Bài tập lớn môn An toàn mạng truyền thông | Học viện Công nghệ Bưu chính Viễn thông
Bài tập lớn môn An toàn mạng truyền thông của Học viện Công nghệ Bưu chính Viễn thông với những kiến thức và thông tin bổ ích giúp sinh viên tham khảo, ôn luyện và phục vụ nhu cầu học tập của mình cụ thể là có định hướng ôn tập, nắm vững kiến thức môn học và làm bài tốt trong những bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, từ đó học tập tốt và có kết quả cao cũng như có thể vận dụng tốt những kiến thức mình đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!
Môn: An toàn mạng (AT19)
Trường: Học viện Công Nghệ Bưu Chính Viễn Thông
Thông tin:
Tác giả:
Preview text:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I
BỘ MÔN MẠNG VIỄN THÔNG ĐỀ CƯƠNG SƠ BỘ
MÔN HỌC: AN NINH MẠNG TRUYỀN THÔNG
Chuyên đề: Giao Thức HTTPS : : : : - : - : - : - Nhóm 5 lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông 1 Tìm Hiều Về HTTPS
1.1 Giới thiệu về giao thức HTTPS
1.1.1 Định nghĩa cơ bản về HTTPS.
1.1.2 Mục đích và lý do cần sử dụng HTTPS.
1.1.3 Sự phổ biến và tầm quan trọng của https trên internet.
1.2 Mã hóa dữ liệu trong HTTPS
1.2.1 SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? Các kiểu tấn công tích cực.
1.2.2 Quy trình mã hóa và giải mã dữ liệu trong HTTPS.Tấn công phát lại.
1.2.3 Tính bảo mật của dữ liệu trên đường truyền. Tấn công từ chối dịch vụ.
1.3 Chứng thực máy chủ và chứng chỉ SSL/TSL
1.3.1 Mục đích của chứng thực máy chủ. Điều khiển truy cập.
1.3.2 Chứng chỉ SSL/TLS là gì ?
1.3.3 Cơ cấu của chứng chỉ SSL/TLS và cách chúng hoạt động. Các dịch vụ khả dụng.
1.3.4 Hậu quả của không chứng thực được máy chủ.
1.4 Biểu tượng khóa an toàn và đánh dấu trang web bảo mật
1.4.1 Biểu tượng khóa an toàn trong trình duyệt.
1.4.2 Thanh địa chỉ và thông điệp bảo mật.
1.4.3 Ý nghĩa của các biểu tượng và thông điệp này đối với người dùng.
1.5 Cổng mặc định và hiệu suất của HTTPS
1.5.1 Cổng mặc định của HTTPS.
1.5.2 Ảnh hưởng của mã hóa dữ liệu đến hiệu suất.
1.5.3 Các biện pháp tối ưu hóa để giảm thiểu ảnh hưởng đến hiệu suất.
1.6 Tầm quan trọng của HTTPS trong SEO
1.6.1 Liên kết giữa HTTPS và xếp hạng trang web trên các thanh công cụ tìm kiếm.
1.6.2 Ưu điểm của triển trai HTTPS đối với tối ưu hóa tìm kiếm và tương tác trang web. 1.7 Kết Luận
1.7.1 Tóm tắt lại ý nghĩa và lợi ích của HTTPS. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
1.1. Giới thiệu về giao thức HTTPS
1.1.1. Định nghĩa cơ bản về HTTPS
HTTPS là viết tắt của chữ (Hypertext Transfer Protocol Secure) có nghĩa là giao thức
truyền tải siêu văn bản an toàn. bạn có thể hiểu nôm na đây là một xác minh độ an toàn
của website đối với người đọc. Thực chất, đây chính là giao thức HTTP nhưng tích hợp
thêm chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảo mật.
Có thể hiểu, HTTPS là phiên bản HTTP an toàn, bảo mật hơn.
Hình 1.1.1. Website sử dụng giao thức https
Một thành phần quan trọng của HTTPS là việc sử dụng chứng chỉ SSL/TLS (Secure
Socket Layer/Transport Layer Security). Các chứng chỉ này được cấp phát bởi các cơ
quan chứng thực đáng tin cậy và đảm bảo tính xác thực của máy chủ web.
Cách thức hoạt động của HTTPS:
- Yêu cầu kết nối bảo mật: Khi người dùng cố gắng truy cập một trang web bằng
HTTPS (bắt đầu bằng “https://” thay vì “http://”), trình duyệt web sẽ yêu cầu máy
chủ web thiết lập kết nối bảo mật.
- Gửi yêu cầu SSL/TLS: Sau khi yêu cầu kết nối bảo mật được gửi, máy chủ web
sẽ phản hồi bằng cách gửi một yêu cầu SSL/TLS (Secure Sockets Layer/Transport
Layer Security) tới trình duyệt web. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
- Chuyển đổi sang chế độ mã hóa: Sau khi trình duyệt nhận yêu cầu SSL/TLS
từ máy chủ web, nó sẽ tiến hành chuyển đổi sang chế độ mã hóa. Điều này có
nghĩa là dữ liệu truyền tải giữa trình duyệt và máy chủ web sẽ được mã hóa, không
thể đọc được trong trạng thái ban đầu.
- Xác thực máy chủ: Trình duyệt web sẽ yêu cầu máy chủ web cung cấp chứng
chỉ SSL/TLS của nó để xác thực danh tính của máy chủ. Chứng chỉ này thường
được cấp phát bởi một tổ chức chứng thực đáng tin cậy và đảm bảo rằng máy chủ
là chính xác và không phải là một máy chủ giả mạo.
- Phản hồi SSL/TLS: Sau khi xác thực máy chủ thành công, máy chủ web sẽ
phản hồi với một yêu cầu SSL/TLS được ký và được mã hóa.
- Bắt đầu truyền tải dữ liệu mã hóa: Khi đã thiết lập kết nối bảo mật và xác
thực máy chủ thành công, trình duyệt và máy chủ web sẽ bắt đầu truyền tải dữ liệu
giữa hai bên. Dữ liệu này sẽ được mã hóa trong quá trình truyền tải và chỉ có thể
được giải mã bởi máy chủ web.
- Truyền tải dữ liệu và kết thúc kết nối: Trình duyệt và máy chủ web tiếp tục
truyền tải dữ liệu cho đến khi kết thúc truy vấn hoặc tải xong trang web. Sau đó, kết nối sẽ bị đóng.
1.1.2. Mục đích và lý do cần sử dụng HTTPS
Mục đích chính của việc sử dụng HTTPS (Hypertext Transfer Protocol Secure) là bảo
vệ thông tin truyền tải giữa trình duyệt web của người dùng và máy chủ web. Thông
thường trước đây HTTPS chỉ được sử dụng cho nhiều trang web của ngân hàng, thương
mại điện tử, tài chính để có thể bảo mật toàn bộ thông tin trong quá trình thanh toán
online. Tuy nhiên hiện nay thì HTTPS đã trở thành một trong những tiêu chuẩn bảo mật
cần thiết của đa dạng các website mà doanh nghiệp, công ty cần phải đáp ứng. Điều này
được hình thành bởi HTTPS đem đến nhiều lợi ích cho người sử dụng.
HTTPS Bảo Mật Cực Tốt
Giao thức HTTPS đã đảm bảo toàn bộ thông tin trao đổi giữa máy khách cùng với
máy chủ. Chính vì vậy nó sẽ không bị bên thứ ba đọc được nhờ những phương thức mã
hóa. Nếu như bạn đã tiến hành truy cập một trang web được cài đặt HTTPS thì lúc này
người dùng sẽ có thể bị tấn công sniffing. Ngoài ra, người đánh cắp thông tin lúc này có
thể chen ngang vào kết nối giữa máy chủ cùng với máy khách. Mục đích để có thể lấy lại
toàn bộ dữ liệu từ thẻ tín dụng, email, password hoặc các thông tin đã có sẵn trên website.
Bên cạnh đó, những thao tác trên trang web lúc này của người sử dụng cũng có thể bị ghi
lại mà bạn không hay biết. Khi sử dụng giao thức HTTPS thì người dùng hoàn toàn có
thể tin tưởng các thông điệp chuyển tải luôn ở trong trạng thái nguyên vẹn. Đồng thời lúc
này nó sẽ không bị chỉnh sửa, sai lệch thông tin với dữ liệu ban đầu lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Tránh Tình Trạng Lừa Đảo
Trên thực tế thì bất cứ server nào cũng có thể được biết là server của bạn mục đích
để có thể đánh cắp được thông tin cho người dùng. Nếu như sử dụng giao thức HTTPS,
trình duyệt trên máy của khách hàng lúc này sẽ được yêu cầu kiểm tra các chứng chỉ SSL
đến từ máy chủ. Điều này được xảy ra trước khi dữ liệu giữa máy chủ và máy khách lúc
này đã được mã hóa để có thể trao đổi thuận tiện. Đặc biệt, chứng chỉ SSL/TLS lúc này
sẽ giúp website của bạn được xác minh là chính chủ thật sự. Từ đó, có được như vậy bạn
mới có thể tránh được tình trạng lừa đảo không đáng có. Đặc biệt điều này có khả năng
cao trong việc đảm bảo an toàn cho bạn khỏi những kẻ xấu. Tăng Độ Uy Tín
Tiếp theo, HTTPS giúp tăng độ uy tín của trang web đối với người dùng. Những
trình duyệt trang web phổ biến hiện nay chắc chắn sẽ xuất hiện những cảnh bảo đến
người sử dụng về đa dạng các trang web không được bảo mật. Việc này sẽ giúp thông tin
của người sử dụng được bảo mật an toàn tuyệt đối khi lướt web. Trong đó bảo gồm đa
dạng các thông tin từ thẻ ngân hàng, thông tin cá nhân hoặc đa dạng những dữ liệu quan trọng khác.
Một trang web sẽ không thể hoạt động thường xuyên và phát triển nếu như thiếu
người dùng. Chính vì vậy, việc bảo vệ người dùng cũng chính là bảo vệ an toàn trang
web của bạn. Nếu như người dùng cảm thấy thiếu an toàn khi sử dụng website này thì
chắc chắn bạn sẽ bị mất một lượng lớn user sẵn có của mình. Chính vì vậy, chúng ta cần
có HTTPS để có thể tăng độ uy tín cho khách hàng, đây cũng là cách để giữ chân khách
hàng cũng như thu hút khách hàng đến với doanh nghiệp của mình.
Mang Hiệu Quả Tuyệt Vời Với SEO
Thực tế thì Google đã thông báo sẽ đẩy nhanh chóng các quá trình xếp hạng tìm
kiếm với đa dạng các website sử dụng giao thức HTTPS. Điều này cũng đồng nghĩa với
việc cá trang web chưa chuyển đổi lúc này sẽ bị hạn chế lợi thế cạnh tranh so với những
website HTTPS khác. Chính vì vậy, nếu như doanh nghiệp hoặc tổ chức của bạn đang
tiến hành SEO thông qua Google thì bạn đừng quên chuyển đổi sang HTTPS ngay từ bây giờ nhé!
1.1.3. Sự phổ biến và tầm quan trọng của HTTPS trên Internet
Sự phổ biến và tầm quan trọng của HTTPS trên Internet ngày nay là không thể bàn
cãi. Từ lâu việc sử dụng HTTPS trên Internet đã trở thành tiêu chuẩn và rất phổ biến bởi
những lợi ích to lớn mà nó mang lại. HTTPS đang ngày càng chứng tỏ được vai trò to lớn
của mình trong lĩnh vực Internet nói chung và công nghệ Web nói riêng:
• Tỉ lệ sử dụng tăng cao: Hầu hết các trang web lớn và dịch vụ trực tuyến lớn
đều sử dụng HTTPS. Điều này bao gồm các dịch vụ như Google, Facebook,
YouTube, Amazon và nhiều trang web khác. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
• Yêu cầu của các công ty công nghệ lớn: Công ty công nghệ hàng đầu như
Google và Mozilla đã khuyến khích và thậm chí ép buộc việc sử dụng HTTPS
bằng cách cảnh báo hoặc hiển thị thông báo không an toàn trên trình duyệt.
• Ưu tiên trong các chuẩn mực và quy định: Các chuẩn mực và quy định như
GDPR (Nghị định về bảo vệ dữ liệu chung châu Âu) yêu cầu sử dụng HTTPS
để đảm bảo tính bảo mật và bảo vệ thông tin cá nhân của người dùng.
• Thúc đẩy bởi các sự kiện bảo mật lớn: Các cuộc tấn công mạng lớn và việc
tiết lộ thông tin cá nhân đã thúc đẩy việc triển khai HTTPS rộng rãi hơn, do đó
người dùng trở nên nhạy cảm hơn về việc bảo vệ thông tin của mình.
• Công cụ tìm kiếm ưa thích trang web HTTPS: Các công cụ tìm kiếm như
Google có xu hướng ưu tiên các trang web sử dụng HTTPS trong kết quả tìm
kiếm. Điều này thúc đẩy việc sử dụng HTTPS bởi các chủ sở hữu trang web để cải thiện SEO của họ.
Tóm lại, HTTPS không chỉ cung cấp tính bảo mật tăng cao mà còn đã trở thành một
tiêu chuẩn cần thiết trên Internet ngày nay. Việc sử dụng HTTPS đảm bảo rằng thông tin
cá nhân của người dùng được bảo vệ và giúp xây dựng niềm tin với người dùng.
1.2. Mã hóa dữ liệu trong HTTPS
1.2.1. SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? Các
kiểu tấn công tích cực
a, SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? SSL
(Secure Sockets Layers) là giao thức mã hóa được sử dụng để xác thực các kết nối
internet và cho phép mã hóa và giải mã dữ liệu cho hoạt động liên lạc trên mạng . Được
Netscape phát triển lần đầu tiên vào giữa những năm 1990, SSL đã khắc phục các lỗi
bảo mật ban đầu bằng việc phát hành SSL 3.0 vào năm 1996, được coi là tiêu chuẩn
thực tế cho truyền thông internet an toàn trong vài năm. Khi các lỗ hổng bảo mật khác
trở nên rõ ràng, giao thức Lớp cổng bảo mật đã được thay thế bằng TLS (Transport
Layer Security) , giao thức này được xác định lần đầu vào năm 1999 và được cập nhật
lên TLS 1.3 vào tháng 8 năm 2018. Tất cả các bản phát hành SSL đều không còn được
dùng nữa và hầu hết các trình duyệt hiện đại không còn hỗ trợ giao thức này nữa, mặc
dù các chứng chỉ tương tự có thể được sử dụng với cả TLS và SSL. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Mặc dù chúng khác nhau về các chi tiết cụ thể như thuật toán mã hóa mà chúng sử
dụng và các cổng chúng hỗ trợ, nhưng các giao thức Bảo mật Lớp cổng bảo mật và Lớp
vận chuyển hoạt động về cơ bản giống nhau. Giống như TLS, Lớp cổng bảo mật thực
hiện mã hóa SSL và giải mã SSL bằng cách sử dụng một bộ gồm hai khóa , một khóa
công khai và khóa còn lại chỉ người nhận mới biết. Khi trình duyệt cố gắng kết nối với
một trang web được bảo mật bằng SSL (hoặc TLS), được biểu thị bằng HTTPS trong
URL của nó, máy chủ web sẽ phản hồi yêu cầu nhận dạng của nó bằng một bản sao
chứng chỉ khóa công khai. Nếu chứng chỉ được tin cậy—hoặc được xác nhận bởi cơ quan
cấp chứng chỉ - trình duyệt và máy chủ sẽ bắt đầu một phiên được mã hóa. Tất cả dữ liệu
truyền giữa chúng sẽ được bảo mật hoàn toàn và riêng tư, khiến các bên bên ngoài không
thể hiểu được và được bảo vệ khỏi bị tấn công.
Cho đến thời điểm ngày nay thì SSL và TLS đã được đánh giá là tiêu chuẩn đạt chất
lượng bảo mật website an toàn hàng đầu trên toàn thế giới. Chúng lúc này đều được ứng
dụng hạ tầng cơ sở khóa công khai không đối xứng với PKI. Bên cạnh đó, đặc điểm nổi
bật của hệ thống này chính là sử dụng 2 khóa mã hóa thông tin liên lạc đó chính là khóa
công khai và khóa bí mật. Đây là hai khóa phổ biến hiện nay .
b, Các kiểu tấn công tích cực
Các kiểu tấn công tích cực (Active Attacks) là các hành động nhằm vào hệ thống,
mạng hoặc dịch vụ để gây hại, thay đổi hoặc ảnh hưởng tiêu cực đến chúng. Mặc dù
HTTPS được thiết kế để bảo vệ thông tin truyền tải trên Internet, nhưng vẫn có một số
kiểu tấn công tích cực có thể ảnh hưởng đến tính bảo mật của kết nối HTTPS. Dưới đây là một số ví dụ: lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
• Tấn công Man-in-the-Middle (MitM): Kẻ tấn công cố gắng đặt mình ở giữa
truyền thông giữa người dùng và máy chủ. Như vậy, họ có thể nghe trộm, thay đổi
hoặc chặn lại dữ liệu đang truyền qua kết nối HTTPS.
• Phân giải DNS giả mạo (DNS Spoofing): Kẻ tấn công có thể thay đổi các bản ghi
DNS để điều hướng người dùng đến các trang web giả mạo. Điều này có thể dẫn
đến việc sử dụng HTTPS trên trang web giả mạo, giả lập một kết nối an toàn
nhưng thực tế lại không phải.
• Tấn công SSL Stripping: Kẻ tấn công có thể cố gắng buộc kết nối về HTTP thay
vì HTTPS, từ đó có thể thu thập thông tin không mã hóa từ truyền thông.
• XSS (Cross-Site Scripting): Kẻ tấn công có thể chèn mã JavaScript hoặc mã độc
vào các trang web đã được truyền tải qua kết nối HTTPS. Điều này có thể dẫn đến
các hành động độc hại.
• Session Hijacking: Kẻ tấn công có thể cố gắng thu thập thông tin phiên đăng nhập
hoặc lấy lại phiên đăng nhập của người dùng đã được mã hóa qua kết nối HTTPS.
• Tấn công phía máy chủ: Nếu máy chủ sử dụng một phiên bản cũ hoặc yếu của
SSL/TLS, nó có thể trở thành điểm yếu mà kẻ tấn công có thể tận dụng.
Các tấn công tích cực đều nguy hiểm và có thể gây hại nghiêm trọng cho hệ thống,
dịch vụ và thông tin người dùng. Việc triển khai biện pháp bảo vệ phù hợp là rất quan
trọng để ngăn ngừa và đối phó với các loại tấn công này bao gồm việc cập nhật phiên bản
của SSL/TLS, sử dụng các giao thức bảo mật mạnh và giám sát hoạt động kết nối HTTPS
để phát hiện các hành vi bất thường.
1.2.2. Quy trình mã hóa và giải mã dữ liệu trong HTTPS. Tấn công phát lại
a, Quy trình mã hóa và giải mã dữ liệu trong HTTPS
HTTPS (Hypertext Transfer Protocol Secure) sử dụng giao thức SSL/TLS (Secure
Sockets Layer/Transport Layer Security) để bảo vệ dữ liệu truyền tải giữa máy khách
(client) và máy chủ (server). Dữ liệu truyền đi phải trải qua 4 giai đoạn như sau: • Mã hóa (Encryption): 1. Client Hello:
+) Máy khách (trình duyệt web) bắt đầu kết nối bằng cách gửi một tin nhắn ‘
Client Hello ’ tới máy chủ.
+) Tin nhắn này chứa các thông tin như phiên bản SSL/TLS mà máy khách
hỗ trợ và các thông số mã hóa mà nó ưa thích. 2. Sever Hello:
+) Máy chủ nhận tin nhắn ‘ Client Hello ‘ và phản hồi với một tin nhắn ‘ Server Hello ‘.
+) Server Hello chứa phiên bản SSL/TLS được chọn và thông tin về chứng chỉ SSL (nếu cần). lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
3. Chứng chỉ (Certificate): Máy chủ gửi các chứng chỉ SSL của mình cho máy
khách. Chứng chỉ này chứa thông tin về máy chủ và công khai của khóa
công cộng của máy chủ.
4. Key Exchange (Diffie-Hellman hoặc Elliptic Curve Diffie-Hellman):
+) Nếu máy chủ sử dụng các thuật toán trao đổi khóa đối xứng, quá trình này xảy ra ở đây.
+) Mục tiêu là để thỏa thuận về một khóa chung mà cả hai máy khách và
máy chủ biết, mà không cần phải chia sẻ khóa mật.
5. Session Key Generation: Sử dụng thông tin từ bước trên, cả hai máy khách
và máy chủ tạo ra một "session key" sử dụng để mã hóa và giải mã dữ liệu.
6. Finished Messages: Cả hai máy khách và máy chủ gửi thông điệp ’ Finished
‘ để xác nhận rằng việc thiết lập kết nối đã hoàn tất. •
Truyền tải dữ liệu an toàn:
1. Mã hóa dữ liệu: Dữ liệu được chia thành các gói nhỏ và sau đó được mã hóa
sử dụng session key đã tạo ra.
2. Gửi đi dữ liệu mã hóa: Gói dữ liệu đã được mã hóa được gửi từ máy khách
tới máy chủ thông qua giao thức HTTPS. •
Giải mã (Decryption):
1. Nhận và Giải mã Dữ liệu: Máy chủ nhận các gói dữ liệu đã mã hóa. Sau đó
Nó sử dụng session key để giải mã dữ liệu.
2. Xử lý dữ liệu: Máy chủ xử lý dữ liệu, thực hiện các yêu cầu của máy khách
(ví dụ: gửi trang web, truy vấn cơ sở dữ liệu,…). •
Kết thúc kết nối: Khi kết thúc phiên truyền thông, cả hai máy khách
và máy chủ có thể chọn ngừng sử dụng session key hoặc tạo một key mới cho phiên
tiếp theo. Điều này đảm bảo rằng dữ liệu truyền tải giữa máy khách và máy chủ
được mã hóa và chỉ có thể được giải mã bởi các bên cung cấp key tương ứng.
b, Tấn công phát lại
Cùng với sự phát triển của khoa học công nghệ và xu hướng bùng nổ mạnh mẽ của
không gian crypto, số lượng các vụ hack cũng tăng lên chóng mặt dưới những hình thức
tinh vi hơn. Một trong các loại hình tấn công phổ biến có thể kể đến là replay attack (tấn công phát lại). lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Hình 1.2.2. Bitcoin Cash
Replay attack (tấn công phát lại) là loại hình tấn công nhắm vào một mạng lưới nhất
định, trong đó các dữ liệu sẽ bị chặn lại hoặc truyền tải chậm do tác động từ các ứng dụng
độc hại. Điều này dẫn đến việc lặp lại liên tục các thông tin nhiều lần trên toàn hệ thống.
Trong replay attack, hacker có thể chiếm lấy quyền truy cập thông tin lưu trữ trên mạng
lưới thông qua việc chuyển tiếp dữ liệu với hình thức hợp lệ. Bên cạnh đó, những kẻ tấn
công cũng dùng loại hình hack này để đánh lừa các tổ chức tài chính nhằm sao chép
nhiều giao dịch khác nhau, từ đó tạo ra lỗ hổng để dễ dàng chiếm đoạt tài sản của nạn nhân.
Hơn nữa, trong một số trường hợp, chúng còn có thể cài đặt nhiều thông tin có chứa
mã độc vào quá trình truyền tải trên toàn bộ mạng lưới, khiến hệ thống sẽ bị nhiễm độc.
Mặc dù sự cố này không gây ra thiệt hại nghiêm trọng ngay lập tức, nhưng về lâu dài hacker
có thể thường xuyên tấn công mạng lưới bởi các lỗ hổng đã được phát hiện trước đó.
Ví dụ điển hình nhất phải kể đến đó là Bitcoin Cash khi được tạo ra từ blockchain
của Bitcoin vào ngày 1 tháng 8 năm 2017. Chẳng hạn nếu tấn công phát lại xuất hiện
trong quá trình hard fork diễn ra trên mạng lưới này thì replay attack sẽ hoạt động theo cả
hai chiều, tức là có thể xảy ra khi nạn nhân chi tiêu BCH trong ví của họ. Đồng thời nếu
một node BTC nhận giao dịch BTC thì số lượng BCH có thể cũng sẽ biến mất vì bị
hacker đánh cắp thông qua việc xâm nhập dữ liệu về giao dịch của các block và lặp lại chúng.
Trong HTTPS, có một số biện pháp để ngăn chặn tấn công phát lại:
• Sử dụng Nonce (Number Used Once): Nonce là một giá trị số ngẫu nhiên được
tạo ra và sử dụng chỉ một lần. Nó được bao gồm trong các thông điệp và đảm
bảo rằng mỗi thông điệp là duy nhất. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
• Sử dụng Time Stamp: Sử dụng thời gian thực (time stamp) để đảm bảo rằng
thông điệp không bị sử dụng lại trong một khoảng thời gian cụ thể.
• Sử dụng Sequence Numbers: Mỗi thông điệp được gán một số thứ tự duy nhất.
Khi thông điệp đến, máy chủ kiểm tra xem số thứ tự có tăng dần không. Nếu
không, thông điệp bị từ chối.
• Sử dụng Các Token One-Time (OTP): Các mã thông báo một lần được sử
dụng duy nhất trong mỗi phiên truy cập. Mỗi lần gửi yêu cầu mới, mã thông báo
cũng phải được cung cấp.
• Kiểm tra Time-to-Live (TTL): Đối với một số ứng dụng, kiểm tra thời gian
sống (TTL) của thông điệp cũng có thể hữu ích để ngăn chặn tấn công phát lại.
• Logging và Monitoring: Theo dõi lưu lượng truy cập và kiểm tra các yêu cầu
trùng lặp có thể cung cấp chỉ báo về các tấn công phát lại.
Tuy nhiên, không có giải pháp duy nhất nào có thể ngăn chặn mọi loại tấn công. Thay
vào đó, việc kết hợp nhiều biện pháp bảo mật khác nhau sẽ tăng cường tính bảo mật và
khó khăn hơn đối với các tấn công phát lại.
1.2.3. Tính bảo mật của dữ liệu trên đường truyền. Tấn công từ chối dịch vụ
a, Tính bảo mật của dữ liệu trên đường truyền
Sự tăng trưởng nhanh chóng về quy mô và độ phức tạp của mạng và các thiết bị
Internet vạn vật (IoT) mang đến những cơ hội mới – cụ thể là sự tương tác giữa con
người và thiết bị trên phạm vi toàn cầu. Nhưng đồng thời, nó cũng gia tăng các rủi ro vi
phạm an ninh và các cuộc tấn công độc hại khác, đặc biệt là trong quá trình truyền dữ liệu.
Hiện nay HTTPS đã trở thành một trong những giao thức được sử dụng rộng rãi phổ
biến. Nó thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao. Chính vì
vậy vấn đề bảo mật dữ liệu trong HTTPS đang được quan tâm hơn bao giờ hết. Giao thức
HTTPS sử dụng port 443, giúp đảm bảo các tính chất sau của thông tin:
- Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo rằng các
thông điệp được trao đổi giữa client và server không bị kẻ thứ ba đọc được.
- Integrity: sử dụng phương thức hashing để cả người dùng (client) và máy chủ
(server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị mất mát hay chỉnh sửa.
- Authenticity: sử dụng chứng chỉ số (digital certificate) để giúp client có thể tin
tưởng rằng server/website mà họ đang truy cập thực sự là server/website mà họ
mong muốn vào, chứ không phải bị giả mạo.
Nói một cách đơn giản, HTTPS bảo vệ tất cả thông tin (thậm chí là một phần của
URL) bạn gửi và nhận từ trang web, bắt đầu từ lúc mở trang web đến khi đóng nó.
Các thành phần quan trọng của việc bảo mật dữ liệu trên đường truyền trong HTTPS có
thể được kể đến như sau: Mã hóa Dữ liệu: lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
- HTTPS sử dụng SSL/TLS (Secure Sockets Layer/Transport Layer Security) để mã
hóa dữ liệu trên đường truyền giữa máy khách (client) và máy chủ (server).
- Quá trình mã hóa đảm bảo rằng người ngoài không thể đọc được thông tin gửi đi.
• Chứng chỉ SSL/TLS (SSL/TLS Certificates):
- Chứng chỉ SSL/TLS xác nhận danh tính của máy chủ. Nó được cấp bởi
một cơ quan chứng thực đáng tin cậy.
- Khi máy khách kết nối đến một trang web sử dụng HTTPS, máy chủ sẽ
gửi chứng chỉ SSL/TLS để xác thực.
• Kiểm chứng Độ tin cậy (Certificate Authority Verification):
- Máy khách kiểm tra xem chứng chỉ SSL/TLS có được ký bởi một cơ
quan chứng thực đáng tin cậy hay không.
- Nếu chứng chỉ không hợp lệ hoặc không tin cậy, trình duyệt sẽ cảnh báo người dùng.
• Máy Chủ và Máy Khách Xác Thực (Server and Client Authentication):
SSL/TLS cung cấp cơ chế cho cả máy khách và máy chủ xác thực lẫn nhau.
Điều này đảm bảo rằng cả hai bên đang nói chuyện với đúng đối tác mà họ mong đợi.
• Tính Bí Mật Của Dữ Liệu: Dữ liệu trên đường truyền trong HTTPS không chỉ
được mã hóa, mà còn được giữ bí mật giữa máy khách và máy chủ. Nó bảo vệ
khỏi các tấn công như theo dõi mạng (network sniffing).
• Chống Man-in-the-Middle Attacks: HTTPS ngăn chặn tấn công người đứng
giữa (man-in-the-middle) bằng cách sử dụng mã hóa để bảo vệ dữ liệu trên đường truyền.
• Cập Nhật Chứng Chỉ SSL/TLS: Các chứng chỉ SSL/TLS cần phải được cập
nhật định kỳ để đảm bảo tính bảo mật.
Tóm lại, HTTPS cung cấp một môi trường truyền tải dữ liệu an toàn và đáng tin
cậy trên Internet. Tuy nhiên, việc triển khai và cấu hình chính xác của HTTPS là
quan trọng để đảm bảo tính bảo mật tối đa.
b, Tấn công từ chối dịch vụ
DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch
vụ. Tấn công từ chối dịch vụ DoS là hình thức tấn công với mục đích làm gián đoạn
dịch vụ của một trang web hoặc một hệ thống bằng nhiều phương thức khác nhau. Kẻ
tấn công bằng một cách nào đó sẽ cố gắng ngăn cản không cho người dùng truy xuất
thông tin, tài nguyên từ một dịch vụ hay một trang web nào bằng cách làm cho hệ thống
gián đoạn, quá tải hoặc chậm đi.
Một trong những cách tấn công DOS thường gặp nhất là một kẻ tấn công sẽ tìm
cách làm quá tải hệ thống bằng cách đưa một số lượng lớn client ảo truy cập cùng lúc.
Khi đó, bạn truy cập vào dịch vụ sẽ bị gián đoạn do máy chủ không thể xử lý được yêu
cầu (request) của bạn. Tương tự với cơ chế này, kẻ tấn công có thể gửi hàng loạt email lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
rác đến email của bạn cho đến khi đạt giới hạn của mỗi dịch vụ mail, email của bạn có
khả năng sẽ bị “lụt” và không thể tiếp nhận những email khác.
DDOS (Distributed Denial of Service) - Tấn công từ chối dịch vụ phân tán - là
một hình thức tấn công DOS phổ biến do mức độ và phạm vi ảnh hưởng rộng. Bằng một
cách nào đó, hacker sẽ chiếm được quyền điều khiển toàn bộ hệ thống của bạn để trở
thành 1 phần trong hệ thống công cụ tấn công. Máy tính của bạn sẽ trở thành 1 phần của
BOTNET (mạng máy tính ma) để thực hiện tấn công vào các dịch vụ như dịch vụ ngân
hàng, gửi email rác, tấn công làm tràn bộ nhớ máy chủ… Do sử dụng nhiều máy tính
cùng lúc, vì vậy đây được gọi là hình thức tấn công từ chối dịch vụ phân tán.
Vậy câu hỏi đặt ra là làm cách nào có thẻ ngăn chặn và phòng chống các cuộc tấn
công từ chối dịch vụ trên không gian mạng nói chung và trong môi trường HTTPS nói
riêng. Ngày nay, các chuyên gia an ninh mạng đã thực hiện rất nhiều nghiên cứu và đã
tìm ra khá nhiều phương pháp để ngăn chặn các cuộc tấn công dịch vụ. Nổi bật trong số
đó có thể kể đến một số phương pháp sau:
• Sử dụng Dịch vụ Bảo vệ DDoS (DDoS Protection Service): Cung cấp bởi
nhiều nhà cung cấp dịch vụ và nhà cung cấp hệ thống quản lý nội dung, các
dịch vụ này giúp bảo vệ trang web khỏi tấn công DDoS bằng cách chuyển
hướng lưu lượng truy cập qua các hệ thống bộ lọc.
• Sử dụng CDN (Content Delivery Network): CDN giúp phân tán nội dung
trên nhiều máy chủ ở nhiều vị trí địa lý khác nhau. Điều này giúp giảm áp
lực lên máy chủ gốc và cung cấp bảo vệ tự nhiên chống lại một số loại tấn công DDoS.
• Cân bằng tải (Load Balancing): Sử dụng cân bằng tải để phân phối công
việc giữa nhiều máy chủ. Nếu một máy chủ bị quá tải do tấn công DDoS,
các yêu cầu có thể được chuyển hướng đến các máy chủ khác vẫn hoạt động bình thường.
• TLS Termination: Sử dụng các thiết bị hoặc dịch vụ cung cấp giải mã
SSL/TLS (TLS termination) để giảm tải cho máy chủ web chính.
• Firewall và Bộ Lọc IP: Sử dụng bộ tường lửa mạng và các bộ lọc IP để
ngăn chặn lưu lượng không mong muốn hoặc lưu lượng từ các nguồn không đáng tin cậy.
• Đối phó với Tấn Công Một Cách Kịp Thời: Đáp ứng nhanh chóng với tấn
công DDoS bằng cách cô lập và chặn lưu lượng đến từ nguồn tấn công.
Trên đây là một số phương pháp có thể giúp bạn ngăn chặn và phòng chống tấn
công dịch vụ một cách khá hiệu quả. Nhớ rằng không có biện pháp nào là hoàn hảo hoàn
toàn, nhưng kết hợp nhiều biện pháp này có thể tạo ra một môi trường an toàn hơn để
phòng chống tấn công DDoS trong môi trường HTTPS.
1.3 Chứng thực máy chủ và chứng chỉ SSL/TLS
1.3.1 Mục đích của chứng thực máy chủ và Điều khiển truy cập: lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Chứng thực (Authentication)
• Là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một
người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do người đó
đưa ra hoặc về vật đó là sự thật.
• Một quy trình dùng để xác minh sự nhận dạng của một người dùng, hoặc thông điệp/dữ liệu
• Phải cung cấp một nhân tố nào đó để chứng thực
Ví dụ: Web Application Authentication - Nhận dạng bạn là ai
- Bạn được quyền sử dụng/ truy xuất thông tin dữ liệu nào Mobile Connect Authentication lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Mục đích của chứng thực máy chủ là xác minh danh tính của máy chủ trước khi
cho phép truy cập từ các thiết bị hoặc ứng dụng khác. Điều này đảm bảo rằng
người dùng kết nối đến máy chủ thực sự là máy chủ mà họ mong đợi, không phải
là máy chủ giả mạo hoặc độc hại.
Chứng thực máy chủ cũng giúp kiểm soát truy cập bằng cách quyết định liệu một
máy chủ cụ thể có quyền truy cập tài liệu, dịch vụ hoặc thông tin cụ thể hay không.
1.3.2 Chứng chỉ SSL/TLS là gì?
• Chứng chỉ SSL/TLS (Secure Sockets Layer/Transport Layer Security) là một loại
tài liệu điện tử chứng nhận rằng một máy chủ hoặc một trang web cụ thể đã được
kiểm tra và xác minh về danh tính và khả năng bảo mật của nó. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
• Chứng chỉ này được sử dụng để thiết lập kết nối an toàn và bảo vệ thông tin truyền
qua mạng giữa máy chủ và máy khách.
Tại sao chứng chỉ SSL/TLS lại quan trọng?
Chứng chỉ SSL/TLS tạo nên sự tin tưởng giữa người dùng trang web. Các doanh nghiệp
cài đặt chứng chỉ SSL/TLS trên các máy chủ web để tạo ra các trang web bảo mật
SSL/TLS. Một trang web bảo mật SSL/TLS có các đặc điểm sau: •
Biểu tượng ổ khóa và thanh địa chỉ màu xanh lá cây trên trình duyệt web •
Tiền tố https ở địa chỉ trang web trên trình duyệt •
Chứng chỉ SSL/TLS hợp lệ. Bạn có thể kiểm tra xem chứng chỉ SSL/TLS có hợp
lệ hay không bằng cách nhấp và mở rộng biểu tượng ổ khóa trên thanh địa chỉ URL •
Một khi kết nối được mã hóa đã được thiết lập thì chỉ có khách hàng và máy chủ
web có thể xem dữ liệu được gửi đi.
Dưới đây là một số lợi ích của chứng chỉ SSL/TLS.
Bảo vệ dữ liệu cá nhân
Trình duyệt xác nhận chứng chỉ SSL/TLS của bất kỳ trang web nào để bắt đầu và duy trì
các kết nối an toàn với máy chủ website. Công nghệ SSL/TLS giúp đảm bảo mã hóa tất
cả các giao tiếp giữa trình duyệt của bạn và trang web. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Tăng cường sự tự tin của khách hàng
Khách hàng hiểu Internet hiểu tầm quan trọng của quyền riêng tư và muốn tin tưởng vào
các trang web mà họ đang truy cập. Một trang web SSL/TLS được bảo vệ có biểu tượng
ổ khóa màu xanh lá cây, mà khách hàng cảm nhận là an toàn. Bảo vệ SSL/TLS giúp
khách hàng biết rằng dữ liệu của họ đang được bảo vệ khi họ chia sẻ dữ liệu với doanh nghiệp của bạn.
Hỗ trợ việc tuân thủ quy định
Một số doanh nghiệp phải tuân thủ các quy định của ngành về tính bảo mật và bảo vệ dữ
liệu. Ví dụ, các doanh nghiệp trong ngành công nghiệp thẻ thanh toán phải tuân thủ PCI
DSS. PCI DSS là một yêu cầu trong ngành để cung cấp các giao dịch trực tuyến an toàn,
bao gồm bảo mật máy chủ web bằng chứng chỉ SSL/TLS. Cải thiện SEO
Các công cụ tìm kiếm lớn đã đưa bảo vệ SSL/TLS trở thành một yếu tố xếp hạng để tối
ưu hóa công cụ tìm kiếm. Một trang web được bảo đảm SSL/TLS có khả năng sẽ xếp
hạng cao hơn trên công cụ tìm kiếm hơn một trang web tương tự mà không có chứng chỉ
SSL/TLS. Điều này làm tăng khách truy cập từ các công cụ tìm kiếm đến trang web SSL/TLS bảo vệ.
1.3.3 Cơ cấu của chứng chỉ SSL/TLS và cách chúng hoạt động:
Chứng chỉ SSL/TLS bao gồm các thông tin sau:
• Tên máy chủ (Common Name - CN): Xác định tên máy chủ hoặc tên miền của
trang web được chứng thực.
• Khóa công khai của máy chủ: Được sử dụng để mã hóa dữ liệu truyền qua mạng.
• Chữ ký số của tổ chức phát hành chứng chỉ: Xác minh tính hợp pháp của chứng chỉ.
• Thời gian hiệu lực của chứng chỉ: Xác định khoảng thời gian mà chứng chỉ là hợp lệ. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Cách chúng hoạt động: Khi máy khách (người dùng trình duyệt) kết nối đến máy chủ,
máy chủ sẽ gửi chứng chỉ SSL/TLS của mình kèm theo khóa công khai. Máy khách sẽ sử
dụng khóa công khai này để mã hóa thông tin gửi đến máy chủ. Chỉ máy chủ có khóa
riêng tư tương ứng mới có thể giải mã thông tin này.
1.3.4 Hậu quả của không chứng thực được máy chủ:
Nếu máy chủ không được chứng thực hoặc sử dụng chứng chỉ SSL/TLS không hợp lệ, có
thể xảy ra các hậu quả sau:
• Rủi ro bảo mật: Kẻ tấn công có thể giả mạo máy chủ và đánh cắp thông tin cá
nhân hoặc dữ liệu quan trọng của người dùng.
• Mất uy tín: Sự thiếu tin tưởng trong tính bảo mật của trang web hoặc dịch vụ có
thể dẫn đến mất khách hàng và uy tín của tổ chức.
• Sự cản trở truy cập: Trình duyệt web có thể cảnh báo người dùng về sự không
chắc chắn của trang web và từ chối truy cập đến nó. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
1.4 Biểu tượng khóa an toàn và đánh dấu trang web bảo mật
1.4.1 Biểu tượng khóa an toàn trong trình duyệt:
Biểu tượng khóa an toàn trong trình duyệt là một biểu tượng hoặc biểu đồ thường xuất
hiện bên cạnh địa chỉ URL hoặc trong thanh công cụ của trình duyệt web khi bạn truy cập
một trang web bảo mật Một số thông tin chi tiết hơn về biểu tượng này:
Biểu tượng và hình dạng:
Biểu tượng khóa an toàn thường được hiển thị bên cạnh địa chỉ web (URL) của trang web bạn đang truy cập.
Nó có thể xuất hiện dưới dạng biểu tượng khóa màu xanh hoặc khóa màu xanh đậm. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Trong một số trường hợp, biểu tượng khóa có thể kết hợp với biểu tượng khác như một
biểu tượng mạnh, biểu tượng máy chủ, hoặc biểu tượng khóa màu xanh với một vòng tròn xanh xung quanh.
Dấu hiệu của trang web bảo mật:
Biểu tượng khóa an toàn là một dấu hiệu rõ ràng cho thấy rằng trang web bạn đang truy
cập là một trang web bảo mật và thông tin bạn truyền đi và nhận được trên trang web đó
được mã hóa để bảo vệ khỏi nguy cơ đánh cắp thông tin.
Kết nối bảo mật:
Khi bạn thấy biểu tượng khóa an toàn, nó chỉ ra rằng kết nối giữa trình duyệt của bạn và
máy chủ của trang web đã được thiết lập bằng cách sử dụng giao thức bảo mật SSL/TLS
(Secure Sockets Layer/Transport Layer Security). Điều này đảm bảo rằng thông tin
truyền qua mạng là được mã hóa và bảo mật. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
Xác thực máy chủ:
Ngoài tính bảo mật, biểu tượng khóa an toàn còn liên quan đến việc xác thực danh tính
của máy chủ. Nó cho biết rằng máy chủ đã được chứng thực và được cấp chứng chỉ
SSL/TLS bởi một tổ chức đáng tin cậy. Điều này đảm bảo rằng bạn đang kết nối đến
trang web chính thống và không phải là trang web giả mạo. Điều khiển truy cập:
Biểu tượng khóa an toàn không chỉ cho thấy tính bảo mật mà còn có thể đi kèm với các
chức năng liên quan đến điều khiển truy cập. Ví dụ, bạn có thể nhấp vào biểu tượng này
để xem thông tin chi tiết về chứng chỉ SSL/TLS của trang web hoặc kiểm tra xem trang
web có đúng chứng chỉ hay không.
1.4.2 Thanh địa chỉ và thông điệp bảo mật:
Thanh địa chỉ và thông điệp bảo mật là các yếu tố quan trọng trong trình duyệt web để
người dùng có thể xác định tính bảo mật của trang web mà họ đang truy cập : lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông . Thanh 1
địa chỉ (URL ):
Th anh địa chỉ, thường được gọi là thanh URL hoặc thanh địa chỉ trình duyệt, là phần trên
cù ng của trình duyệt web chứa địa chỉ của trang web bạn đang truy cập. Đây là nơi bạn
nh ập URL hoặc tìm kiếm trang web cụ thể. . Thông 2
điệp bảo mật : ông điệp bả Th
o mật xuất hiện bên cạnh thanh địa chỉ trong trình duyệt và thường có một số biểu tư
ợng và thông báo để người dùng biết về mức độ bảo mật của trang web.
1.4.3 Ý nghĩa của các biểu tượng và thông điệp bảo mậ : t
Mức độ bảo mật của trang web thường được biểu thị bằng một số biểu tượng và thông điệp khác nhau. Ví dụ:
a. "https://" : Khi địa chỉ URL của trang web bắt đầu bằng "https://", nó cho thấy rằng
trang web đang sử dụng giao thức bảo mật SSL/TLS. Thông điệp này cũng thường đi
kèm với một biểu tượng khóa. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
b. Biểu tượng khóa an toàn :Biểu tượng khóa màu xanh hoặc màu xanh đậm bên cạnh
thanh địa chỉ cho thấy rằng kết nối giữa bạn và máy chủ của trang web đã được mã hóa
và bảo mật bằng SSL/TLS.
c. Biểu tượng máy chủ an toàn :Một biểu tư
ợng máy chủ có thể xuất hiện bên cạnh biểu
tượng khóa và cung cấp thông tin về máy chủ của trang web và tổ chức chứng thực.
d. Thông điệp bảo mật cụ thể : Trình duyệt có thể hiển thị thông điệp cụ thể về tính bảo
mật của trang web, chẳng hạn như "An toàn" hoặc "Kết nối bảo mật được thiết lập."
Thông điệp này có thể khác nhau tùy theo trình duyệt và cấp độ bảo mật của trang web.
e. Biểu tượng mạnh : Một số trình duyệt có thể sử dụng biểu tượng mạnh để chỉ ra tính
bảo mật của trang web. Biểu tượng này thường là một biểu tượng khóa màu xanh với một
vòng tròn xanh xung quanh nó.
1.5 Cổng mặc định và hiệu suất của HTTPS: lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
1.5.1 Cổng mặc định của HTTPS:
-Tất cả các truy cập HTTPS (HyperText Transfer Protocol Secure) thông qua giao thức
TLS/SSL (Transport Layer Security/Secure Sockets Layer) sử dụng cổng mặc định là cổng 443.
-Khi bạn truy cập một trang web bằng HTTPS, trình duyệt web của bạn sẽ tự động kết
nối đến máy chủ web của trang đó trên cổng 443. Giao tiếp qua cổng này sử dụng mã hóa
để đảm bảo tính bảo mật của thông tin truyền tải giữa máy tính của bạn và máy chủ web.
-Việc sử dụng cổng 443 làm cổng mặc định cho HTTPS giúp đảm bảo tính tương thích,
dễ dàng cho việc trình bày và truyền tải dữ liệu an toàn qua mạng.
1.5.2 Ảnh hưởng của mã hóa dữ liệu đến hiệu suất: -
Sử dụng CPU và Bộ nhớ tăng lên: Quá trình mã hóa và giải mã dữ liệu đòi hỏi nhiều
tài nguyên CPU và bộ nhớ hơn so với việc truyền tải dữ liệu không mã hóa. Điều này có
thể dẫn đến việc sử dụng tài nguyên hệ thống cao hơn cả ở phía máy chủ và phía máy tính cá nhân. -
Thời gian Phản hồi Tăng lên: Quá trình mã hóa và giải mã dữ liệu mất thời gian, do
đó, thời gian phản hồi từ máy chủ có thể tăng lên một chút so với việc truyền tải dữ liệu
không mã hóa. Tuy nhiên, sự tăng này thường không đáng kể, đặc biệt là trên phần cứng
và thuật toán mã hóa đã được tối ưu hóa. -
Kích thước Dữ liệu Tăng lên: Dữ liệu đã được mã hóa thường có kích thước lớn hơn
so với dữ liệu gốc chưa mã hóa. Tuy nhiên, sự tăng về kích thước này thường không đáng
kể đối với các tệp tin nhỏ hoặc kết nối ngắn. -
Hiệu suất Phụ thuộc vào Cấu hình Máy chủ và Trình duyệt: Tác động đối với hiệu
suất của HTTPS có thể khác nhau tùy thuộc vào cấu hình của máy chủ web và khả năng
của trình duyệt của người dùng. Triển khai mã hóa phần cứng và phần mềm hiệu quả có
thể giúp giảm tác động đối với hiệu suất. -
Tác động không Đáng kể đối với Truyền tải Dữ liệu Lớn: Đối với việc truyền tải
dữ liệu lớn, tác động đối với hiệu suất của mã hóa thường không đáng kể, vì các yếu tố
khác như băng thông mạng thường là yếu tố quyết định chính về tốc độ.
1.5.3 Các biện pháp tối ưu hóa để giảm thiểu ảnh hưởng đến hiệu suất: -
Sử dụng TLS/SSL Thế hệ Mới: Sử dụng các phiên bản mới nhất của giao thức TLS
hoặc SSL để tận dụng cải tiến về hiệu suất và bảo mật. -
Sử dụng Content Delivery Network (CDN): Sử dụng CDN để phân phối tài nguyên
tĩnh từ các máy chủ gần người dùng, giúp giảm độ trễ và tăng tốc độ tải trang. -
Sử dụng HTTP/2 hoặc HTTP/3: Cập nhật giao thức truyền tải dữ liệu lên HTTP/2
hoặc HTTP/3 để tận dụng tối ưu hóa việc truyền tải và quản lý tài nguyên.
-Tối ưu hóa Ảnh và Phương tiện đa phương tiện: Tối ưu hóa hình ảnh và tập tin đa
phương tiện để giảm kích thước dữ liệu trang web và tăng tốc độ tải trang. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
-Sử dụng Caching: Sử dụng caching để lưu trữ tài nguyên đã tải trên máy khách và giảm
việc tải lại chúng từ máy chủ.
-Hạn chế Số yêu cầu: Giảm số lượng yêu cầu HTTP bằng cách sử dụng kỹ thuật kết hợp
tài nguyên (resource bundling) và sprite hình ảnh để kết hợp nhiều yêu cầu thành một. -
Sử dụng HSTS: Sử dụng HTTP Strict Transport Security (HSTS) để đảm bảo rằng trình
duyệt của khách hàng luôn sử dụng HTTPS.
-Tối ưu hóa Mã hóa và Giải mã: Sử dụng thuật toán mã hóa hiệu quả và cài đặt phần
cứng được tối ưu hóa để giảm tác động đối với hiệu suất.
-Chọn Một Chứng chỉ SSL/TLS Tối Thiểu: Chọn một chứng chỉ có kích thước tối
thiểu để giảm kích thước của chứng chỉ và thời gian tải.
1.6 Tầm quan trọng của HTTPS trong SEO:
1.6.1 Liên kết giữa HTTPS và xếp hạng trang web trên các thanh công cụ tìm kiếm:
-Độ tin cậy và bảo mật: HTTPS giúp tăng độ tin cậy của trang web bằng cách bảo vệ
thông tin cá nhân của người dùng và ngăn chặn các cuộc tấn công như đánh cắp dữ liệu.
Các công cụ tìm kiếm như Google, Bing và Yahoo đánh giá tính bảo mật và độ tin cậy của
trang web khi xác định xếp hạng.
-Ưu tiên HTTPS: Các công cụ tìm kiếm, đặc biệt là Google, đã công bố rằng họ ưu tiên
trang web sử dụng HTTPS trong việc xếp hạng. Điều này có nghĩa là nếu bạn có một trang
web sử dụng HTTPS và trang web cùng cấp với bạn sử dụng HTTP, thì trang web của bạn
có thể được xếp hạng cao hơn trong kết quả tìm kiếm.
-Công cụ tìm kiếm cảnh báo về trang web không an toàn: Nếu trang web của bạn không
sử dụng HTTPS, các công cụ tìm kiếm có thể hiển thị cảnh báo cho người dùng khi họ truy
cập trang web của bạn. Điều này có thể ảnh hưởng đến độ tin cậy của trang web và làm giảm lượng truy cập.
-Tốc độ tải trang: HTTPS có thể tạo ra một chút chi phí về hiệu suất do mã hóa và giải
mã dữ liệu, nhưng hiện nay, các ưu điểm về bảo mật và độ tin cậy thường quan trọng hơn.
Nếu bạn tối ưu hóa cấu hình HTTPS của mình đúng cách, bạn vẫn có thể đảm bảo tốc độ tải trang web nhanh chóng.
1.6.2 Ưu điểm của triển khai HTTPS đối với tối ưu hóa tìm kiếm và tương tác trang web:
-Tăng xếp hạng trang web trên công cụ tìm kiếm: Các công cụ tìm kiếm, đặc biệt là
Google, đã thể hiện ưu tiên cho các trang web sử dụng HTTPS trong việc xếp hạng. Điều
này có nghĩa là trang web của bạn có thể đứng cao hơn trong kết quả tìm kiếm so với các
trang web cùng lĩnh vực sử dụng HTTP. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
-Tạo niềm tin và độ tin cậy: Một trang web sử dụng HTTPS truyền tải thông điệp cho
người dùng rằng trang web này quan tâm đến bảo mật và bảo vệ thông tin của họ. Điều này
có thể làm tăng độ tin cậy của trang web và tạo ấn tượng tích cực đối với khách hàng. -Cải
thiện tương tác và giữ chân người dùng: Một trang web an toàn và bảo mật hơn có thể
tạo cơ hội tốt hơn để tương tác với khách hàng và giữ chân họ. Người dùng sẽ có xu hướng
cảm thấy thoải mái hơn khi cung cấp thông tin cá nhân và thực hiện giao dịch trên trang web của bạn.
-Ngăn chặn cảnh báo trình duyệt không an toàn: Nếu trang web của bạn không sử dụng
HTTPS, các trình duyệt hiện đại có thể hiển thị cảnh báo cho người dùng khi họ truy cập
trang web của bạn, đặc biệt là khi họ phải nhập thông tin cá nhân. Điều này có thể gây lo
ngại và làm giảm tương tác trang web.
-Giảm nguy cơ tấn công Man-in-the-Middle (MITM): HTTPS giảm khả năng bị tấn
công MITM bằng cách mã hóa dữ liệu trong quá trình truyền tải, làm cho việc đánh cắp
thông tin trở nên khó khăn đối với kẻ tấn công. Điều này giúp bảo vệ dữ liệu quan trọng
của bạn và đảm bảo rằng người dùng không gặp nguy cơ mất thông tin cá nhân. -Tối ưu
hóa tốc độ tải trang: Mặc dù việc mã hóa dữ liệu trong quá trình truyền tải có thể tạo
ra một chút chi phí về hiệu suất, nhưng nó có thể được tối ưu hóa để đảm bảo tốc độ tải
trang web vẫn nhanh chóng. Sử dụng HTTP/2 và HTTP/3 cũng có thể giúp cải thiện hiệu suất trang web. 1.7 Kết Luận
1.7.1 Tóm tắt lại ý nghĩa và lợi ích của HTTPS. 1.7.1.1 Tóm tắt ý nghĩa.
Nói tóm lại thì HTTPS là Giao thức HTTP nhưng được mà hóa dữ liệu bởi SSL/TLS.
Là 1 giao thức truyền tải siêu văn bản được sử dụng trong www. Nó là nền tảng của
bất kỳ sự trao đổi dữ liệu nào trên Web và cũng là giao thức giữa client (thường là
các trình duyệt hay bất kỳ loại thiết bị, chương trình nào) và server (thường là các
máy tính trên đám mây). 1 doc hoàn chỉnh được tái tạo từ các doc con khác nhau
được fetch – tìm nạp, chẳng hạn như văn bản, mô tả layout, hình ảnh, video, script v..v.. 1.7.1.2 Lợi ích của HTTPS
1. Xét về tốc độ thì HTTPS thì kém không đáng kể so với HTTP bởi các lý do sau đây : -
Cải tiến giao thức TLS: TLS (Transport Layer Security), phiên bản sau của SSL
(Secure Sockets Layer), đã trải qua nhiều phiên bản cải tiến. Các phiên bản TLS
mới hơn đã cải thiện cách mã hóa và bảo mật dữ liệu mà không làm tăng đáng kể độ trễ hoặc tốc độ. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông -
Hiệu suất của máy chủ và trình duyệt: Cả trình duyệt và máy chủ web hiện đại đã
trở nên mạnh mẽ hơn và được tối ưu hóa tốt hơn để xử lý việc sử dụng HTTPS.
Điều này giúp giảm thiểu độ trễ trong quá trình thiết lập kết nối an toàn. -
HTTP/2: HTTP/2 là phiên bản mới hơn của giao thức HTTP và nó hỗ trợ tải trang
web nhanh hơn bằng cách sử dụng nhiều kết nối đồng thời. HTTPS thường hoạt
động tốt với HTTP/2 và thậm chí có thể nâng cao hiệu suất. -
Các dịch vụ tối ưu hóa CDN: Nhiều trang web và ứng dụng web sử dụng dịch vụ
CDN (Content Delivery Network) để tối ưu hóa tải trang. CDN giúp tăng tốc độ
truy cập bằng cách lưu trữ tài nguyên trang web tại các máy chủ gần người dùng.
CDN thường hỗ trợ HTTPS mạnh mẽ, giúp tăng tốc độ trang web. -
Cải tiến phần cứng: Máy chủ web và cơ sở hạ tầng mạng đã trải qua nhiều cải tiến
về hiệu suất và bảo mật, cho phép sử dụng HTTPS mà không làm chậm tốc độ.
2. Bảo mật dữ liệu: HTTPS mã hóa dữ liệu truyền qua mạng, giúp ngăn chặn người
khác đọc hoặc thay đổi thông tin trong quá trình truyền tải nên vậy HTTPS giúp
chúng ta đảm bảo quyền riêng tư , tính toàn vẹn và nhận dạng.
3. Xác thực đáng tin cậy: Các chứng chỉ số học kỹ thuật số được cấp bởi các cơ quan
cấp chứng chỉ (CA) giúp xác minh danh tính của trang web. Điều này giúp người
dùng biết họ đang kết nối với trang web chính xác mà họ muốn truy cập.
4. Cải thiện SEO: Các công cụ tìm kiếm như Google đã bắt đầu ưa thích các trang
web sử dụng HTTPS. Do đó, việc sử dụng HTTPS có thể cải thiện thứ hạng tìm
kiếm của bạn và tạo lợi ích cho SEO.
5. Tạo niềm tin và uy tín: Sử dụng HTTPS có thể tạo niềm tin và uy tín cho người
dùng. Khi họ thấy biểu tượng khóa màu xanh hoặc "An toàn" trong trình duyệt, họ
cảm thấy yên tâm hơn khi thực hiện giao dịch hoặc chia sẻ thông tin cá nhân.
6. Chống đánh cắp dữ liệu và tấn công hacker: HTTPS giúp bảo vệ khỏi các cuộc
tấn công đối với dữ liệu truyền qua mạng, đảm bảo rằng thông tin của bạn không bị đánh cắp.
1.7.2Tầm quan trọng của việc sử dụng HTTPS để bảo vệ thông tin cá nhân
và dữ liệu trực tuyến.
Hiện nay sự phát triển của internet ngày càng gia tăng và phủ rộng toàn cầu, kéo theo đó
là các nhu cầu hàng ngày ngày càng được công nghệ hóa. Do vậy chúng ta sẽ trao
đổi rất nhiều thông tin thông qua mạng internet , lưu trữ thông tin trên mạng internet
cũng như là lưu trữ tài sản thông qua internet(cổ phiếu , trái nhiếu , ngân hàng …)
do vậy để bảo mật các thông tin trên là vô cùng quan trọng nên vậy các nhà phát lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
triển đã tạo ra giao thức HTTPS để bảo mật các thông tin nói trên và rất nhiều các
thông tin khác trên mạng internet. Dưới đây là 1 số lý do mà bạn nên sử dụng HTTPS :
1. Bảo mật thông tin cá nhân: HTTPS giúp mã hóa dữ liệu truyền tải giữa máy tính
cá nhân và máy chủ web. Điều này đảm bảo rằng thông tin cá nhân, chẳng hạn như
tên người dùng, mật khẩu, thẻ tín dụng và thông tin địa chỉ không thể bị đánh cắp
bởi kẻ tấn công trong quá trình truyền tải qua mạng.
2. Tạo sự tin tưởng của người dùng: Khi người dùng thấy biểu tượng khóa màu
xanh và "https://" trong thanh địa chỉ của trình duyệt, họ cảm thấy an tâm hơn khi
thực hiện giao dịch trực tuyến hoặc chia sẻ thông tin cá nhân. Điều này giúp tạo sự
tin tưởng và tạo điều kiện thuận lợi cho hoạt động kinh doanh trực tuyến.
3. Bảo vệ dữ liệu của người dùng: Dữ liệu cá nhân của người dùng, chẳng hạn như
email, văn bản, hình ảnh và video, đều được bảo vệ khỏi nguy cơ đánh cắp hoặc
ngăn chặn bởi các bên thứ ba. Điều này đặc biệt quan trọng khi sử dụng dịch vụ lưu
trữ đám mây hoặc khi truy cập dữ liệu từ xa.
4. Phòng ngừa tấn công man-in-the-middle: HTTPS giúp ngăn chặn tấn công
manin-the-middle, trong đó một kẻ tấn công cố gắng theo dõi và can thiệp vào giao
tiếp giữa máy tính cá nhân và máy chủ web. Bằng cách mã hóa dữ liệu, HTTPS làm
cho việc này trở nên khó khăn hơn.
5. Tuân thủ quy định và luật pháp: Trong nhiều quốc gia, việc bảo vệ thông tin cá
nhân của người dùng trở thành luật pháp. Sử dụng HTTPS là một cách để tuân thủ
các quy định về bảo mật dữ liệu và tránh các hình phạt liên quan đến việc vi phạm quy định này.
6. Ngăn chặn truy cập trái phép: HTTPS có thể giúp ngăn chặn truy cập trái phép
vào các trang web hoặc dịch vụ trực tuyến bằng cách mã hóa thông tin truyền tải và
xác thực máy chủ. Điều này làm cho việc truy cập trái phép trở nên khó khăn hơn.
2 Ứng Dụng Thức Tiễn
2.7 Bảo mật thông tin cá nhân: Khi bạn thực hiện giao dịch tài chính trực tuyến, đăng
nhập vào tài khoản email, mạng xã hội, hay thậm chí mua hàng trực tuyến, HTTPS
giúp bảo vệ thông tin cá nhân của bạn khỏi thiết bị đánh cắp. lOMoARcPSD| 10435767 `
Tiểu Luận MÔN: An Toàn mạng truyền thông
2.8 Xác minh danh tính của trang web: Một chứng chỉ SSL/TLS (chứng chỉ số) cung
cấp thông tin về danh tính của trang web. Điều này giúp người dùng xác nhận rằng
họ đang kết nối với trang chính của trang web chứ không phải một trang web giả mạo.
2.9 Cải thiện SEO: Google và các công cụ tìm kiếm khác ưu tiên các trang web sử dụng
HTTPS. Điều này có thể cải thiện vị trí của trang web trong quá trình tìm kiếm kết quả.
2.10 Phân quyền và bảo mật: HTTPS hỗ trợ người dùng xác định và xác thực, giúp
hạn chế quyền truy cập đối với các phần định nghĩa nhất của trang web.
2.11 Thiết lập kết nối toàn bộ cho ứng dụng di động: Ứng dụng di động cũng có thể
sử dụng HTTPS để đảm bảo rằng dữ liệu được truyền đi giữa ứng dụng và máy chủ an toàn.
2.12 Cung cấp ý tưởng cho người dùng: Khi người dùng tìm thấy biểu tượng khóa
hoặc một trang web sử dụng "https://" thay vì "http://", họ cảm thấy tự động hơn về
việc trao đổi thông tin trên trang web đó.