HTTPS là gì và tại sao bạn nên sử dụng nó thay vì HTTP?

HTTPS là gì và tại sao bạn nên sử dụng nó thay vì HTTP?

What Is Https Why Should You Use It Instead Http



What Is Https Why Should You Use It Instead Http

Bạn đã bao giờ nhìn vào phần đầu của URL của trang web mà bạn đang truy cập chưa? Nó bắt đầu bằng HTTP hoặc HTTPS? Sự khác biệt giữa HTTP và HTTPS là gì?





HTTPS là viết tắt của Hypertext Transfer Protocol with Secure, một phiên bản bảo mật của HTTP, cho phép chúng ta giao tiếp an toàn hơn với các trang web bằng mã hóa.

Thay vì để nó ở dạng văn bản thuần túy, tất cả dữ liệu sẽ được mã hóa trước khi gửi đến máy chủ của trang web. Điều này sẽ giúp tránh những kẻ tấn công (hoặc thậm chí chính phủ) theo dõi và xem chúng.



Với các công cụ phù hợp, họ sẽ có thể xem bạn đang làm gì, đọc hoặc tìm kiếm trên Internet nếu bạn đang sử dụng tiêu chuẩn HTTP. Tệ hơn nữa, tên người dùng, mật khẩu, thông tin cá nhân, cũng như chi tiết tài chính của bạn có thể được hiển thị. Tuy nhiên, khi chuyển sang HTTPS, tất cả các chi tiết đó sẽ được mã hóa trước khi truyền đến trang web hoặc ngược lại. Do đó, không có cách nào để làm gián đoạn quá trình và xem dữ liệu này.

Tại thời điểm tôi viết bài này, loại mã hóa này là không thể phá vỡ. Tôi không chắc trong vài năm tới (hoặc một thập kỷ) nếu nó vẫn không thể phá vỡ.

Rủi ro khi sử dụng tiêu chuẩn HTTP

Rủi ro lớn nhất là khi bạn truy cập một trang web thông qua tiêu chuẩn HTTP, trình duyệt web của bạn sẽ tìm kiếm địa chỉ IP thích hợp của trang web được yêu cầu với sự trợ giúp của Máy chủ DNS . Sau đó, nó sẽ kết nối với địa chỉ IP đó và kéo dữ liệu để hiển thị trang web một cách chính xác, cũng như gửi dữ liệu cần thiết để giao tiếp với trang web, chẳng hạn như đăng nhập hoặc thực hiện giao dịch.

Tuy nhiên, tất cả dữ liệu đó sẽ được truyền dưới dạng văn bản thuần túy mà không có bất kỳ mã hóa nào. Do đó, những người có công cụ phù hợp (hoặc sự cho phép như ISP của bạn hoặc các cơ quan tình báo chính phủ) có thể dễ dàng xem trang web bạn đang truy cập, cũng như dữ liệu bạn đang gửi và nhận.

Nhưng bạn có biết điều tồi tệ nhất không? Không có cách nào để xác minh rằng bạn đang truy cập đúng trang web. Ví dụ: nếu bạn truy cập một trang web cụ thể với tên miền:

www.abcxyz.com

qua HTTP, và nó hiển thị đúng trang web như bạn thường thấy. Tuy nhiên, nếu bạn đang sử dụng mạng công cộng và bị xâm nhập, tin tặc có thể tạo một trang web giả mạo và chuyển hướng bạn đến đó. Trang web này có thể giống trang web thật, nhưng chỉ nhằm mục đích lấy cắp dữ liệu của bạn, ví dụ như thẻ tín dụng. Thủ thuật phổ biến nhất là tạo các trang giả mạo các dịch vụ ngân hàng trực tuyến, Paypal.com , hoặc là Google ví và sau đó tấn công một mạng (hoặc tạo một mạng không dây miễn phí giả mạo) và chuyển hướng người dùng đến các trang giả mạo đó để thu thập thông tin cá nhân, mật khẩu và chi tiết tài chính.

Vấn đề là không ai nhận thấy những trang đó là giả mạo vì không có cảnh báo từ trình duyệt. Hơn nữa, khi bạn nhập các chi tiết được hỏi (chẳng hạn như tên người dùng và mật khẩu) vào trang web giả mạo, nó sẽ chuyển hướng bạn đến đúng trang web, nơi bạn cần cung cấp lại các chi tiết đó. Tại thời điểm này, bạn có thể nghĩ rằng trang web đã xảy ra lỗi, chẳng hạn như lỗi, nhưng bạn không bao giờ tin rằng đó là trang web giả mạo.

May mắn thay, với tiêu chuẩn HTTPS, không có cách nào để tạo các trang giả mạo như vậy. Với sự trợ giúp của chứng chỉ SSL, trình duyệt của bạn sẽ xác minh URL, địa chỉ IP và chứng chỉ SSL của từng trang web để đảm bảo trang web đó là hợp pháp. Nếu ai đó giả mạo trang web bằng HTTPS, bạn sẽ nhận được cảnh báo như: Kết nối của bạn không phải là riêng tư , Kết nối này không đáng tin cậy hoặc Kết nối của bạn không an toàn, tùy thuộc vào trình duyệt bạn đang sử dụng.

Vì vậy, nó hoàn toàn an toàn, phải không?

Đó cũng là lý do tại sao tôi luôn khuyến nghị người dùng sử dụng HTTPS khi thanh toán hoặc đặt hàng.

Bên cạnh việc bảo vệ thông tin nhạy cảm của bạn, HTTPS cũng giúp bảo vệ quyền riêng tư của bạn khi thực hiện các tác vụ thông thường, chẳng hạn như tìm kiếm thứ gì đó trên Google.com. Với HTTPS, không ai có thể biết những gì bạn đang tìm kiếm hoặc xem trên Internet, ngay cả ISP của bạn hoặc các tổ chức chính phủ.

Rất an toàn trong khía cạnh bảo mật trực tuyến, phải không?

Làm thế nào để biết nếu bạn đang kết nối với trang web HTTPS?

Thật đơn giản để biết rằng bạn đang kết nối với một trang web có tiêu chuẩn HTTPS nếu URL trong thanh địa chỉ của trình duyệt của bạn bắt đầu bằnghttps: //Cũng sẽ có một ổ khóa màu xanh lá cây và biểu tượng có thể nhấp được. Đôi khi, nó đi kèm với tên công ty hoặc tổ chức, tùy thuộc vào loại chứng chỉ SSL mà trang web đang sử dụng. Để xem thêm thông tin về trang web đó và mã hóa của nó, hãy nhấp vào biểu tượng ổ khóa màu xanh lục.

tên công ty https

Tuy nhiên, nó sẽ phụ thuộc vào trình duyệt web bạn đang sử dụng vì mỗi trình duyệt có một cách khác nhau để hiển thị HTTPS.

Ví dụ:

Đây là giao diện của trang web HTTPS trong Google Chrome:

https trong google chrome

hoặc Mozilla Firefox:

https trong mozilla firefox

và Microsoft Edge:

https trong microsoft edge

Một vài tháng trước, Google Chrome đã bắt đầu phân loại và đánh dấu các trang web HTTP và HTTPS bằng “Không an toàn”Và“Đảm bảo”Tương ứng trên thanh địa chỉ.

thẻ bảo mật google chrome

Vì vậy, nếu bạn đang đăng nhập vào tài khoản Paypal.com, thanh toán hoặc đặt hàng, hãy đảm bảo rằng bạn đang truy cập phiên bản HTTPS thay vì HTTP.

Ở khía cạnh quản trị trang web, Google đã đề xuất và thưởng cho các trang web sử dụng HTTPS với sự thay đổi để có được vị trí tốt hơn trong công cụ tìm kiếm khổng lồ của họ, mà rất nhiều chủ sở hữu trang web đang cố gắng có được. Nhưng không có nghĩa là khi bạn chuyển sang HTTPS, trang web của bạn chắc chắn sẽ có vị trí cao hơn trong kết quả của công cụ tìm kiếm. Nó chỉ là một yếu tố cộng cùng với tất cả các yếu tố xếp hạng khác.

Nếu bạn nhận được cảnh báo như tôi đã đề cập ở trên hoặc không thể tìm thấy chỉ báo HTTPS khi truy cập trang đăng nhập, mạng bạn đang kết nối có thể bị xâm phạm. Vì vậy, hãy tránh nhập bất kỳ thông tin quan trọng nào, chẳng hạn như mật khẩu, tài khoản ngân hàng hoặc thẻ tín dụng.

Trong trường hợp bạn sợ rằng mình có thể quên sử dụng HTTPS, có một plugin có tên HTTPS mọi nơi , điều này sẽ buộc trình duyệt của bạn sử dụng HTTPS mọi lúc, nếu trang web được hỗ trợ. Nếu không, nó sẽ chuyển hướng sang HTTP. Chỉ cần truy cập trang web này và tải xuống plugin HTTPS Everywhere cho trình duyệt của bạn. Thật không may, plugin này chỉ có sẵn cho Mozilla Firefox, Google Chrome và Opera tại thời điểm này.

Tuy nhiên, đừng chỉ dựa vào các biểu tượng khóa HTTPS này trên trình duyệt của bạn và không quan tâm đến bảo mật của máy tính hoặc thiết bị của bạn. Bạn phải chủ động bảo vệ máy tính và tất cả các thiết bị khác khỏi các mối đe dọa vì tin tặc sẽ tìm nhiều cách để khai thác dữ liệu của bạn.