HTTPS có bảo vệ dữ liệu đang truyền (data in transit) không?

HTTPS là phiên bản bảo mật của Giao thức truyền siêu văn bản (HTTP) được dùng để truyền dữ liệu giữa trình duyệt web và trang web.

Giao dịch internet an toàn là bắt buộc khi người dùng trao đổi dữ liệu nhạy cảm trực tuyến như kiểm tra tài khoản ngân hàng hoặc đăng nhập vào tài khoản email của họ.

HTTPS tuyên bố sẽ bảo vệ dữ liệu nhạy cảm của chúng ta trong quá trình truyền, nhưng điều này có thực sự đúng không? Mối liên hệ giữa HTTPS và TLS là gì? Làm cách nào bạn có thể kiểm tra chứng chỉ SSL của trang web? 

Dữ liệu đang truyền là gì?

Khi bạn nhập địa chỉ trang web vào trình duyệt và nhấp vào enter, rất nhiều thứ sẽ xảy ra đằng sau hậu trường. dữ liệu đang truyền (data in transit) là thông tin đang truyền từ vị trí này sang vị trí khác, tức là qua internet khi bạn đang cố gắng truy cập một trang web.

Tóm lại, bất kỳ dữ liệu nào đang đi từ nguồn đến đích đều là dữ liệu đang truyền.

Nó cần được bảo mật vì nó có thể cần di chuyển từ mạng (network) này sang mạng khác hoặc từ thiết bị lưu trữ cục bộ sang lưu trữ đám mây. Điều này khiến nó dễ bị chặn trên đường đi.

HTTPS trợ giúp như thế nào trong việc bảo mật dữ liệu đang truyền?

Giao tiếp HTTP gửi tất cả dữ liệu ở dạng văn bản thuần túy, điều này khiến cho bất kỳ ai muốn chặn dữ liệu đó, kể cả tội phạm mạng, đều có thể đọc nó. Đây là một vấn đề lớn, đặc biệt là khi dùng Wi-Fi công cộng.

HTTPS ngăn không cho dữ liệu được phát (broadcast) trong khi đang chuyển và khiến mọi người khó xem dữ liệu đó. Nó làm điều đó bằng cách mã hóa lưu lượng và bảo mật nó bằng chứng chỉ SSL; ngay cả khi các gói dữ liệu bị đánh cắp, chúng sẽ khó mà đọc được được nếu không có khóa giải mã. 

Tuy nhiên cũng cần lưu ý rằng một kết nối an toàn không đảm bảo một trang web an toàn. Tội phạm mạng đã tìm ra những cách mới để sử dụng HTTPS cho các trang web độc hại, điều đó có nghĩa là trên thực tế bạn vẫn có thể truy cập một trang web dựa trên HTTPS không an toàn.

Tất nhiên truy cập trang web dựa trên HTTPS vẫn tốt hơn là HTTP.

Mối liên hệ giữa TLS và HTTPS

TLS, viết tắt của Transport Layer Security (tạm dịch là Lớp bảo mật di chuyển), là một giao thức mã hóa giúp mã hóa HTTPS cũng như các giao thức và dịch vụ email khác. Nó cũng là tiền thân của giao thức SSL (Secure Sockets Layer) hiện đã lỗi thời.

Bằng cách sử dụng các kỹ thuật mật mã, TLS đảm bảo:

1. Dữ liệu không bị sửa đổi sau khi được gửi đi.
2. Thông tin liên lạc bắt nguồn từ các nguồn xác thực (ví dụ một trang web tự nhận là của ngân hàng thực sự là của ngân hàng)
3. Dữ liệu riêng tư được ẩn khỏi những con mắt tò mò.

Giao thức này bảo mật thông tin liên lạc bằng cách sử dụngcơ sở hạ tầng khóa công khai bất đối xứng. Quá trình bắt đầu bằng một cái bắt tay TLS (TLS handshake) trong đó quá trình xác thực diễn ra và các khóa phiên (session key) được tạo.

Chứng chỉ SSL là gì?

Chứng chỉ SSL buộc các trang web chuyển đổi từ HTTP sang HTTPS, làm cho chúng an toàn hơn.

Chứng chỉ SSL nằm trong file dữ liệu được lưu trữ bên trong máy chủ gốc của trang web. Bằng cách chứa khóa công khai (public key) và danh tính (identity) của trang web, chúng giúp mã hóa TLS có thể diễn ra.

Bất kỳ thiết bị nào đang cố truy cập máy chủ gốc sẽ tham chiếu tệp này để lấy khóa công khai và xác minh danh tính của máy chủ. Khóa riêng, đúng như tên của nó, được giữ an toàn và riêng tư.

Cách kiểm tra xem trang web có chứng chỉ SSL hay không

Các trình duyệt hiện đại đã giúp cho việc kiểm tra chứng chỉ SSL trở nên rất dễ dàng. Đối với người mới bắt đầu, nếu URL bắt đầu bằng “HTTPS” thay vì “HTTP” thì trang web được bảo mật bằng chứng chỉ SSL.

Biểu tượng ổ khóa hiển thị trong trình duyệt web cũng cho biết rằng trang web có kết nối an toàn với chứng chỉ SSL.

Ví dụ như Google Chrome, bạn chỉ cần thực hiện một vài bước để lấy thông tin chứng chỉ cho một trang web.

Bước 1: Bấm vào biểu tượng ổ khóa trên thanh địa chỉ.

Bước 2: Nhấp vào “Connection is secure >> Certificate (Valid) (Kết nối bảo mật >> Chứng chỉ (Hợp lệ)) trong cửa sổ bật lên.

Bước 3: Kiểm tra ngày “Valid from” (Có hiệu lực từ) để kiểm tra xem chứng chỉ SSL có còn hiệu lực hay không.

HTTPS có bảo vệ dữ liệu đang truyền không?

Câu trả lời là có. 

HTTPS qua SSL/TLS được thiết kế để cung cấp mã hóa khi đang chuyển. Do giao tiếp giữa trình duyệt và máy chủ trang web (có chứng chỉ bảo mật) ở định dạng được mã hóa, các gói dữ liệu đang truyền sẽ không thể bị sửa đổi hoặc đọc ngay cả khi chúng bị chặn.

Tuy nhiên, khi dữ liệu của bạn đi đến đích và nằm trên máy chủ của trang web, HTTPS không còn có thể bảo vệ dữ liệu đó. Mặc dù HTTPS đảm bảo dữ liệu đến đích an toàn nhưng HTTPS không chịu trách nhiệm về việc nó được lưu trữ an toàn.

HTTPS: Một mảnh ghép quan trọng trong an ninh mạng

Mặc dù HTTPS không cung cấp mã hóa đầu cuối đầy đủ hoặc bảo vệ trang web khỏi các lỗ hổng hoặc tấn công giả mạo (phishing), nhưng nó cung cấp bảo mật cho dữ liệu khi truyền và đảm bảo rằng chứng chỉ bảo mật được cấp bởi cơ quan cấp chứng chỉ đáng tin cậy.

Vân Nguyễn

Dịch từ: https://www.makeuseof.com/does-https-protect-data-in-transit/