra với sự hợp tác của ĐiNhậnSSL. Cảm ơn bạn đã hỗ trợ các đối tác làm cho SitePoint khả thi.

Trong thập kỷ qua, tỷ lệ tội phạm mạng đã tăng mạnh. Nhiều tổ chức kinh doanh có uy tín và các cơ quan chính phủ không thực hiện đầy đủ bảo mật trực tuyến đã bị bắt quả tang. Google đã bắt đầu có quan điểm mạnh mẽ chống lại các trang web không sử dụng HTTPS. Khách truy cập trang web sẽ được thông báo nếu họ sắp gửi bất kỳ thông tin nào qua kết nối không an toàn.

Trong bài viết này, bạn sẽ học cách bảo vệ khách hàng và doanh nghiệp của mình khỏi bị xâm phạm quyền riêng tư và đánh cắp dữ liệu. Bạn sẽ học cách sử dụng công nghệ SSL để bảo mật các trang web và ứng dụng của bạn khỏi bị rò rỉ dữ liệu nhạy cảm cho những kẻ nghe trộm.

Tôi sẽ không thể chỉ cho bạn cách cài đặt SSL, vì đó là một chủ đề nâng cao. Bạn có thể tìm thêm thông tin về quá trình cài đặt tại đây.

Cách SSL hoạt động bằng tiếng Anh thuần túy

Hãy tưởng tượng bạn đang ở trong phòng khách sạn của mình, trên máy tính xách tay, được kết nối với WIFI của khách sạn. Bạn sắp đăng nhập vào cổng trực tuyến của ngân hàng. Trong khi đó, một hacker bất chính đã khéo léo đặt một phòng bên cạnh bạn và thiết lập một máy trạm đơn giản có thể lắng nghe tất cả lưu lượng mạng trong tòa nhà khách sạn. Tin tặc có thể nhìn thấy tất cả lưu lượng truy cập sử dụng giao thức HTTP dưới dạng văn bản thuần túy.

Giả sử trang web của ngân hàng chỉ sử dụng HTTP, các chi tiết biểu mẫu như tên người dùng và mật khẩu sẽ bị hacker nhìn thấy ngay khi bạn nhấn gửi. Vậy chúng ta bảo vệ dữ liệu này như thế nào? Câu trả lời rõ ràng là mã hóa. Mã hóa dữ liệu liên quan đến việc chuyển đổi dữ liệu văn bản thuần túy sang một thứ gì đó có vẻ bị cắt xén - hay còn gọi là dữ liệu được mã hóa. Để mã hóa dữ liệu văn bản thuần túy, bạn cần một thuật toán mã hóa và khóa mật mã.

Giả sử bạn mã hóa dữ liệu sau:

Come on over for hot dogs and soda!

Nó sẽ trông giống như thế này ở dạng được mã hóa:

wUwDPglyJu9LOnkBAf4vxSpQgQZltcz7LWwEquhdm5kSQIkQlZtfxtSTsmaw
q6gVH8SimlC3W6TDOhhL2FdgvdIC7sDv7G1Z7pCNzFLp0lgB9ACm8r5RZOBi
N5ske9cBVjlVfgmQ9VpFzSwzLLODhCU7/2THg2iDrW3NGQZfz3SSWviwCe7G
mNIvp5jEkGPCGcla4Fgdp/xuyewPk6NDlBewftLtHJVf
=PAb3

Việc giải mã thông báo trên mà không có khóa mật mã có thể mất nhiều thời gian hơn bằng khả năng tính toán hiện tại. Không ai có thể đọc nó trừ khi họ có khóa mật mã được sử dụng để mã hóa nó. Loại mã hóa này được gọi là mã hóa đối xứng. Bây giờ chúng tôi đã tìm ra cách bảo vệ dữ liệu, chúng tôi cần một cách an toàn để truyền khóa mật mã đến người nhận tin nhắn một cách an toàn. Chúng tôi có thể làm điều này bằng cách sử dụng hệ thống mã hóa bất đối xứng được gọi là mật mã khóa công khai.

Mật mã khóa công khai sử dụng một cặp khóa mật mã liên quan đến toán học:

• Khóa công khai: có thể được chia sẻ một cách an toàn với bất kỳ ai
• Khóa riêng: không bao giờ được truyền đi, lưu trữ trong bí mật

Khi một khóa được sử dụng để mã hóa, khóa còn lại được sử dụng để giải mã. Không thể sử dụng cùng một khóa để giải mã những gì nó đã mã hóa. Dưới đây là mô tả về cách nó hoạt động:

Tuy nhiên, chúng tôi không thể tin tưởng bất kỳ khóa công khai nào được cấp cho chúng tôi vì chúng có thể được tạo bởi bất kỳ ai. Để đảm bảo tính xác thực của khóa công khai, chúng cần được đóng gói trong cái gọi là chứng chỉ SSL. Đây là một tệp kỹ thuật số đã ký có chứa các thông tin sau:

• Tên chủ thể: cá nhân, tổ chức hoặc tên máy
• chính công
• Chữ ký điện tử (dấu vân tay của chứng chỉ)
• Người phát hành (pháp nhân đã ký chứng chỉ)
• Ngày hợp lệ (bắt đầu và hết hạn)

Tôi chỉ liệt kê những thứ cần thiết. Chứng chỉ SSL thường chứa nhiều thông tin hơn. Đây là một ví dụ trong thế giới thực:

Như bạn thấy, chứng chỉ trên đã được ký (xem phần hình thu nhỏ). Chữ ký điện tử chỉ đơn giản là một mã băm được mã hóa của một tệp. Đầu tiên hãy giải thích hàm băm là gì. Giả sử bạn có một tài liệu 100 từ và bạn chạy nó thông qua một chương trình băm. Bạn sẽ nhận được hàm băm sau:

46798b5cfca45c46a84b7419f8b74735

Nếu bạn thay đổi bất kỳ điều gì trong tài liệu, ngay cả khi nó thêm một điểm dừng duy nhất, một hàm băm hoàn toàn mới sẽ được tạo khi bạn chạy lại hàm băm:

bc527343c7ffc103111f3a694b004e2f

Sự không khớp về hàm băm giữa hàm băm được gửi và mã được tạo có nghĩa là tệp đã bị thay đổi. Đây là tuyến phòng thủ đầu tiên để đảm bảo rằng chứng chỉ SSL không bị thay đổi. Tuy nhiên, chúng tôi cần xác minh rằng hàm băm đã gửi được tạo bởi tổ chức phát hành chứng chỉ. Điều này được thực hiện bằng cách mã hóa băm bằng khóa riêng của nhà phát hành. Khi chúng tôi thực hiện băm cục bộ của chứng chỉ, sau đó giải mã chữ ký của chứng chỉ để có được băm đã gửi, chúng tôi có thể so sánh hai. Nếu có sự trùng khớp, nó có nghĩa là:

• chứng chỉ đã không bị thay đổi bởi người khác
• chúng tôi có bằng chứng chứng chỉ đến từ tổ chức phát hành, vì chúng tôi đã giải mã thành công chữ ký bằng khóa công khai của họ
• chúng ta có thể tin tưởng tính xác thực của khóa công khai được đính kèm trong chứng chỉ SSL.

Bây giờ, bạn có thể tự hỏi chúng tôi lấy khóa công khai của nhà phát hành ở đâu và tại sao chúng tôi nên tin tưởng vào nó. Chà, khóa công khai của nhà phát hành đã được cài đặt sẵn bên trong hệ điều hành và trình duyệt của chúng tôi. Nhà phát hành là tổ chức phát hành chứng chỉ đáng tin cậy (CA) ký chứng chỉ tuân thủ các nguyên tắc chính thức của CA / Diễn đàn trình duyệt và các khuyến nghị của NIST. Ví dụ, đây là một của các tổ chức phát hành / CA đáng tin cậy mà bạn sẽ tìm thấy trên Hệ điều hành của Microsoft. Ngay cả điện thoại thông minh và máy tính bảng cũng có một danh sách tương tự được cài đặt sẵn trên hệ điều hành và trình duyệt.

Theo một cuộc khảo sát được thực hiện bởi W3Techs vào tháng 2018 năm 90, các tổ chức phát hành sau đây chiếm khoảng XNUMX% số chứng chỉ hợp lệ được ký trên toàn cầu:

• nhận dạng tin cậy
• Comodo
• DigiCert (được Symantec mua lại)
• GoDaddy
• Toàn cầu

Bây giờ bạn đã hiểu về công nghệ mã hóa và SSL, tốt nhất bạn nên xem lại cách bạn có thể đăng nhập an toàn vào cổng thông tin ngân hàng của mình bằng HTTPS mà không cần tin tặc bên cạnh đọc lưu lượng truy cập của bạn.

1. Trình duyệt trên máy tính xách tay của bạn khởi động bằng cách yêu cầu máy chủ của ngân hàng cấp chứng chỉ SSL.
2. Máy chủ gửi nó. Sau đó, trình duyệt kiểm tra chứng chỉ có xác thực dựa trên danh sách CA đáng tin cậy hay không. Nó cũng kiểm tra xem nó chưa hết hạn và chưa bị thu hồi.
3. Nếu mọi thứ được kiểm tra, trình duyệt sẽ tạo ra một khóa mật mã (còn được gọi là khóa phiên). Sử dụng khóa công khai được tìm thấy trên chứng chỉ SSL, nó được mã hóa và sau đó được gửi đến máy chủ.
4. Máy chủ giải mã khóa phiên bằng khóa riêng của nó.
5. Kể từ bây giờ, tất cả thông tin liên lạc được gửi qua lại sẽ được mã hóa bằng khóa phiên. Mã hóa đối xứng nhanh hơn không đối xứng.

Điều này có nghĩa là cả dữ liệu biểu mẫu đi từ máy tính xách tay và dữ liệu HTML đến từ máy chủ, sẽ được mã hóa bằng khóa mật mã mà tin tặc sẽ không có quyền truy cập. Tất cả những gì sẽ thấy trong nhật ký lưu lượng truy cập đã thu được sẽ là các chữ cái và số bị cắt xén. Thông tin của bạn hiện đã được bảo vệ và giữ kín khỏi những con mắt tò mò.

Bây giờ bạn đã hiểu cách SSL nói chung hoạt động, hãy chuyển sang phần tiếp theo để xem các loại chứng chỉ SSL khác nhau mà chúng ta có thể sử dụng.

Các loại SSL

Chứng chỉ SSL xác thực tên miền

Validation miền là loại chứng chỉ SSL phổ biến và hợp lý nhất có thể được cấp cho bất kỳ ai để bảo vệ các trang web miền công cộng. Để mua loại chứng chỉ SSL này, bạn cần chứng minh bạn là chủ sở hữu của miền bạn muốn bảo vệ. Đây là lý do tại sao nó được gọi là xác thực miền. Điều này được thực hiện thông qua một hoặc nhiều cách sau:

• tạo bản ghi DNS TXT
• trả lời một email được gửi đến địa chỉ liên hệ email đã đăng ký trong miền whois hồ sơ
• trả lời email được gửi tới một địa chỉ liên hệ quản trị nổi tiếng trong miền của bạn - chẳng hạn nhưadmin@domain.com
• xuất bản nonce được cung cấp bởi hệ thống cấp chứng chỉ tự động

Google Chrome hiện là trình duyệt web phổ biến nhất với khoảng 70% thị phần trình duyệt máy tính để bàn toàn cầu, tính đến tháng 2019 năm XNUMX. Google gần đây đã tăng cường lập trường của mình về việc thực thi các giao thức bảo mật đối với chủ sở hữu trang web để đảm bảo quyền riêng tư của người dùng cuối được bảo vệ. Các trang web không được bảo vệ được đánh dấu là không an toàn. Người dùng cũng không được khuyến khích nếu họ cố gắng gửi biểu mẫu đến một trang web không được bảo vệ. Nếu trang web có chứng chỉ SSL hết hạn hoặc không hợp lệ, trang web sẽ tạm thời bị chặn.

Nếu bạn không muốn mất lưu lượng truy cập có giá trị vì trang web của bạn không được bảo vệ, bạn cần đảm bảo rằng bạn ít nhất có được Chứng chỉ SSL xác thực miền. Chỉ mất 5–8 phút để được cấp một.

Công khai IP San SSL

Chứng chỉ SSL thường được phát hành để bảo vệ một tên miền đủ điều kiện - chẳng hạn như www.domain.com. Nếu bạn muốn bảo vệ một địa chỉ IP công cộng, bạn sẽ cần phải có IP SAN công khai SSL chứng chỉ. SAN là viết tắt của Subjective Alternative Name, là một trường trên trường chứng chỉ có thể được sử dụng để giữ Địa chỉ IP.

SSL ký tự đại diện

Chứng chỉ SSL thông thường chỉ áp dụng cho một tên miền - chẳng hạn như www.domain.com. Nếu bạn muốn bảo vệ một miền phụ, bạn sẽ phải mua chứng chỉ SSL mới cho miền đó. Thay vì mua chứng chỉ SSL mới cho mọi miền phụ mà bạn quản lý, bạn chỉ cần mua một Chứng chỉ SSL ký tự đại diện, sẽ áp dụng cho các miền phụ của bạn — nghĩa là, *.domain.com. Nó tiết kiệm chi phí hơn so với việc mua nhiều chứng chỉ SSL. Việc quản lý bằng một chứng chỉ SSL cũng dễ dàng hơn.

Tuy nhiên, nếu miền phụ bị xâm phạm, điều đó có nghĩa là tất cả các miền phụ sử dụng cùng một chứng chỉ đều bị xâm phạm. Bạn sẽ cần phải thu hồi nó và yêu cầu một chứng chỉ mới. Bạn cũng có thể mua một cách riêng biệt nếu bạn không phải đối mặt với loại vấn đề này.

Chứng chỉ SSL đa miền

Như tên gợi ý, bạn có thể mua chứng chỉ SSL đa miền, cung cấp khả năng bảo vệ cho tối đa 250 miền và miền phụ. Loại chứng chỉ này đặc biệt hữu ích để bảo vệ hàng trăm máy chủ liên lạc văn phòng có thể trải dài trên các vùng địa lý khác nhau. Ngay cả khi lưu lượng truy cập bị hạn chế trong mạng công ty, tốt nhất bạn nên bảo vệ nó cũng như sử dụng SSL, vì rất dễ dàng cho một nhân viên lừa đảo theo dõi và ghi lại lưu lượng truy cập của mọi người.

Xác minh doanh nghiệp nhanh hơn với mã LEI

Kể từ năm 2019, có thể xác minh các tổ chức sử dụng mã LEI (Định danh pháp nhân) trên toàn cầu. Điều này đơn giản hóa và tăng tốc đáng kể quá trình xác minh. Doanh nghiệp có thể nhận được mã LEI thông qua các đại lý đăng ký GLEIF chính thức.

Mã định danh pháp nhân (LEI) là một mã duy nhất để xác định bất kỳ công ty nào trên toàn thế giới tham gia vào các giao dịch tài chính. Quy trình được thực hiện theo tiêu chuẩn quốc tế ISO 17442. Mục tiêu là giúp theo dõi và đo lường rủi ro hệ thống, đồng thời hỗ trợ hiệu quả và không tốn kém việc tuân thủ các yêu cầu báo cáo quy định.

Tổng kết

Tôi hy vọng bây giờ bạn có đủ thông tin để quyết định mua chứng chỉ SSL nào. Xin lưu ý rằng chứng chỉ SSL chỉ có hiệu lực trong hai năm. Đây là một tính năng bảo mật để đảm bảo thông tin trên chứng chỉ được cập nhật. Nó cũng đảm bảo rằng bất kỳ khóa nào bị thất lạc không được sử dụng để xâm nhập vào lưu lượng truy cập. Chứng chỉ SSL miễn phí thường có hiệu lực trong 90 ngày. Nếu bạn muốn đảm bảo rằng bạn không quên mua một lần gia hạn, bạn có thể nhận được một Gói đăng ký 3 hoặc 4 năm. Xin lưu ý rằng tỷ lệ giới hạn hai năm được áp dụng. Bạn sẽ được liên hệ vào cuối ngày hết hạn để thay thế chứng chỉ bằng chứng chỉ mới. Ưu điểm của việc chọn gói đăng ký dài hơn là bạn tiết kiệm tiền thay vì mua hàng năm.

Nguồn: https://www.sitepoint.com/ssl-which-certificate/?utm_source=rss