Thứ Ba, 12 tháng 4, 2016

HTTPS là gì, vì sao lại dùng HTTPS?

Lê Hoàng

VNR - Việc hiểu được cơ chế hoạt động và ý nghĩa của giao thức HTTPS là tối quan trọng, bởi giao thức này sẽ giúp giữ an toàn cho bạn khi đang sử dụng các dịch vụ ngân hàng trực tuyến, thương mại điện tử và chống lừa đảo giả dạng (phishing).


Mỗi khi bạn sử dụng giao thức HTTPS, thanh địa chỉ của trình duyệt sẽ xuất hiện biểu tượng hình khóa. Nói ngắn gọn, HTTPS (viết tắt của HTTP Secure – HTTP An toàn) là phiên bản bảo mật của giao thức HTTP (HyperText Transfer Protocol - Giao thức truyền tải siêu văn bản) vốn là cốt lõi của Internet. Hãy cùng tìm hiểu về giao thức này qua bài viết của trang How To Geek:

Vấn đề với HTTP

Khi bạn kết nối với một trang web thông qua giao thức HTTP, trình duyệt sẽ tìm địa chỉ IP tương ứng với trang web đó và kết nối với địa chỉ IP này. Trình duyệt sẽ mặc nhiên coi rằng bạn đang kết nối với đúng máy chủ cần kết nối. Dữ liệu gửi qua HTTP cũng không hề được mã hóa, thay vào đó chỉ sử dụng dạng ký tự văn bản bình thường, do đó những kẻ nghe/xem lén trên mạng Wi-Fi của bạn, nhà mạng mà bạn đang sử dụng và cả những cơ quan tình báo như NSA đều có thể dò tìm ra các trang web mà bạn đã ghé thăm cũng như các thông tin bạn đã gửi/nhận. Như vậy, những kẻ nghe lén sẽ dễ dàng lấy cắp được mật khẩu, số thẻ tín dụng và các thông tin khác mà bạn gửi qua HTTP.

Không chỉ có vậy, nếu chỉ sử dụng HTTP, bạn sẽ không có cách nào để xác thực rằng mình đang kết nối vào đúng trang web cần tới cả. Ví dụ, qua hình thức lừa đảo phishing, bạn có thể đang truy cập vào một trang web giả dạng làm một ngân hàng hoặc một trang bán hàng qua mạng. Ngay cả khi bạn truy cập vào các trang web thông thường qua HTTP, khả năng bạn bị người khác theo dõi và lấy cắp thông tin cá nhân vẫn có thể xảy ra.

Nói tóm lại, vấn đề lớn nhất của HTTP là giao thức này không được mã hóa. HTTPS sử dụng mã hóa để khắc phục các vấn đề này.

HTTPS giải quyết vấn đề như thế nào

Dù chưa đảm bảo được tính bảo mật 100% nhưng HTTPS vẫn an toàn hơn rất nhiều so với HTTP. Khi bạn kết nối vào một máy chủ sử dụng HTTPS, trình duyệt sẽ kiểm tra chứng thực bảo mật (security certificate) của trang web này để xem xem chứng thực nói trên có được cung cấp bởi một đơn vị đáng tin cậy hay không. Nhờ đó, khi bạn truy cập vào những địa chỉ như https://nganhangA.com, trình duyệt của bạn sẽ xác thực được rằng bạn đang truy cập vào địa chỉ thực của Ngân Hàng A.

Dĩ nhiên, HTTPS không phải là không có lỗ hổng: các đơn vị cấp phát chứng thực bảo mật sẽ xác nhận rằng https://nganhangA.com là địa chỉ xác thực của Ngân hàng A. Do đó, nếu các đơn vị cấp phát chứng thực để lọt một trang web xấu nào đó, bạn vẫn có thể bị lừa đảo khi truy cập vào các địa chỉ giả sử dụng HTTPS.

Dù có lỗ hổng nhưng HTTPS vẫn tỏ ra hữu ích trong hầu hết các trường hợp sử dụng. Khi bạn cần cung cấp các thông tin như số thẻ tín dụng hoặc địa chỉ email, các trang web uy tín thường chuyển sang sử dụng các kênh HTTPS được mã hóa. Nhờ đó, các nhà mạng hoặc hacker gần như không thể dò tìm thông tin của bạn.

HTTPS cũng hỗ trợ tăng cường tính riêng tư. Ví dụ, hiện nay Google đang sử dụng giao thức HTTPS cho cả trang tìm kiếm của mình.  Trước đây, do chỉ sử dụng HTTP nên bất kì ai cùng mạng Wi-Fi đều có thể theo dõi các tìm kiếm Google của bạn. Nếu như bạn truy cập vào các trang web khác, ví dụ như Wikipedia thông qua HTTPS, những người cùng mạng cũng không thể biết được bạn đang xem thông tin về chủ đề nào.

Khi nào thì bạn đang kết nối qua HTTPS?

Khi kết nối với máy chủ xác thực qua HTTPS, trình duyệt của bạn sẽ hiện biểu tượng khóa ngay bên cạnh ô địa chỉ. Bạn có thể click vào biểu tượng này để đọc thêm các thông tin về bảo mật. Tất cả các trình duyệt đều sẽ hiện biểu tượng khóa và hiển thị dòng chữ https:// trong ô địa chỉ, thay vì lược bớt phần http:// như khi sử dụng HTTP thông thường.

Vì sao người dùng Internet cần phải hiểu rõ HTTPS?

Bạn phải để ý xem trang web đang sử dụng có dùng HTTPS hay không mỗi khi đăng nhập hoặc cung cấp thông tin thanh toán. Nếu trình duyệt không hiện biểu tượng hình khóa và giao thức HTTPS trong lúc bạn nhập tên tài khoản, mật khẩu, số thẻ tín dụng, mã an toàn…, bạn không nên cung cấp các thông tin này. Nếu cần thiết, hãy liên hệ trực tiếp với đơn vị đang yêu cầu thông tin của bạn để làm rõ.

Hiện nay, hầu hết các trang web uy tín tại Việt Nam và trên thế giới đã chuyển sang sử dụng HTTPS, ví dụ như trang web của các ngân hàng hoặc các trang web bán hàng qua mạng có sử dụng thẻ tín dụng. Tuy vậy, một số trang web lớn vẫn chưa chuyển sang sử dụng HTTPS, và do đó thông tin bạn gửi lên trang web này gần như bị mở (không được mã hóa) với hacker và các đối tượng xấu khác.

Dù không phải là hoàn hảo nhưng HTTPS cũng là một biện pháp chống hình thức lừa đảo giả dạng (phishing). Nếu bạn đang sử dụng một mạng Wi-Fi công cộng (tại quán café, sân bay…) để truy cập vào tài khoản ngân hàng của mình, hãy để ý tìm biểu tượng hình khóa, dòng chữ HTTPS trên ô địa chỉ và địa chỉ chính xác của trang ngân hàng trực tuyến này. Đây là cách hiệu quả nhất để xác thực rằng bạn đang truy cập vào đúng địa chỉ, thay vì vào một trang web lừa đảo, giả dạng khác. Nếu bạn không thấy HTTPS, chắc chắn mạng truy cập của bạn không an toàn.

Tránh bị lừa đảo giả dạng (phishing)

Những kẻ lừa đảo hiện tại đã phát hiện ra rằng chúng không thể giả dạng làm các ngân hàng uy tín thông qua HTTPS được nữa, do đó chúng sẽ tìm cách biện pháp ranh ma hơn.

Ví dụ, kẻ lừa đảo có thể gửi mail có chứa đường dẫn tới địa chỉ web https://nganhanga.com.324924.com. Trên trình duyệt web, biểu tượng hình khóa vẫn sẽ được hiển thị bên cạnh giao thức HTTPS, song thực tế bạn đang truy cập vào một phần (subdomain) có tên "nganhangA.com" của trang web 324924.com chứ không phải là trang web của Ngân Hàng A.

Trong mọi trường hợp, hãy kiểm tra xem địa chỉ bạn đang truy cập có phải là địa chỉ chính xác (nganhangA.com) hay không? Ngân Hàng A có thể được chia làm các tên miền nhỏ như tenmien1.nganhanga.com hoặc tenmien2.tenmien3.nganhanga.com, và do đó bạn cần xác nhận phần cuối cùng của tên miền đang truy cập. Nếu như địa chỉ đang truy cập có phần cuối cùng trước dấu / (dấu xược) đầu tiên chính xác là nganhangA.com và đang hiện biểu tượng khóa HTTPS, bạn có thể an tâm cung cấp các thông tin cần thiết.

Nếu cẩn thận, bạn hãy tránh click vào các đường link được cung cấp qua email, trừ khi địa chỉ gửi đã được xác thực. Bạn cũng có thể truy cập thẳng vào địa chỉ của ngân hàng và tìm đến tính năng cần sử dụng, thay vì click vào các đường link được gửi qua email.

Bài viết liên quan:

Không có nhận xét nào:

Đăng nhận xét