Hồi trước lúc đang lướt web với Proxy Server thì mình lại vô tình dính phải hai thằng này: HTTP và HTTPS. Lên Google search thì thấy bảo HTTP là HyperText Transfer Protocol – tức là Giao thức truyền tải siêu văn bản gì đó. Hiểu nôm na là cách mà trình duyệt của mình "tám chuyện" với mấy cái Web Servers khi lướt web. Nhờ nó mà giờ mình mới cày Tinh Tế được mỗi ngày. Oke thì giờ hiểu sơ sơ rồi, nhưng mà HTTPS là thứ quái gì nữa đây...
#1. HTTP và HTTPS là gì?
Lại phải nhờ cậy Google một lần nữa thôi. Lần này đọc được là: Hypertext Transfer Protocol Secure – HTTPS chính là Giao thức truyền tải siêu văn bản bảo mật. À thì ra chỉ thêm chữ Secure (tức bảo mật) vào thôi mà, ezzzz. Nhưng mà cứ nghĩ vậy thì hơi phập phồng, nên search thêm để so sánh HTTP vs HTTPS, thấy bảng này:
Để tạm cái phần cổng mặc định sang một bên đã, dù chưa hiểu rõ 3 dòng kia nói gì nhưng nhìn qua thì làm việc với HTTPS có vẻ yên tâm hơn hẳn. Tuy nhiên nếu chỉ nói thế này thì chắc cô bán xôi đầu hẻm cũng nói được rồi Vấn đề là HTTPS nó bảo mật cụ thể ra sao thì vẫn còn mông lung lắm.
Trước khi đào sâu vào mấy cái nguyên lý nghe phức tạp, mình cần xem mặt mũi thằng HTTPS thế nào đã. Tay nhanh hơn não, mình đã rê chuột vào địa chỉ trang Tinh Tế và click vào cái biểu tượng ổ khóa bên cạnh chữ HTTPS xem sao.
Ở đây thấy 2 thông tin khá tích cực:
• Có dòng chữ báo rằng thông tin gửi đến site Tinh Tế sẽ được giữ bí mật
• Certificate còn valid (hợp lệ) nữa
Hai cái này khớp với phần bảo mật mình đọc ở trên rồi đó. Giờ là lúc phải đào sâu xem nguyên lý cơ bản của HTTPS hoạt động thế nào. Tiếp tục mò mẫm thì đọc thấy:
• HTTPS đơn thuần chỉ làm cơ chế vận chuyển thông tin
• Traffic thay vì đi nghênh ngang ngoài đường, sẽ được "bọc" bằng cơ chế vận chuyển bảo mật tên là Transport Layer Security - TLS
• Nhờ TLS này mà bọn hacker khó có thể "đánh hơi" được thông tin giữa trình duyệt và Web Servers
#2. SSL và TLS
Tiếp tục hành trình tìm kiếm, mình đọc thấy dòng quan trọng này: "...TLS là phiên bản cập nhật của SSL, ví dụ TLS 1.0 là bản update của SSL 3.0 nên có thể coi như SSL 3.1. Dù hiện tại SSL đã bị thay thế bằng TLS nhưng có thể do quen tay nên người ta vẫn hay ghi SSL hoặc SSL/TLS thay vì chỉ ghi TLS..."
Oke, thế thì rõ về cách gọi tên rồi. Nhưng về bản chất thì nó là gì? Đọc tiếp: "...SSL/TLS là giao thức dùng để mã hóa data-in-transit (dữ liệu đang được vận chuyển) nói chung. Về cơ bản, SSL/TLS đều thuộc dạng xác thực Certificate-based (yêu cầu phải có Certificate Authorities – CAs phát hành và quản lý các Certificate)..."
À, vậy là nó là giao thức mã hóa thông tin đang được vận chuyển, có dùng Certificate gì đó. Chưa hiểu rõ lắm nhưng nghe hợp lý vì ở trên mình cũng thấy Certificate báo valid rồi mà.
Đọc tiếp: "...SSL/TLS mã hóa bằng cách kết hợp Symmetric và Asymmetric Encryption như sau:
• Dùng Asymmetric Encryption để trao đổi Session Key (khóa cho phiên làm việc, thuộc nhóm Symmetric Encryption Key)
• Dùng Symmetric Encryption Key đã trao đổi để mã hóa dữ liệu hiển thị trên trang web cũng như trong quá trình vận chuyển dữ liệu của 1 phiên làm việc..."
Thôi chết, đột nhiên nó văng ra cả đống thuật ngữ khó hiểu, nghe choáng váng hết cả người luôn Để bảo toàn lực lượng, mình quyết định tạm thời rút lui, bookmark trang đang đọc lại để dành hôm nào rảnh quay lại vậy.
---
Nguồn: tinhte.vn