Kì trước, ở cuối đoạn lặn ngụp với Proxy Server tôi lại đâm đầu vô trúng một thứ gọi là HTTP và HTTPS.
HTTP thì tôi search thấy Google bảo đấy là HyperText Transfer Protocol – Giao thức truyền tải siêu văn bản gì đấy. Đại khái là cách “giao thiệp” giữa cái trình duyệt của tôi với mấy cái Web Servers tôi truy cập. Và nhờ đó mà tôi mới có thể ngày ngày mò lên Tinh Tế hóng hớt. Nói thế thì tôi cũng hình dung sơ bộ được vấn đề rồi nhưng thế còn HTTPS là cái của nợ gì nữa đây…
Nói cứng thế thôi chứ tôi cũng hơi lo, search thêm phát nữa để so sánh HTTP và HTTPS tôi thấy bảng tóm tắt sau:
Tạm gác cái thông tin cổng mặc định lại, dù chưa thật sự hiểu rõ 3 dòng còn lại nói gì nhưng tôi thấy làm với HTTPS coi bộ an tâm hơn. Tuy nhiên, nếu chỉ nói thế này thì thiệt tình bà bán xôi đầu hẻm nhà tôi cũng nói được. Cái cơ bản là HTTPS nó bảo mật cụ thể như thế nào thì tôi vẫn chưa rõ.
Trước khi tấn công vô cái mớ nguyên lý coi bộ rối rắm này, tôi cần xem mặt mũi thằng HTTPS thế nào cái đã. Tay nhanh hơn não, tôi đã rê chuột vô ngay địa chỉ của trang Tinh Tế và click chuột vô cái ổ khóa kế bên chữ HTTPS coi thử.
Ở đây tôi có thấy 2 thông tin tích cực sau:
HTTP thì tôi search thấy Google bảo đấy là HyperText Transfer Protocol – Giao thức truyền tải siêu văn bản gì đấy. Đại khái là cách “giao thiệp” giữa cái trình duyệt của tôi với mấy cái Web Servers tôi truy cập. Và nhờ đó mà tôi mới có thể ngày ngày mò lên Tinh Tế hóng hớt. Nói thế thì tôi cũng hình dung sơ bộ được vấn đề rồi nhưng thế còn HTTPS là cái của nợ gì nữa đây…
#1. HTTP và HTTPS
Tôi lại xách đít vào Google đọc tiếp. Một số nguồn tin đáng tin cậy cho biết: Hypertext Transfer Protocol Secure – HTTPS là Giao thức truyền tải siêu văn bản bảo mật. A, hóa ra là thêm chữ Secure (hay bảo mật) thôi chứ có khỉ gì đâu.Nói cứng thế thôi chứ tôi cũng hơi lo, search thêm phát nữa để so sánh HTTP và HTTPS tôi thấy bảng tóm tắt sau:
Tạm gác cái thông tin cổng mặc định lại, dù chưa thật sự hiểu rõ 3 dòng còn lại nói gì nhưng tôi thấy làm với HTTPS coi bộ an tâm hơn. Tuy nhiên, nếu chỉ nói thế này thì thiệt tình bà bán xôi đầu hẻm nhà tôi cũng nói được. Cái cơ bản là HTTPS nó bảo mật cụ thể như thế nào thì tôi vẫn chưa rõ.
Trước khi tấn công vô cái mớ nguyên lý coi bộ rối rắm này, tôi cần xem mặt mũi thằng HTTPS thế nào cái đã. Tay nhanh hơn não, tôi đã rê chuột vô ngay địa chỉ của trang Tinh Tế và click chuột vô cái ổ khóa kế bên chữ HTTPS coi thử.
Ở đây tôi có thấy 2 thông tin tích cực sau:
- Chỗ “Connection is secure” báo cho tôi biết thông tin gửi đến site Tinh Tế sẽ được giữ bí mật
- Chỗ “Certificate” tôi thấy có chữ “valid” nên chắc vẫn còn ngon.
Hai thứ này có vẻ khớp với thông tin bảo mật gì đấy tôi đọc ở trên rồi. Giờ là lúc đâm đầu vô coi thử cái nguyên lý cơ bản của cái thằng HTTPS thế nào. Tôi tiếp tục mò mẫm và đọc thấy:
- HTTP sử dụng giao thức TCP đơn thuần làm cơ chế vận chuyển thông tin;
- Với HTTPS, cái luồng HTTP traffic thay vì đi nghênh ngang ngoài Internet, nó sẽ chui vô một cái “đường hầm” của cơ chế vận chuyển bảo mật có tên gọi là Secure Sockets Layer – SSL hay phiên bản cập nhật hơn Transport Layer Security - TLS. Nhờ vào con hàng SSL/TLS này mà đám giang hồ mạng khó có thể tăm tia thông tin “giao thiệp” giữa cái trình duyệt của tôi với mấy cái Web Servers tôi truy cập như khi dùng HTTP đơn thuần.
Rồi, đã rõ thằng HTTPS nó ăn tiền hơn HTTP là nhờ SSL/TLS. Nhưng mà SSL/TLS là cái vẹo gì?
#2. SSL và TLS
Tiếp tục công cuộc tìm kiếm, tôi đọc thấy một dòng quan trọng:“…TLS là phiên bản cập nhật cho SSL ví dụ TLS 1.0 là bản cập nhật của SSL 3.0 nên có thể xem là SSL 3.1. Dù hiện tại SSL đã bị thay thế bởi TLS tuy nhiên có thể do quen tay người ta vẫn hay ghi SSL hoặc SSL/TLS thay vì chỉ đơn thuần là TLS…”
Ok, thế thì rõ cái cách gọi tên rồi. Nhưng mà về cơ bản thì nó là cái gì? Tiếp:
“…SSL/TLS là giao thức sử dụng để mã hóa data-in-transit (dữ liệu trong quá trình vận chuyển) nói chung. Về cơ bản, SSL/TLS đều thuộc dạng xác thực Certificate-based (yêu cầu phải có Certificate Authorities – CAs phát hành và quản lý các Certificate)…”
À, vậy nó là giao thức mã hóa thông tin đang được vận chuyển có dùng Certificate gì đấy. Tôi chưa rõ lắm nhưng mà có vẻ hợp lí vì ở trên tôi cũng thấy Certificate báo valid.
Tôi đọc tiếp:
“…SSL/TLS mã hóa bằng cách sử dụng kết hợp Symmetric và Asymmetric Encryption như sau:
- Sử dụng Asymmetric Encryption để trao đổi Session Key (khóa cho phiên làm việc này thuộc nhóm Symmetric Encryption Key);
- Sử dụng Symmetric Encryption Key đã trao đổi để mã hóa dữ liệu hiển thị trên trang web cũng như trong quá trình vận chuyển dữ liệu thuộc 1 phiên làm việc…”
Thôi rồi Lượm ơi, ở đâu nó phọt ra cả đống thứ khỉ gió gì nghe choáng váng hết cả người. Để bảo toàn lực lượng, tôi quyết định tạm thời rút lui, bookmark trang đang đọc để quay lại vào một ngày đẹp trời sau vậy.
Quảng cáo