Tổng quan giao thức SSL - Nhập môn mạng máy tính | Trường Đại học CNTT Thành Phố Hồ Chí Minh

Tổng quan giao thức SSL - Nhập môn mạng máy tính | Trường Đại học CNTT Thành Phố Hồ Chí Minh Tổng quan giao thức SSL - Nhập môn mạng máy tính | Trường Đại học CNTT Thành Phố Hồ Chí Minh

lOMoARcPSD| 40342981
TỔNG QUAN VỀ GIAO THỨC SSL 1. Khái niệm
SSL viết tắt của Secure Sockets Layer, một công nghệ tiêu chuẩn cho phép thiết
lập kết nối được mã hóa an toàn giữa máy chủ web (host) và trình duyệt web (client).
SSLlà một giao thức bảo mật Internet dựa trên mã hóa. Nó được Netscape phát triển
lần đầu tiên vào năm 1995 với mục đích đảm bảo quyền riêng tư, c thực toàn vẹn
dữ liệu trong truyền thông Internet. SSL tiền thân của hóa TLS hiện đại được sử
dụng ngày nay. [1]
Sự khác biệt giữa HTTP và HTTPS
Với HTTP là một giao thức gửi thông tin từ thiết bị người dùng và wedsite đang
truy cập. Còn HTTPS là phiên bản an toàn hơn, nó sẽ mã hóa và xáo trộn mọi dữ liệu
khiến cho hầu hết các hackers không thể đọc được ngoại trừ máy chủ mà thông tin
đang được gửi đến.
Chứng chỉ SSL/TLS chứa các thông tin sau:
Tên miền
Cơ quan cấp chứng ch
Chữ ký số của cơ quan cấp chứng chỉ
Ngày cấp
Ngày hết hạn
Khóa công khai
Phiên bản SSL/TLS [2].
2. Phương thức hoạt động
Để cung cấp mức độ riêng cao, SSL a dữ liệu được truyền trên web. Điều
này nghĩa bất kỳ ai cố gắng chặn hay khai thác dữ liệu này sẽ chỉ thấy một hỗn hợp
các ký tự bị cắt xén gần như không thể giải mã được.
lOMoARcPSD| 40342981
SSL bắt đầu một quy trình xác thực được gọi là kết nối giữa hai thiết bị giao tiếp để
đảm bảo rằng cả hai thiết bị đều thực sự thiết bị mà người dùng mong muốn truyền
thông tin.
SSL cũng xác nhận dữ liệu điện tử để cung cấp tính toàn vẹn của dữ liệu, xác minh
rằng dữ liệu không bị giả mạo trước khi đến tay người nhận dự kiến.
Đã có một vài lần cập nhật lại SSL, mỗi lần đều an toàn hơn lần trước. Năm 1999 SSL
đã được cập nhật để trở thành TLS.
SSL được thiết kế như một giao thức riêng cho vấn đề bảo mật thể hỗ trợ cho rất
nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP bên ới các giao thức
ứng dụng tầng cao hơn như là HTTP, IMAP và FTP.
SSL không phải một giao thức đơn lẻ, là một tập các thủ tục đã được chuẩn hoá
để thực hiện các nhiệm vụ bảo mật sau:
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúcnày,
phía browser sử dụng các kỹ thuật hoá công khai để chắc chắn rằng certificate và
public ID của server có giá trị và được cấp phát bởi một CA (certificate authority)
trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người
dùng. dụ như khi gửi số credit card qua mạng thì người dùng thực sự muốn
kiểm tra liệu server sẽ nhận thông tin này có đúng server mà họ định gửi đến không.
Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối.Phía
server cũng sử dụng các kỹ thuật hoá công khai để kiểm tra xem certificate
public ID của server giá trị hay không được cấp phát bởi một CA (certificate
authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan
trọng đối với các nhà cung cấp.dnhư khi một ngân hàng định gửi các thông tin
tài chính mang tính bảo mật tới khách hàng thọ rất muốn kiểm tra định danh của
người nhận.
hoá kết nối: Tất cả các thông tin trao đổi giữa client server được mã hoá
trênđường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với
cả hai bên khi các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được
gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát
hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật toán băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con:
Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu
lOMoARcPSD| 40342981
Giao thức SSL handshake (gọi giao thức bắt tay) : sử dụng SSL record protocol
đểtrao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL
[3].
3. Chức năng
3.1 SSL mã hóa thông tin nhạy cảm
SSL giữ cho những thông tin nhạy cảm được hóa khi gửi qua Internet chỉ có
những người nhận được chỉ định mới có thể hiểu nó.
Khi thông tin bạn gửi trên Internet được truyền từ máy tính đến máy tính, rồi đến
một máy chủ đích. Bất cứ máy tính nào ở giữa bạn và máy chủ đều có thể nhìn thấy
số thẻ tín dụng, tên tài khoản và mật khẩu cùng những thông tin nhạy cảm khác, khi
chúng chưa được mã hóa với chứng chỉ SSL (SSL Certificate).
Khi SSL Certificate được sử dụng, thông tin sẽ trở thành không thể đọc được đối với
tất cả mọi người, ngoại trừ máy chủ thông tin đang được gửi đến. Nhờ đó, hacker
và những kẻ lấy cắp không thể đọc hay lấy trộm thông tin.
3.2 SSL cung cấp tính xác thực
Ngoài mã hóa, một chứng nhận SSL thích hợp cũng cung cấp sự xác thực. Điều này
nghĩa bạn thể chắc chắn rằng mình đang gửi thông tin đến đúng máy chủ
chứ không phải đến một kẻ mạo danh nào đó đang cố gắng ăn cắp thông tin của bạn.
Nhà cung cấp SSL đáng tin cậy sẽ chỉ cấp một SSL Certification đến cho một công
ty, với điều kiện công ty đó được xác nhận rằng đã vượt qua một số cuộc kiểm tra
danh tính. Một số SSL Certification như EV SSL Certificates, yêu cầu xác nhận nhiều
hơn những chứng nhận khác.
Bạn có thể sử dụng SSL Wizard để so sánh giữa các nhà cung cấp SSL, có sẵn trong
hầu hết các trình duyệt web. Trình duyệt web sẽ tạo ra một xác nhận rằng nhà cung
cấp SSL đang những hành động cụ thể được kiểm tra bởi một bên thứ 3 sử
dụng tiêu chuẩn như WebTrust
3.3 SSL cung cấp sự tin cậy
Các trình duyệt web sẽ cung cấp cho người dùng những tín hiệu để biết rằng kết nối
của mình đang được đảm bảo, đó thể một biểu ợng khóa hoặc một thanh màu
xanh lá cây. Nhđó, khách hàng sẽ tin tưởng trang web hơn tăng khả năng mua
hàng, gắn với website. Nhà cung cấp SSL cũng sẽ cung cấp cho bạn một dấu hiệu
tin cậy để làm cho khách hàng tin tưởng hơn nữa.
3.4 SSL mang đến sự tin cậy cho người truy cập
lOMoARcPSD| 40342981
HTTPS cũng giúp chống lại những cuộc tấn ng lừa đảo. Một email lừa đảo email
được gửi từ tên tội phạm đang cố gắng mạo danh trang web của bạn.
Email này thường có một liên kết đến website của tên tội phạm hoặc sử dụng Manin-
the-middle attack (tên tội phạm sẽ lừa khách hàng để họ gửi thông tin nhạy cảm đến
cho chúng) trên tên miền của website.
Nhưng một kẻ nghe n, hacker thường khó có được một SSL Certificate, nên nếu
trang web SSL, thì chúng không thể mạo danh website một cách hoàn hảo,
người dùng sẽ ít có khả năng bị lừa đảo hơn
3.5 SSL được yêu cầu cho PCI Compliance
Để chấp nhận thông tin thẻ tín dụng trên website, bạn phải vượt qua những cuộc
kiểm tra để chứng minh rằng bạn đang tuân thủ các tiêu chuẩn thanh toán bằng thẻ
- Payment Card Industry, PCI. Một trong những yêu cầu đó là sử dụng SSL
Certificate.
3.6 SSL đối với SEO
Google đã đưa ra thông báo rằng HTTPS sẽ một tiêu chí để xếp hạng website.
Nghĩa khi đưa ra kết quả cho người tìm kiếm, trang web SSL sđược ưu tiên
hơn trang web cùng loại nhưng không có SSL[4].
| 1/4

Preview text:

lOMoAR cPSD| 40342981
TỔNG QUAN VỀ GIAO THỨC SSL 1. Khái niệm
SSL là viết tắt của Secure Sockets Layer, một công nghệ tiêu chuẩn cho phép thiết
lập kết nối được mã hóa an toàn giữa máy chủ web (host) và trình duyệt web (client).
SSLlà một giao thức bảo mật Internet dựa trên mã hóa. Nó được Netscape phát triển
lần đầu tiên vào năm 1995 với mục đích đảm bảo quyền riêng tư, xác thực và toàn vẹn
dữ liệu trong truyền thông Internet. SSL là tiền thân của mã hóa TLS hiện đại được sử dụng ngày nay. [1]
Sự khác biệt giữa HTTP và HTTPS
Với HTTP là một giao thức gửi thông tin từ thiết bị người dùng và wedsite đang
truy cập. Còn HTTPS là phiên bản an toàn hơn, nó sẽ mã hóa và xáo trộn mọi dữ liệu
khiến cho hầu hết các hackers không thể đọc được ngoại trừ máy chủ mà thông tin đang được gửi đến.
Chứng chỉ SSL/TLS chứa các thông tin sau: Tên miền Cơ quan cấp chứng chỉ
Chữ ký số của cơ quan cấp chứng chỉ Ngày cấp Ngày hết hạn Khóa công khai Phiên bản SSL/TLS [2].
2. Phương thức hoạt động
Để cung cấp mức độ riêng tư cao, SSL mã hóa dữ liệu được truyền trên web. Điều
này có nghĩa là bất kỳ ai cố gắng chặn hay khai thác dữ liệu này sẽ chỉ thấy một hỗn hợp
các ký tự bị cắt xén gần như không thể giải mã được. lOMoAR cPSD| 40342981
SSL bắt đầu một quy trình xác thực được gọi là kết nối giữa hai thiết bị giao tiếp để
đảm bảo rằng cả hai thiết bị đều thực sự là thiết bị mà người dùng mong muốn truyền thông tin.
SSL cũng xác nhận dữ liệu điện tử để cung cấp tính toàn vẹn của dữ liệu, xác minh
rằng dữ liệu không bị giả mạo trước khi đến tay người nhận dự kiến.
Đã có một vài lần cập nhật lại SSL, mỗi lần đều an toàn hơn lần trước. Năm 1999 SSL
đã được cập nhật để trở thành TLS.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất
nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức
ứng dụng tầng cao hơn như là HTTP, IMAP và FTP.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá
để thực hiện các nhiệm vụ bảo mật sau:
– Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúcnày,
phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và
public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority)
trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người
dùng. Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn
kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không.
– Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối.Phía
server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và
public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate
authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan
trọng đối với các nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thông tin
tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.
– Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá
trênđường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với
cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được
gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát
hiện các xáo trộn, thay đổi trong dữ liệu. ( đó là các thuật toán băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con:
– Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu lOMoAR cPSD| 40342981
– Giao thức SSL handshake (gọi là giao thức bắt tay) : sử dụng SSL record protocol
đểtrao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL [3]. 3. Chức năng
3.1 SSL mã hóa thông tin nhạy cảm
SSL giữ cho những thông tin nhạy cảm được mã hóa khi gửi qua Internet và chỉ có
những người nhận được chỉ định mới có thể hiểu nó.
Khi thông tin bạn gửi trên Internet được truyền từ máy tính đến máy tính, rồi đến
một máy chủ đích. Bất cứ máy tính nào ở giữa bạn và máy chủ đều có thể nhìn thấy
số thẻ tín dụng, tên tài khoản và mật khẩu cùng những thông tin nhạy cảm khác, khi
chúng chưa được mã hóa với chứng chỉ SSL (SSL Certificate).
Khi SSL Certificate được sử dụng, thông tin sẽ trở thành không thể đọc được đối với
tất cả mọi người, ngoại trừ máy chủ mà thông tin đang được gửi đến. Nhờ đó, hacker
và những kẻ lấy cắp không thể đọc hay lấy trộm thông tin.
3.2 SSL cung cấp tính xác thực
Ngoài mã hóa, một chứng nhận SSL thích hợp cũng cung cấp sự xác thực. Điều này
có nghĩa là bạn có thể chắc chắn rằng mình đang gửi thông tin đến đúng máy chủ
chứ không phải đến một kẻ mạo danh nào đó đang cố gắng ăn cắp thông tin của bạn.
Nhà cung cấp SSL đáng tin cậy sẽ chỉ cấp một SSL Certification đến cho một công
ty, với điều kiện công ty đó được xác nhận rằng đã vượt qua một số cuộc kiểm tra
danh tính. Một số SSL Certification như EV SSL Certificates, yêu cầu xác nhận nhiều
hơn những chứng nhận khác.
Bạn có thể sử dụng SSL Wizard để so sánh giữa các nhà cung cấp SSL, có sẵn trong
hầu hết các trình duyệt web. Trình duyệt web sẽ tạo ra một xác nhận rằng nhà cung
cấp SSL đang có những hành động cụ thể và được kiểm tra bởi một bên thứ 3 sử
dụng tiêu chuẩn như WebTrust
3.3 SSL cung cấp sự tin cậy
Các trình duyệt web sẽ cung cấp cho người dùng những tín hiệu để biết rằng kết nối
của mình đang được đảm bảo, đó có thể là một biểu tượng khóa hoặc một thanh màu
xanh lá cây. Nhờ đó, khách hàng sẽ tin tưởng trang web hơn và tăng khả năng mua
hàng, gắn bó với website. Nhà cung cấp SSL cũng sẽ cung cấp cho bạn một dấu hiệu
tin cậy để làm cho khách hàng tin tưởng hơn nữa.
3.4 SSL mang đến sự tin cậy cho người truy cập lOMoAR cPSD| 40342981
HTTPS cũng giúp chống lại những cuộc tấn công lừa đảo. Một email lừa đảo là email
được gửi từ tên tội phạm đang cố gắng mạo danh trang web của bạn.
Email này thường có một liên kết đến website của tên tội phạm hoặc sử dụng Manin-
the-middle attack (tên tội phạm sẽ lừa khách hàng để họ gửi thông tin nhạy cảm đến
cho chúng) trên tên miền của website.
Nhưng một kẻ nghe lén, hacker thường khó có được một SSL Certificate, nên nếu
trang web có SSL, thì chúng không thể mạo danh website một cách hoàn hảo, và
người dùng sẽ ít có khả năng bị lừa đảo hơn
3.5 SSL được yêu cầu cho PCI Compliance
Để chấp nhận thông tin thẻ tín dụng trên website, bạn phải vượt qua những cuộc
kiểm tra để chứng minh rằng bạn đang tuân thủ các tiêu chuẩn thanh toán bằng thẻ
- Payment Card Industry, PCI. Một trong những yêu cầu đó là sử dụng SSL Certificate. 3.6 SSL đối với SEO
Google đã đưa ra thông báo rằng HTTPS sẽ là một tiêu chí để xếp hạng website.
Nghĩa là khi đưa ra kết quả cho người tìm kiếm, trang web có SSL sẽ được ưu tiên
hơn trang web cùng loại nhưng không có SSL[4].