Với rất nhiều vi phạm dữ liệu lớn trong tin tức gần đây, bạn có thể tự hỏi làm thế nào dữ liệu của bạn được bảo vệ khi bạn trực tuyến. Khi bạn truy cập một trang web để mua sắm và nhập số thẻ tín dụng của mình, hy vọng trong vài ngày tới, một gói hàng sẽ đến cửa nhà bạn. Nhưng tại thời điểm đó trước khi nhấn Đặt hàng, bạn có thắc mắc bảo mật trực tuyến hoạt động như thế nào không?
Khái niệm cơ bản về bảo mật trực tuyến
Ở dạng cơ bản, bảo mật trực tuyến - bảo mật diễn ra giữa máy tính và trang web - được thực hiện thông qua một loạt câu hỏi và câu trả lời. Bạn nhập địa chỉ web vào trình duyệt, sau đó trình duyệt yêu cầu trang web đó xác minh tính xác thực của nó. Trang web phản hồi với thông tin thích hợp và sau khi cả hai đồng ý, trang web sẽ mở trong trình duyệt web.
Trong số các câu hỏi được hỏi và thông tin được trao đổi là dữ liệu về loại mã hóa truyền thông tin trình duyệt, thông tin máy tính và thông tin cá nhân giữa trình duyệt và trang web. Những câu hỏi và câu trả lời này được gọi là một cái bắt tay. Nếu quá trình bắt tay đó không diễn ra, thì trang web bạn đang cố truy cập được coi là không an toàn.
HTTP so với
- Mở cho mọi người xem trên đường đi.
- Dễ dàng thiết lập và chạy hơn.
- Không bảo mật cho mật khẩu và dữ liệu đã gửi.
-
Được mã hóa hoàn toàn để ẩn thông tin.
- Yêu cầu cấu hình máy chủ bổ sung.
- Bảo vệ thông tin được truyền đi, bao gồm cả mật khẩu.
Một điều bạn có thể nhận thấy khi truy cập các trang web là một số có địa chỉ bắt đầu bằng http và một số bắt đầu bằng https. HTTP có nghĩa là Giao thức truyền siêu văn bản; đó là một giao thức hoặc tập hợp các nguyên tắc chỉ định giao tiếp an toàn qua internet.
Một số trang web, đặc biệt là các trang web mà bạn được yêu cầu cung cấp thông tin nhạy cảm hoặc thông tin nhận dạng cá nhân, có thể hiển thị httpsbằng màu xanh lục hoặc màu đỏ với một dòng thông qua đó. HTTPS có nghĩa là Giao thức truyền siêu văn bản Bảo mật và màu xanh lục có nghĩa là trang web có chứng chỉ bảo mật có thể xác minh được. Màu đỏ với một dòng xuyên qua có nghĩa là trang web không có chứng chỉ bảo mật hoặc chứng chỉ không chính xác hoặc đã hết hạn.
Đây là nơi mọi thứ trở nên khó hiểu một chút. HTTP không có nghĩa là dữ liệu được truyền giữa máy tính và trang web được mã hóa. Nó chỉ có nghĩa là trang web đang giao tiếp với trình duyệt có chứng chỉ bảo mật đang hoạt động. Chỉ khi bao gồm S(như trong S) thì dữ liệu được truyền mới được bảo mật và có một công nghệ khác đang được sử dụng tạo ra chỉ định an toàn đó có thể.
SSL so với TLS
- Ban đầu được phát triển vào năm 1995.
- Mức độ mã hóa web sớm hơn.
- Bị tụt hậu so với Internet đang phát triển nhanh chóng.
- Bắt đầu là phiên bản thứ ba của SSL.
- Bảo mật Tầng Giao thông.
- Tiếp tục cải tiến mã hóa được sử dụng trong SSL.
- Đã thêm các bản sửa lỗi bảo mật cho các kiểu tấn công và lỗ hổng bảo mật mới.
SSL là giao thức bảo mật ban đầu để đảm bảo rằng các trang web và dữ liệu được truyền giữa các trang web được bảo mật. Theo GlobalSign, SSL được giới thiệu vào năm 1995 dưới dạng phiên bản 2.0. Phiên bản đầu tiên (1.0) chưa bao giờ được đưa vào miền công cộng. Phiên bản 2.0 đã được thay thế bằng phiên bản 3.0 trong vòng một năm để giải quyết các lỗ hổng trong giao thức.
Năm 1999, một phiên bản SSL khác, được gọi là Bảo mật tầng truyền tải (TLS), đã được giới thiệu để cải thiện tốc độ hội thoại và bảo mật của quá trình bắt tay. TLS là phiên bản hiện đang được sử dụng, mặc dù nó thường được gọi là SSL để đơn giản hóa.
Hiểu Giao thức SSL
- Ẩn thông tin được đặt giữa máy tính và trang web.
- Bảo vệ thông tin đăng nhập.
- Bảo mật khi mua hàng trực tuyến.
- Không bảo vệ khỏi tất cả các mối đe dọa.
- Không thể bảo mật bạn trên các trang web không sử dụng SSL.
- Không thể ẩn những trang web bạn truy cập.
Khi bạn cân nhắc chia sẻ một cái bắt tay với ai đó, điều đó có nghĩa là có một bên thứ hai tham gia. Bảo mật trực tuyến cũng giống như vậy. Để bắt tay đảm bảo an ninh trực tuyến diễn ra, cần phải có bên thứ hai tham gia. Nếu HTTPS là giao thức mà trình duyệt web sử dụng để đảm bảo tính bảo mật, thì nửa sau của quá trình bắt tay đó là giao thức đảm bảo mã hóa.
Mã hóa là công nghệ được sử dụng để ngụy trang dữ liệu được truyền giữa hai thiết bị trên mạng. Nó được thực hiện bằng cách biến các ký tự có thể nhận dạng thành chữ vô nghĩa không thể nhận dạng có thể được trả lại trạng thái ban đầu bằng cách sử dụng khóa mã hóa. Điều này ban đầu được thực hiện thông qua công nghệ được gọi là bảo mật Lớp cổng bảo mật (SSL).
SSL là công nghệ biến bất kỳ dữ liệu nào di chuyển giữa trang web và trình duyệt thành vô nghĩa và sau đó trở lại thành dữ liệu. Đây là cách nó hoạt động:
- Bạn mở trình duyệt và nhập địa chỉ ngân hàng của mình.
- Trình duyệt web gõ cửa ngân hàng và giới thiệu bạn.
- Người gác cửa xác minh rằng bạn là con người như bạn nói và đồng ý cho bạn vào theo một số điều kiện.
- Trình duyệt web đồng ý với các điều kiện đó và sau đó bạn được phép truy cập vào trang web của ngân hàng.
Quá trình lặp lại khi bạn nhập tên người dùng và mật khẩu, với một số bước bổ sung.
- Bạn nhập tên người dùng và mật khẩu để có quyền truy cập vào tài khoản của mình.
- Trình duyệt web của bạn cho người quản lý tài khoản của ngân hàng biết rằng bạn muốn truy cập vào tài khoản của mình.
- Họ trò chuyện và đồng ý rằng nếu bạn có thể cung cấp thông tin đăng nhập chính xác, thì bạn sẽ được cấp quyền truy cập. Tuy nhiên, những thông tin đăng nhập đó cần được xuất trình bằng ngôn ngữ đặc biệt.
- Trình duyệt web và người quản lý tài khoản của ngân hàng đồng ý với ngôn ngữ sẽ được sử dụng.
- Trình duyệt web chuyển đổi tên người dùng và mật khẩu của bạn sang ngôn ngữ đặc biệt đó và chuyển nó cho người quản lý tài khoản của ngân hàng.
- Người quản lý tài khoản nhận dữ liệu, giải mã và so sánh với hồ sơ của họ.
- Nếu thông tin đăng nhập của bạn khớp, bạn được cấp quyền truy cập vào tài khoản của mình.
Quá trình này diễn ra trong nano giây, vì vậy bạn không nhận thấy thời gian diễn ra cuộc trò chuyện và bắt tay giữa trình duyệt web và trang web.
Mã hóa TLS
- Mã hóa an toàn hơn.
- Ẩn dữ liệu giữa máy tính và các trang web.
- Quy trình bắt tay tốt hơn khi đàm phán giao tiếp được mã hóa.
- Không có mã hóa nào là hoàn hảo.
- Không tự động bảo mật DNS.
- Không hoàn toàn tương thích với các phiên bản cũ hơn.
Mã hóaTLS đã được giới thiệu để cải thiện bảo mật dữ liệu. Mặc dù SSL là một công nghệ tốt, bảo mật thay đổi với tốc độ nhanh chóng và điều đó dẫn đến nhu cầu bảo mật tốt hơn, cập nhật hơn. TLS được xây dựng trên khuôn khổ của SSL với những cải tiến đối với các thuật toán chi phối quá trình giao tiếp và bắt tay.
Phiên bản TLS nào mới nhất?
Cũng như SSL, mã hóa TLS tiếp tục được cải thiện. Phiên bản TLS hiện tại là 1.2, nhưng TLSv1.3 đã được soạn thảo và một số công ty và trình duyệt đã sử dụng bảo mật trong một thời gian ngắn. Trong hầu hết các trường hợp, chúng hoàn nguyên về TLSv1.2 vì phiên bản 1.3 vẫn đang được hoàn thiện.
Khi được hoàn thiện, TLSv1.3 sẽ mang lại nhiều cải tiến bảo mật, bao gồm hỗ trợ được cải thiện cho nhiều loại mã hóa hiện tại hơn. Tuy nhiên, TLSv1.3 cũng sẽ ngừng hỗ trợ cho các phiên bản cũ hơn của giao thức SSL và các công nghệ bảo mật khác không còn đủ mạnh để đảm bảo tính bảo mật và mã hóa thích hợp của dữ liệu cá nhân.