Tham dự Tech Lounge

Tham dự Tech Lounge


Góc tự giải ngố – Nguyên lý cơ bản của HTTPS

convitlac
20/9/2020 6:39Phản hồi: 5
Góc tự giải ngố – Nguyên lý cơ bản của HTTPS
Kì trước, ở cuối đoạn lặn ngụp với Proxy Server tôi lại đâm đầu vô trúng một thứ gọi là HTTPHTTPS.
HTTP thì tôi search thấy Google bảo đấy là HyperText Transfer Protocol – Giao thức truyền tải siêu văn bản gì đấy. Đại khái là cách “giao thiệp” giữa cái trình duyệt của tôi với mấy cái Web Servers tôi truy cập. Và nhờ đó mà tôi mới có thể ngày ngày mò lên Tinh Tế hóng hớt. Nói thế thì tôi cũng hình dung sơ bộ được vấn đề rồi nhưng thế còn HTTPS là cái của nợ gì nữa đây…

#1. HTTP và HTTPS

Tôi lại xách đít vào Google đọc tiếp. Một số nguồn tin đáng tin cậy cho biết: Hypertext Transfer Protocol Secure – HTTPSGiao thức truyền tải siêu văn bản bảo mật. A, hóa ra là thêm chữ Secure (hay bảo mật) thôi chứ có khỉ gì đâu.
Nói cứng thế thôi chứ tôi cũng hơi lo, search thêm phát nữa để so sánh HTTPHTTPS tôi thấy bảng tóm tắt sau:
image.png
Tạm gác cái thông tin cổng mặc định lại, dù chưa thật sự hiểu rõ 3 dòng còn lại nói gì nhưng tôi thấy làm với HTTPS coi bộ an tâm hơn. Tuy nhiên, nếu chỉ nói thế này thì thiệt tình bà bán xôi đầu hẻm nhà tôi cũng nói được. Cái cơ bản là HTTPS nó bảo mật cụ thể như thế nào thì tôi vẫn chưa rõ.
Trước khi tấn công vô cái mớ nguyên lý coi bộ rối rắm này, tôi cần xem mặt mũi thằng HTTPS thế nào cái đã. Tay nhanh hơn não, tôi đã rê chuột vô ngay địa chỉ của trang Tinh Tế và click chuột vô cái ổ khóa kế bên chữ HTTPS coi thử.
image.png
Ở đây tôi có thấy 2 thông tin tích cực sau:

- Chỗ “Connection is secure” báo cho tôi biết thông tin gửi đến site Tinh Tế sẽ được giữ bí mật
- Chỗ “Certificate” tôi thấy có chữ “valid” nên chắc vẫn còn ngon.
Hai thứ này có vẻ khớp với thông tin bảo mật gì đấy tôi đọc ở trên rồi. Giờ là lúc đâm đầu vô coi thử cái nguyên lý cơ bản của cái thằng HTTPS thế nào. Tôi tiếp tục mò mẫm và đọc thấy:
- HTTP sử dụng giao thức TCP đơn thuần làm cơ chế vận chuyển thông tin;
- Với HTTPS, cái luồng HTTP traffic thay vì đi nghênh ngang ngoài Internet, nó sẽ chui vô một cái “đường hầm” của cơ chế vận chuyển bảo mật có tên gọi là Secure Sockets Layer – SSL hay phiên bản cập nhật hơn Transport Layer Security - TLS. Nhờ vào con hàng SSL/TLS này mà đám giang hồ mạng khó có thể tăm tia thông tin “giao thiệp” giữa cái trình duyệt của tôi với mấy cái Web Servers tôi truy cập như khi dùng HTTP đơn thuần.
Rồi, đã rõ thằng HTTPS nó ăn tiền hơn HTTP là nhờ SSL/TLS. Nhưng mà SSL/TLS là cái vẹo gì?

#2. SSL và TLS

Tiếp tục công cuộc tìm kiếm, tôi đọc thấy một dòng quan trọng:
“…TLS là phiên bản cập nhật cho SSL ví dụ TLS 1.0 là bản cập nhật của SSL 3.0 nên có thể xem là SSL 3.1. Dù hiện tại SSL đã bị thay thế bởi TLS tuy nhiên có thể do quen tay người ta vẫn hay ghi SSL hoặc SSL/TLS thay vì chỉ đơn thuần là TLS…”
Ok, thế thì rõ cái cách gọi tên rồi. Nhưng mà về cơ bản thì nó là cái gì? Tiếp:
“…SSL/TLS là giao thức sử dụng để mã hóa data-in-transit (dữ liệu trong quá trình vận chuyển) nói chung. Về cơ bản, SSL/TLS đều thuộc dạng xác thực Certificate-based (yêu cầu phải có Certificate Authorities – CAs phát hành và quản lý các Certificate)…”
À, vậy nó là giao thức mã hóa thông tin đang được vận chuyển có dùng Certificate gì đấy. Tôi chưa rõ lắm nhưng mà có vẻ hợp lí vì ở trên tôi cũng thấy Certificate báo valid.
Tôi đọc tiếp:
“…SSL/TLS mã hóa bằng cách sử dụng kết hợp Symmetric Asymmetric Encryption như sau:
- Sử dụng Asymmetric Encryption để trao đổi Session Key (khóa cho phiên làm việc này thuộc nhóm Symmetric Encryption Key);
- Sử dụng Symmetric Encryption Key đã trao đổi để mã hóa dữ liệu hiển thị trên trang web cũng như trong quá trình vận chuyển dữ liệu thuộc 1 phiên làm việc…”

Thôi rồi Lượm ơi, ở đâu nó phọt ra cả đống thứ khỉ gió gì nghe choáng váng hết cả người. Để bảo toàn lực lượng, tôi quyết định tạm thời rút lui, bookmark trang đang đọc để quay lại vào một ngày đẹp trời sau vậy.

Quảng cáo

5 bình luận
Chia sẻ

Xu hướng

minihorse
ĐẠI BÀNG
4 năm
Đang chơi ngon lại dừng, bác thiệt là...
convitlac
ĐẠI BÀNG
4 năm
@minihorse haha. sorry bác. đang chém gió giữa chừng thì vợ gọi xuống nhà rửa bát.
convitlac
ĐẠI BÀNG
4 năm
@minihorse tuần rồi bận chạy gạo quá nay mới vào chém gió tiếp được (https://tinhte.vn/thread/giai-ngo-https-hoi-1-canh-2-dieu-gi-xay-ra-khi-truy-cap-https-website.3195540/). lúc nào rảnh mời bác vào trà đá đàm đạo tiếp nhé.
Viết về kỹ thuật nhưng bác dùng từ ngữ dân dã dễ hiểu quá. Thông tin rất hay và bổ ích cho nhiều người.
Cảm ơn chủ thớt đã chia sẻ 😃
Hôm rồi mới tìm hiểu theo cách này và đã thành công ạ
https://lucidgen.com/cai-ssl-cho-website-wordpress-chuyen-http-sang-https/

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019