Secure Sockets Layer (SSL) và cách làm việc

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Secure Sockets Layer (SSL) và cách làm việc
Secure Sockets Layer (SSL) là một trong những công nghệ phổ biến nhất để đảm bảo giao tiếp an toàn giữa người sử dụng website và máy chủ. Hầu hết chúng ta đều quen thuộc với rất nhiều websites như Gmail, Yahoo, ...sử dụng giao thức “https” khi ở các trang đăng nhập. Khi chúng ta sử dụng “https”, chúng ta sẽ thắc mắc đâu là khác biệt giữa “http” và “https” .

Nói1 cách đơn giản, giao thức http là giao thức tiêu chuẩn được sử dụng cho việc giao tiếp giữa máy chủ và máy khách.


Secure Socket Layer vận hành như thế nào?


Trước khi chúng ta hiểu định nghĩa của SSL, chúng ta cần hiểu thế nào là :giao tiếp bảo mật” trước đã. Giả sử có 2 bên giao tiếp với nhau: bên A là máy khách và bên B là máy chủ.


Cách vận hành của http


Khi A gửi 1 tin nhắn cho B, tin nhắn sẽ ở dạng text đơn giản và không được mã hóa. Điều này là bình thường trong những trường hợp mà các tin nhắn không phải dạng bí mật. Tuy nhiên, giả sử nếu A gửi một mật khẩu cho B thì mật khẩu này cũng ở dạng text đơn giản. Đây sẽ là một vấn đề an ninh mạng nguy hiểm bởi vì hacker có thể tiếp cận vào giao tiếp đang diễn ra giữa A và B mà không được phép, hacker có thể dễ dàng có được mật khẩu vì chúng ở dạng không được mã hóa. Tình huống này được minh họa bằng sơ đồ dưới đây:


1490892964http1.jpg



Chúng ta sẽ cùng xem https hoạt động thế nào:


Khi A gửi 1 mật khẩu cho B, tin nhắn đó sẽ ở dạng mã hóa. Tin nhắn mã hóa này có thể được giải mã bởi B.Do đó, nều Hacker cố gắng tiếp cận việc giao tiếp đang diễn ra giữa A và B và anh ta có thể tiếp cận được một mật khẩu được mã hóa ("xz54p6kd" mà không phải là mật khẩu ở dạng clear text như ban đầu. Tình huống này được minh họa bằng sơ đồ dưới đây:



1490892964https1.jpg



Https được thực thi thế nào?


Https được thực thi bằng việc sử dụng Secure Socket Layer (SSL). Một website có thể dung https bằng cách mua 1 chứng chỉ SSL. Công nghệ SSL bảo vệ một websie và dễ dàng làm người truy cập website tin tưởng nó. Nó được sử dụng như sau:

  • Một chứng chỉ SSL cho phép mã hóa những thông tin nhạy cảm trong các giao dịch trực tuyến
  • Mỗi SSL bao gồm thông tin duy nhất và được xác nhận về ngườisở hữu chứng chỉ.
  • Một cơ quan chứng chỉ xác minh danh tính của người sử dụng chứng chỉ khi nó được sử dụng

Việc mã hóa được thực hiện thế nào?



Định nghĩa đầy đủ về Secure Sockets Layer được thực hiện dựa trên thuật toán RSA với mỗi chứng chỉ SSL bao gồm một Public keyPrivate key. Public key được sử dụng để mã hóa thông tin và Private key được sử dụng để giải mã nó. Khi trình duyệt của bạn kết nối tới khu vực bảo mật, máy chủ gửi một Public key đến một trình duyệt để thực hiện mã hóa. Nội dung này được giải mã bởi máy chủ sử dung Private key (Secret key).


Cách xác định một kết nối bảo mật



Ở Internet explorer và các trình duyệt phổ biến nhất như Firefox hay Google Chrome, bạn sẽ thấy một biểu tượng khóa ở thanh Trạng thái bảo mật. Thanh trạng thải bảo mật được đặt ở phía bên phải của thanh địa chỉ. Bạn có thể click vào khóa để thấy tên của trang web.


Ở những trình duyệt bảo mật cao, tên tổ chức rất dễ nhìn thấy và thanh địa chỉ chuyển sang màu xanh khi một Extanded Validation SSL được phát hiện. Nếu thông tin không khớp hay chứng chỉ bị hết hạn, trình duyệt sẽ hiện ra một tin nhắn báo lỗi hay cảnh báo và Thanh trạng thái sẽ chuyển sang màu đỏ. Do đó, điểm cuối cùng mình muốn nói là, bất cứ khi nào bạn thực hiện một giao dịch online như thanh toán bằng thẻ tín dụng, phần login của ngân hàng hay email luôn luôn đảm bảo rằng bạn có một giao dịch bảo mật. Một giao dịch bảo mật là điều kiện bắt buộc trong những tình huống như vậy. Nếu không sẽ có những rủi ro bị tấn công nặc danh bằng sử dụng trang đăng nhập giả.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Re: Secure Sockets Layer (SSL) và cách làm việc

Thank bạn
Mình có đọc bài viết về phương pháp mã hóa mật khẩu của bạn. Vậy khi trình duyệt nhận được public key, nó có sử dụng các phương pháp mã hóa đã nêu ở bài viết trên, để mã hóa mật khẩu hay không?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Re: Secure Sockets Layer (SSL) và cách làm việc

nktung;9754 đã viết:
Thank bạn
Mình có đọc bài viết về phương pháp mã hóa mật khẩu của bạn. Vậy khi trình duyệt nhận được public key, nó có sử dụng các phương pháp mã hóa đã nêu ở bài viết trên, để mã hóa mật khẩu hay không?
SSL là gì ?
Khái niệm: SSL là sự kết hợp giữa các yếu tố: xác thực + mã hoa + toàn vẹn dữ liệu.
Toàn bộ dữ liệu trao đổi giữa webserver và client được mã hóa chứ không chỉ riêng mật khẩu.
Bạn có thể xem ví dụ về ssl của gmail.Hình minh họa:
ssl.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên