Giao thức HTTPS bảo vệ tính bảo mật của việc truyền dữ liệu như thế nào?

“Sự tăng trưởng nhanh chóng về quy mô và độ phức tạp của mạng và các thiết bị Internet vạn vật (IoT) mang đến những cơ hội mới – cụ thể là sự tương tác giữa con người và thiết bị trên phạm vi toàn cầu. Nhưng đồng thời, nó cũng gia tăng các rủi ro vi phạm an ninh và các cuộc tấn công độc hại khác, đặc biệt là trong quá trình truyền dữ liệu.”

HTTPS, viết tắt của Hypertext Transfer Protocol Secure, là một giao thức kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet. Giao thức HTTPS thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao.

Giao thức HTTPS sử dụng port 443, giúp đảm bảo các tính chất sau của thông tin:

- Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo rằng các thông điệp được trao đổi giữa client và server không bị kẻ thứ ba đọc được.

- Integrity: sử dụng phương thức hashing để cả người dùng (client) và máy chủ (server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị mất mát hay chỉnh sửa.

- Authenticity: sử dụng chứng chỉ số (digital certificate) để giúp client có thể tin tưởng rằng server/website mà họ đang truy cập thực sự là server/website mà họ mong muốn vào, chứ không phải bị giả mạo.

Việc nhờ đến bên thứ 3 (thường là CA) để xác thực danh tính của website cộng thêm sự chú ý của người dùng rằng website đó có sử dụng HTTPS và SSL certificate của nó còn hiệu lực sẽ giúp loại bỏ hoàn toàn nguy cơ bị lừa đảo.

Câu hỏi được đặt ra là làm thế nào để đảm bảo rằng quá trình truyền dữ liệu không bị ảnh hưởng bởi các cuộc tấn công độc hại, và câu trả lời đi kèm với HTTPS.

Giao thức truyền siêu văn bản an toàn (HyperText Transfer Protocol Secure – HTTPS) là phiên bản bảo mật của HTTP cho World Wide Web, qua đó dữ liệu được gửi giữa trình duyệt của bạn và website mà bạn được kết nối. ‘S’ ở cuối HTTPS là viết tắt của ‘Secure’. Nó có nghĩa là tất cả các thông tin liên lạc giữa trình duyệt của bạn và trang web được mã hóa.

HTTPS cung cấp loại bảo mật nào cho bạn?

Nói một cách đơn giản, HTTPS bảo vệ tất cả thông tin (thậm chí là một phần của URL) bạn gửi và nhận từ trang web, bắt đầu từ lúc mở trang web đến khi đóng nó.

HTTPS đặc biệt bảo vệ tính bảo mật của việc truyền dữ liệu như thế nào? Chúng tôi sẽ giải quyết một số mối quan tâm phổ biến bằng cách trả lời các câu hỏi sau đây.

1.Làm thế nào người dùng có thể biết chắc chắn rằng trang web là hợp pháp?

Một trang web hợp pháp sẽ có chứng chỉ do cơ quan cấp chứng chỉ (CA) cấp. Đối với mỗi liên kết, trang web sẽ gửi chứng chỉ này cho khách hàng để chứng minh tính hợp pháp của nó.

2.Làm thế nào người dùng có thể đảm bảo tính bảo mật của dữ liệu được truyền giữa trang web và người dùng?

Sau khi xác minh, trang web sẽ xác định bộ mã hóa với người dùng. Và quá trình này được tự động tiến hành giữa trang web và trình duyệt, nó sẽ cùng nhau xác định bộ mật mã (bao gồm thuật toán mã hóa và thuật toán mã xác thực tin nhắn, v.v.) và phiên bản giao thức SSL/TLS. Sau đó, dữ liệu được truyền giữa trang web và người dùng sẽ được mã hóa dựa trên thuật toán được phối hợp.

3.Làm thế nào người dùng có thể đảm bảo tính toàn vẹn của dữ liệu được truyền giữa trang web và người dùng?

Có thể áp dụng “Thuật toán mật mã xác thực tin nhắn” để đảm bảo rằng dữ liệu của bạn không bị giả mạo. Thuật toán này có thể chuyển đổi dữ liệu có kích thước tùy ý thành dữ liệu có kích thước cố định, và ngay cả khi có một chút thay đổi đối với dữ liệu đầu vào, dữ liệu được chuyển đổi hoàn toàn khác nhau. Những đặc điểm này được …. để đảm bảo tính toàn vẹn của dữ liệu.

Nếu một tổ chức muốn có một trang web an toàn sử dụng HTTPS, thì nó cần phải có được một trang web, hoặc chứng chỉ máy chủ lưu trữ.

Giấy chứng nhận hợp pháp là gì?

Nói một cách đơn giản, bất cứ ai cần chứng chỉ này đều phải đăng ký từ các cơ quan chứng nhận hợp pháp và quy trình này bao gồm sự phân phối các mã khóa bí mật

Nếu trang web bạn truy cập không có chứng chỉ hợp pháp, trình duyệt sẽ hiển thị lời nhắc với thông báo như là:

Điều này cho thấy rằng máy chủ bạn truy cập chưa có chứng chỉ hợp pháp. Tuy nhiên, điều này không nhất thiết cho thấy rằng máy chủ không an toàn. Để khắc phục điều này, chủ sở hữu của máy chủ cần phải xin chứng chỉ từ một tổ chức CA. GlobalSign, Verisign, Thawte và Geotrust là một số thương hiệu chứng nhận máy chủ hàng đầu.

Ai nên nộp đơn xin giấy chứng nhận?

Nói chung, để đảm bảo tính khả dụng của HTTPS ở phía máy chủ (nền tảng VMS hoặc thiết bị front-end và thiết bị back-end), nhà sản xuất cần tạo chứng chỉ tạm thời cho phía máy chủ trước khi cấp phát. Chứng chỉ được cài đặt theo mặc định trên camera được gọi là chứng chỉ “self-signed” – nó không được cấp bởi cơ quan chứng nhận và thực tế là không thể.

Thật không may, HIKVISION không thể cung cấp chứng chỉ CA cho người dùng, người dùng cần tự mua nó (chứng minh rằng họ sở hữu tên miền), dựa trên quyết định của họ về việc họ sẽ sử dụng tên miền nào.

Hiện tại, hầu hết các sản phẩm của HIKVISION, bao gồm cả thiết bị front-end và back-end hoặc nền tảng VMS, đều hỗ trợ HTTPS. Người dùng cũng có thể tích chọn checkbox “Enable HTTPS Browsing”, nó sẽ tự động chuyển sang HTTPS khi họ cố truy cập một trang web qua HTTP.