Chứng chỉ SSL là gì?

Nhưng cái "s" thêm đó đến từ đâu, và nó có nghĩa là gì? Nói một cách đơn giản, "s" thêm có nghĩa là kết nối của bạn đến trang web đó được bảo mật và mã hóa mọi dữ liệu bạn nhập sẽ được chia sẻ an toàn với trang web đó. Công nghệ hỗ trợ "s" nhỏ đó được gọi là SSL, viết tắt của Lớp cổng bảo mật (Secure Sockets Layer), chúng ta cùng tìm hiểu trong bài hôm nay nhé.

SSL là gì?

SSL (Secure Sockets Layer) được Netscape phát triển lần đầu tiên vào năm 1995 với mục đích đảm bảo quyền riêng tư, xác thực và toàn vẹn dữ liệu trong truyền thông Internet. SSL là tiền thân của mã hóa TLS (Transport Layer Security) hiện đại được sử dụng ngày nay. Bản chất nó là các giao thức để thiết lập các liên kết được xác thực và mã hóa giữa các máy tính nối mạng. Mặc dù giao thức SSL không được chấp nhận khi phát hành TLS 1.0 vào năm 1999, nhưng đến ngày nay vẫn phát triển với càng nhiều tổ chức hỗ trợ hơn. Phiên bản mới nhất là TLS 1.3, được định nghĩa trong RFC 8446 (tháng 8 2018).

SSL cung cấp một kênh bảo mật giữa hai máy hoặc thiết bị hoạt động qua internet hoặc mạng nội bộ. Một ví dụ phổ biến là khi SSL được sử dụng để bảo mật liên lạc giữa trình duyệt web và máy chủ web. Điều này biến địa chỉ của một trang web từ HTTP sang HTTPS, và bạn có biết từ S thêm đó là viết tắt của từ secure nghĩa là bảo mật.

HTTP không an toàn và chịu các cuộc tấn công nghe lén vì dữ liệu được truyền từ trình duyệt web đến máy chủ web. Điều này có nghĩa là những kẻ tấn công có thể chặn và xem các dữ liệu nhạy cảm, chẳng hạn như chi tiết thẻ tín dụng và thông tin đăng nhập tài khoản... Khi dữ liệu được gửi hoặc đăng tải qua trình duyệt bằng HTTPS, SSL đảm bảo rằng thông tin đó được mã hóa và bảo mật khỏi bị chặn.

Hiểu một cách đơn giản là khi bạn nhập thông tin mật khẩu trên trình duyệt tại máy tính của bạn, các thông tin này như một bức thư tín được gởi đi trên đường truyền internet mà không mã hóa. Thông tin này chưa kịp đến máy chủ chứa trang web để kiểm tra thì hacker sẽ "chộp" trước gói tin này và mở ra xem bằng cách nghe ngóng đường truyền từ website này tới máy tính người dùng. SSL/TSL làm nhiệm vụ mã hóa các gói tin này để hacker có chộp được cũng không thể biên dịch vì bắt buộc phải có khóa để mở.

SSL/TLS hoạt động như thế nào?

Để cung cấp mức độ riêng tư cao, SSL mã hóa dữ liệu được truyền trên web. Điều này có nghĩa là bất cứ ai cố gắng chặn dữ liệu này sẽ chỉ thấy một mớ hỗn hợp các ký tự bị cắt xén mà gần như không thể giải mã được.

• SSL bắt đầu một quy trình xác thực được gọi là bắt tay giữa hai thiết bị giao tiếp để đảm bảo rằng cả hai thiết bị thực sự là người mà chúng tuyên bố là.
• SSL cũng ký điện tử dữ liệu để cung cấp tính toàn vẹn dữ liệu, xác minh rằng dữ liệu không bị giả mạo trước khi tiếp cận người nhận dự định.

Lớp cổng bảo mật (SSL) là công nghệ bảo mật tiêu chuẩn để thiết lập liên kết được mã hóa giữa máy chủ và máy khách, thông thường là máy chủ web (trang web) và trình duyệt, hoặc máy chủ thư và ứng dụng thư khách (ví dụ: Outlook).

SSL cho phép thông tin nhạy cảm như số thẻ tín dụng, số an sinh xã hội và thông tin đăng nhập được truyền đi an toàn. Thông thường, dữ liệu được gửi giữa các trình duyệt và máy chủ web được gửi bằng văn bản thuần túy khiến bạn dễ bị nghe lén. Nếu kẻ tấn công có thể chặn tất cả dữ liệu được gửi giữa trình duyệt và máy chủ web, chúng có thể xem và sử dụng thông tin đó.

Cụ thể hơn giao thức SSL xác định các biến mã hóa cho cả liên kết và dữ liệu được truyền đi. Tất cả các trình duyệt có khả năng tương tác với các máy chủ web được bảo mật bằng giao thức SSL. Tuy nhiên, trình duyệt và máy chủ cần cái được gọi là Chứng chỉ SSL (SSL certificate) để có thể thiết lập kết nối an toàn.

SSL bảo mật hàng triệu người dữ liệu trên Internet mỗi ngày, đặc biệt là trong các giao dịch trực tuyến hoặc khi truyền thông tin bí mật. Người dùng Internet đã liên kết bảo mật trực tuyến của họ với biểu tượng khóa đi kèm với trang web được bảo mật SSL hoặc thanh địa chỉ màu xanh lá cây đi kèm với trang web được bảo mật SSL xác thực mở rộng. Các trang web được bảo mật SSL cũng bắt đầu bằng https thay vì http.

SSL và TLS có giống nhau không?

SSL là tiền thân trực tiếp của một giao thức khác gọi là TLS (transport layer security). Năm 1999, Một tổ chức Internet Engineering Task Force (gọi tắt là IETF) đã đề xuất một bản cập nhật cho SSL. Vì bản cập nhật này đang được IETF phát triển và Netscape không còn liên quan nữa, nên tên đã được đổi thành TLS. Sự khác biệt giữa phiên bản cuối cùng của SSL (3.0) và phiên bản đầu tiên của TLS là không đáng kể, bản chất chỉ là việc thay đổi tên được áp dụng để biểu thị sự thay đổi quyền sở hữu.

Vì chúng có liên quan chặt chẽ với nhau, hai thuật ngữ thường được sử dụng thay thế cho nhau và lẫn lộn. Một số người vẫn sử dụng SSL để chỉ TLS, những người khác sử dụng thuật ngữ Mã hóa SSL/TLS vì SSL vẫn có quá nhiều nhầm lẫn trong việc nhận dạng.

SSL có được cập nhật?

Đã có rất nhiều bản cập nhật cho bảo mật SSL, mỗi lần cập nhật, SSL lại an toàn hơn lần trước cho đến năm 1999 SSL đã được cập nhật để trở thành TLS. SSL đã không được cập nhật kể từ SSL 3.0 vào năm 1996 và hiện được coi là không dùng nữa. Có một số lỗ hổng đã biết trong giao thức SSL và các chuyên gia bảo mật khuyên bạn nên ngừng sử dụng. Trên thực tế, hầu hết các trình duyệt web hiện đại không còn hỗ trợ SSL nữa.

TLS là giao thức mã hóa cập nhật vẫn đang được triển khai trực tuyến, mặc dù nhiều người vẫn gọi nó là mã hóa SSL. Đây có thể là một nguồn gây nhầm lẫn cho người sử dụng khi thực hiện việc mua các chứng chỉ ssl cho giải pháp bảo mật của họ. Sự thật là ngày nay bất kỳ nhà cung cấp nào cung cấp SSL gần như chắc chắn cung cấp chứng thực bảo vệ TLS, vốn là một tiêu chuẩn công nghiệp trong gần hai mươi năm nay. Nhưng vì nhiều người vẫn đang tìm kiếm chứng chỉ SSL để bảo vệ cho trang web nên dường như thuật ngữ này vẫn được đề cao nổi bật trên nhiều trang web bán chứng thực bảo mật SSL.

SSL/TLS có thực sự an toàn?

Về mặt kỹ thuật, SSL là một giao thức minh bạch, đòi hỏi ít sự tương tác từ người dùng cuối khi thiết lập một phiên bảo mật. Trong trình duyệt rất đơn giản để bạn có thể nhận biết liệu một trang web đang sử dụng SSL hay không khi ổ khóa được hiển thị hay thanh địa chỉ hiển thị URL dưới dạng HTTPS thay vì HTTP.

Dưới đây là ví dụ về trang web được bảo mật bằng SSL trong Chrome 56 so với trang web không an toàn.

Chứng chỉ SSL tạo ra một kết nối như thế nào?

Các thức tạo khóa thiết lập kết nối

Khi một trình duyệt cố gắng truy cập một trang web được bảo mật bởi SSL, trình duyệt và máy chủ web sẽ thiết lập kết nối SSL bằng cách sử dụng một quá trình gọi là SSL Handshake (Tạm gọi là quy trình bắt tay giữa trình duyệt và máy chủ web, xem quy trình này bên dưới). Lưu ý rằng quá trình SSL Handshake luôn ẩn không hiển thị đối với người dùng và xảy ra ngay lập tức nên bạn không thể cảm nhận được.

Về cơ bản, ba khóa được sử dụng để thiết lập kết nối SSL: khóa công khai (the public), riêng tư (private) và khóa phiên (session keys). Bất cứ điều gì được mã hóa bằng khóa chung chỉ có thể được giải mã bằng khóa riêng và ngược lại.

Vì mã hóa và giải mã bằng khóa riêng và khóa chung cần rất nhiều sức mạnh xử lý, chúng chỉ được sử dụng trong SSL Handshake để tạo khóa phiên đối xứng. Sau khi kết nối an toàn được thực hiện, khóa phiên được sử dụng để mã hóa tất cả dữ liệu được truyền.

Quy trình bắt tay SSL giữa trình duyệt và máy chủ web (SSL Handshake)

• Trình duyệt kết nối với máy chủ web được bảo mật bằng SSL (https), trình duyệt yêu cầu máy chủ tự xác định.
• Máy chủ gửi một bản sao Giấy chứng nhận SSL, bao gồm khóa công khai của máy chủ.
• Trình duyệt kiểm tra gốc chứng chỉ dựa vào danh sách các CA đáng tin cậy và chứng chỉ đó chưa hết hạn, chưa được cung cấp và tên chung của nó là hợp lệ cho trang web mà nó đang kết nối. Nếu trình duyệt tin cậy chứng chỉ, nó sẽ tạo, mã hóa và gửi lại khóa phiên đối xứng bằng khóa công khai của máy chủ.
• Máy chủ giải mã khóa phiên đối xứng bằng khóa riêng của nó và gửi lại một xác nhận được mã hóa bằng khóa phiên để bắt đầu phiên được mã hóa.
• Máy chủ và Trình duyệt hiện mã hóa tất cả dữ liệu được truyền bằng khóa phiên.

Chứng chỉ SSL hoặc TLS của tôi là?

Giao thức SSL luôn được sử dụng để mã hóa và bảo mật dữ liệu truyền đi. Mỗi khi một phiên bản mới và an toàn hơn được phát hành, chỉ có số phiên bản được thay đổi để phản ánh sự thay đổi (ví dụ: SSL v2.0). Tuy nhiên, khi đến thời điểm cập nhật từ SSL v3.0, thay vì gọi phiên bản mới SSL v4.0, nó đã được đổi tên thành TLS v1.0. và hiện nay đến thời điểm thực hiện bài viết này đang là phiên bản TLS v1.2.

Vì SSL vẫn là thuật ngữ được biết đến nhiều hơn, được sử dụng phổ biến hơn, DigiCert sử dụng SSL khi tham khảo các chứng chỉ hoặc mô tả cách bảo mật dữ liệu truyền. Khi bạn mua Chứng chỉ SSL từ chúng tôi (ví dụ: SSL tiêu chuẩn, SSL xác thực mở rộng, v.v.), bạn thực sự đang nhận được chứng chỉ TLS (RSA hoặc ECC).



Ô màu đỏ thể hiện phiên bản SSL đang dùng trên trang web Ngôi Sao Số (Ảnh chụp màn hình).

Có bao nhiêu loại chứng chỉ SSL trên thị trường ngày nay?

Bạn biết gì về Chrome 62 và SSL của Google?

Google đã sẵn sàng phát hành phiên bản mới của trình duyệt Chrome phổ biến của họ, phiên bản 62, sẽ hiển thị một dấu hiệu thông báo cho người dùng một trang không an toàn nếu nó chứa một biểu mẫu, nhưng không hỗ trợ SSL. Chrome có khoảng 47% thị phần trình duyệt, do đó, khi bản cập nhật này được tung ra, một số lượng đáng kể các trang web sẽ bị ảnh hưởng gần như ngay lập tức.

Theo nghiên cứu gần đây của HubSpot, có tới 85% mọi người sẽ không tiếp tục duyệt nếu một trang web không an toàn. Vào tháng 1 năm 2017, Google đã tung ra một bản cập nhật tương tự chỉ áp dụng cho các trang web thu thập thông tin nhạy cảm như mật khẩu hoặc số thẻ tín dụng. Với ý nghĩ đó, người dùng hiện đã quen với việc nhìn thấy cảnh báo "không an toàn" này và theo nghiên cứu dưới đây sẽ thường rời khỏi một trang web vì nó.

Nếu bạn sử dụng chế độ ẩn danh trong trình duyệt của mình, Chrome sẽ luôn chỉ ra một trang không an toàn nếu nó không được cài đặt chứng chỉ SSL hợp lệ. Nếu bạn sử dụng Chrome ngoài chế độ ẩn danh thì cảnh báo "không bảo mật" này sẽ chỉ hiển thị khi bắt đầu nhập thông tin vào biểu mẫu.

Điều này có nghĩa là bất cứ nơi nào bạn lưu trữ nội dung có chứa một biểu mẫu, ngay cả khi nó chỉ yêu cầu một địa chỉ email, bạn nên kích hoạt SSL. Hãy nhớ rằng nếu bạn có nội dung được lưu trữ trong các nền tảng khác nhau, điều quan trọng là phải nói chuyện với từng người trong số họ và đảm bảo SSL được thiết lập trước khi bản cập nhật Google Chrome này hoạt động. Trong thực tế, nếu không phải là chi phí cấm đối với bạn, tốt nhất bạn nên bật SSL trên toàn bộ trang web của mình bất kể hình thức có tồn tại trên trang hay không vì nó có thể có các lợi ích SEO mà chúng tôi sẽ đề cập trong phần tiếp theo.

SSL có ảnh hưởng đến SEO không?

Có, mặc dù mục đích chính của SSL là bảo mật thông tin giữa khách truy cập và trang web của bạn, nhưng cũng có những lợi ích cho SEO. Theo Nhà phân tích Xu hướng quản trị trang web của Google Zineb Ait Bahajji (nguồn https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html ), SSL hiện là một phần của thuật toán xếp hạng tìm kiếm của Google.

Trong vài tháng qua, chúng tôi đã chạy thử nghiệm có tính đến việc các trang web có sử dụng các kết nối được mã hóa an toàn như một tín hiệu trong các thuật toán xếp hạng tìm kiếm của chúng tôi hay không. Chúng tôi đã thấy kết quả tích cực, vì vậy chúng tôi bắt đầu sử dụng HTTPS làm tín hiệu xếp hạng."

Ngoài ra, Google đã công khai tuyên bố rằng hai trang web có kết quả tìm kiếm tương đương nhau, nếu một trang web có bật SSL, nó có thể nhận được một mức tăng thứ hạng nhẹ hơn so với các trang web khác. Kết quả là, có một lợi ích SEO rõ ràng nếu kích hoạt SSL trên trang web của bạn và trên tất cả nội dung của bạn.

Làm cách nào tôi có thể nhận được chứng chỉ SSL cho trang web của mình?

Bước đầu tiên là xác định loại chứng chỉ bạn cần. Ví dụ: nếu lưu trữ nội dung trong nhiều nền tảng (trên các tên miền/tên miền phụ riêng biệt), điều đó có thể có nghĩa là bạn cần các chứng chỉ SSL khác nhau.

Đối với hầu hết, chứng chỉ SSL tiêu chuẩn sẽ bao gồm nội dung của bạn, nhưng đối với các công ty hoạt động trong ngành đặc thù đã được quy định chẳng hạn như tài chính và bảo hiểm... có những yêu cầu cụ thể khác nhau trong ngành của bạn để được cung cấp loại chứng chỉ SSL bạn cần.

Chi phí chứng chỉ SSL khác nhau, nhưng bạn có thể nhận được chứng chỉ miễn phí hoặc phải trả vài trăm ngàn cho đến hàng chục triệu đồng mỗi năm để có được chứng chỉ SSL. Mặt khác bạn cũng có thể sử dụng chứng chỉ SSL miễn phí từ Let Encrypt. Let Encrypt cung cấp chứng chỉ miễn phí nhưng bạn cần thực sự am hiểu về DNS và thiết lập kỹ thuật trang web của bạn để hỗ trợ việc này. Các chứng chỉ này cũng sẽ hết hạn sau mỗi 90 ngày, vì vậy bạn sẽ cần đảm bảo chúng luôn cập nhật. (Bấm tham khảo bảng giá chứng chỉ SSL ). Nhiều nhà cung cấp tên miền khác sẽ bán chứng chỉ SSL thường dao động từ vài trăm ngàn để có được chứng chỉ cho một tên miền. Quá trình này sẽ dễ dàng hơn so với sử dụng Let Encrypt.

Một trong những cân nhắc quan trọng khác là thời hạn hiệu lực của chứng nhận. Hầu hết các chứng chỉ SSL tiêu chuẩn mà bạn mua có sẵn từ một đến hai năm theo mặc định, nhưng nếu bạn đang tìm kiếm các tùy chọn dài hạn hơn, thì hãy xem xét các chứng chỉ nâng cao hơn cung cấp khoảng thời gian dài.