BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - - TIỂU LUẬN KẾT THÚC HỌC PHẦN AN NINH MẠNG THÔNG TIN ĐỀ TÀI: PHÂN TÍCH HOẠT ĐỘNG VÀ TÍNH BẢO MẬT CỦA GIAO THỨC HTTPS Nhóm tiểu luận 16 MỤC LỤC DANH MỤC THUẬT NGỮ DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU MỤC ĐÍCH VÀ PHẠM VI CỦA TIỂU LUẬN NỘI DUNG BÀI TIỂU LUẬN Mã hóa khóa bí mật Mật mã khóa cơng khai 1.1 Mã hóa khóa bí mật 1.2 Mật mã khóa cơng khai Khái niệm chức thông tin SSL Certificate 2.1 Khái niệm SSL Certificate 2.2 Chức SSL Certificate 2.3 Thông tin SSL Certificate Khái niệm vai trò Central Authority 3.1 Khái niệm Central Authority 3.2 Vai trò của Central Authority Phân tích hoạt động giao thức HTTPs 4.1 Khái niệm HTTPs 4.2 HTTPs hoạt động nào? 4.3 Q trình giao tiếp client server thơng qua HTTPS 4.4 Cách triển khai HTTPs website bạn Phân tích bảo mật với HTTPs 17 5.1 Bảo mật với HTTPs 17 5.2 Phương pháp bảo mật sử dụng HTTPs 18 Kết luận 22 TÀI LIỆU THAM KHẢO 23 DANH MỤC THUẬT NGỮ HTTPs SSL CA TLS PKI URL HSTS SNI Hypertext Transfer Protocol Secure Secure Sockets Layer Central Authority Transport Layer Security Public Key Infrastructure Uniform Resource Locator HTTP Strict Transport Security Server Name Indication Giao thức truyền thông Một loại chứng điện tử Nhà cung cấp chứng thực số Giao thức mật mã Hạ tầng khóa cơng khai Một địa web Giao thức bảo mật Chỉ báo tên máy chủ DANH MỤC HÌNH ẢNH Hình Q trình mã hóa khóa bí mật Hình Giao diện đăng nhập tài khoản 10 Hình Phía giao diện DirectAdmin 11 Hình Phía giao diện DirectAdmin 12 Hình Giao diện quản lý SSL 13 Hình Giao diện Paste a pre-generated 14 Hình Giao diện Certificate Authority 15 Hình Phía giao diện DirectAdmin 16 Hình Phía giao diện DirectAdmin 16 Hình 10 Giao diện Domain Setup 17 LỜI MỞ ĐẦU Ngày nay, với phát triển mạnh mẽ Công nghệ Thông tin, việc truy cập website mạng ngày nhiều uy nhiên, số lỗ hổng hệ thống an ninh mạng internet phá vỡ an toàn cần thiết cho thông tin, giao dịch, tài khoản, mật khẩu… khách hàng doanh nghiệp Vì vậy, em định chọn đề tài “Phân tích hoạt động tính bảo mật giao thức HTTPs” làm đề tài tiểu luận cho MỤC ĐÍCH VÀ PHẠM VI CỦA TIỂU LUẬN Mục đích phạm vi tiểu luận em phân tích trình bày kiến thức tổng quan cách thức hoạt động tính bảo mật giao thức HTTPs Để hiểu rõ hoạt động giao thức HTTPS trước tiên em phân tích rõ khái niệm vấn đề sau: • Mã hóa khóa bí mật Mật mã khóa cơng khai • Các chức chứng SSL (một loại chứng điện tử) thông tin chứa • Vai trị Central Authority (CA) NỘI DUNG BÀI TIỂU LUẬN Mã hóa khóa bí mật Mật mã khóa cơng khai 1.1 Mã hóa khóa bí mật Mã hóa khóa bí mật tiếng Anh gọi là: Private key Mã hóa khóa bí mật, cịn gọi mã hóa đối xứng hay mã hóa khóa riêng, sử dụng khóa cho q trình mã hóa (được thực người gửi thơng tin) trình giải mã (được thực người nhận) Q trình mã hóa khóa bí mật thực sau: Một khách hàng (Anne) muốn gửi tới người bán hàng (Bob) đơn đặt hàng, muốn Bob đọc Anne mã hóa đơn đặt hàng (dưới dạng văn gốc) mã khóa gửi đơn đặt hàng mã hóa cho Bob Hình Q trình mã hóa khóa bí mật 1.2 Mật mã khóa cơng khai Mật mã khóa cơng khai, cịn gọi mật mã bất đối xứng, hệ thống sử dụng cặp khóa để mã hóa xác thực thơng tin Một khóa cặp khóa cơng khai, có thể, tên cho thấy, phân phối rộng rãi mà không ảnh hưởng đến bảo mật Khóa thứ hai cặp khóa riêng chủ sở hữu biết Trong mật mã đối xứng, tất khóa riêng tư, yêu cầu kênh an tồn để truyền khóa bảo mật tất bên tất khóa Cả hai u cầu tỏ khó bảo trì Mặt khác, mật mã bất đối xứng, khóa cơng khai phân phối tự Phân phối cơng khai cho phép liên lạc mã hóa, xác thực bên chưa gặp trao đổi thơng tin trước Khái niệm chức thông tin SSL Certificate 2.1 Khái niệm SSL Certificate SSL viết tắt từ Secure Sockets Layer SSL tiêu chuẩn công nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư toàn vẹn SSL đảm bảo tất liệu truyền máy chủ web trình duyệt mang tính riêng tư, tách rời 2.2 Chức SSL Certificate • Xác thực website, giao dịch • Nâng cao hình ảnh, thương hiệu uy tín doanh nghiệp • Bảo mật giao dịch khách hàng doanh nghiệp, dịch vụ truy nhập hệ thống • Bảo mật webmail ứng dụng Outlook Web Access, Exchange, Office Communication Server • Bảo mật ứng dụng ảo hó Citrix Delivery Platform ứng dụng điện toán đám mây • Bảo mật dịch vụ FTP • Bảo mật truy cập control panel • Bảo mật dịch vụ truyền liệu mạng nội bộ, file sharing, extranet • Bảo mật VPN Access Servers, Citrix Access Gateway 2.3 Thông tin SSL Certificate • Thơng tin chủ sở hữu certificate (có thể tổ chức, tên cá nhân tên miền website) • Thơng tin digital signature CA mà cấp certificate • Khoảng thời gian mà certificate cịn hiệu lực • Public key website Cịn private key khơng có certificate mà lưu trữ server tuyệt đối khơng để lộ cho client • Một số thông tin phụ khác như: loại SSL certificate, thuật tốn dùng để encryption hashing, chiều dài (tính bit) key, chế trao đổi key (như RSA, DSA) • v.v… Khái niệm vai trị Central Authority 3.1 Khái niệm Central Authority Certificate Authority (CA) gọi tổ chức phát hành chứng thực loại chứng thư số cho người dùng, doanh nghiệp, server (máy chủ), mã nguồn phần mềm Nhà cung cấp chứng số đóng vai trị bên thứ (được bên tin tưởng) để hỗ trợ cho q trình trao đổi thơng tin an tồn 3.2 Vai trị của Central Authority • Cơ quan cấp chứng CA đóng vai trị quan trọng việc khởi tạo chứng số SSL • Nhà cung cấp chứng số có nghĩa vụ tiến hành xác nhận kỹ tổ chức yêu cầu chứng • Certificate Authority xác minh quyền sở hữu domain người nộp đơn cấp chứng cho người sử dụng • Trong trường hợp xác thực tổ chức xác thức mở rộng quan cấp chứng số xác minh tài liệu đăng ký kinh doanh từ nhiều nguồn phủ nguồn khác • Certificate Authority phải đảm bảo chứng SSL cấp cho thực thể hợp pháp Vì vậy, quan cấp chứng phải thực thi tốt theo quy trình xác thực nghiêm ngặt xác để đảm bảo không cung cấp nhầm sai cho tổ chức Phân tích hoạt động giao thức HTTPs 4.1 Khái niệm HTTPs Giao thức truyền siêu văn Secure (HTTPS) phiên bảo mật HTTP, giao thức mà liệu gửi trình duyệt bạn trang web mà bạn kết nối Chữ 'S' cuối HTTPS viết tắt 'Secure' Nó có nghĩa tất thơng tin liên lạc trình duyệt bạn trang web mã hóa HTTPS thường sử dụng để bảo vệ giao dịch trực tuyến có tính bảo mật cao ngân hàng trực tuyến mẫu đơn đặt hàng mua sắm trực tuyến Các trình duyệt web Internet Explorer, Firefox Chrome hiển thị biểu tượng ổ khóa địa biết trực quan kết nối HTTPS có hiệu lực Giao thức HTTPS sử dụng port 443, giúp đảm bảo tính chất sau thơng tin: • Confidentiality: sử dụng phương thức encryption để đảm bảo thông điệp trao đổi client server không bị kẻ thứ ba đọc • Integrity: sử dụng phương thức hashing để client server tin tưởng thơng điệp mà chúng nhận có khơng bị mát hay chỉnh sửa • Authenticity: sử dụng digital certificate để giúp client tin tưởng server/website mà họ truy cập thực server/website mà họ mong muốn vào, bị giả mạo Việc nhờ đến bên thứ (thường CA) để xác thực danh tính website cộng thêm ý người dùng website có sử dụng HTTPS SSL certificate cịn hiệu lực giúp loại bỏ hoàn toàn nguy bị desktop phishing 4.2 HTTPs hoạt động nào? Các trang HTTPS thường sử dụng hai giao thức bảo mật để mã hóa thơng tin liên lạc - SSL (Lớp cổng bảo mật) TLS (Bảo mật lớp truyền tải) Cả giao thức TLS SSL sử dụng hệ thống gọi hệ thống Cơ sở hạ tầng khóa cơng khai (PKI) 'bất đối xứng' Một hệ thống khơng đối xứng sử dụng hai 'khóa' để mã hóa thơng tin liên lạc, khóa "cơng khai" khóa "riêng tư" Mọi thứ mã hóa khóa cơng khai giải mã khóa riêng ngược lại Trong trường hợp trang web, khóa cá nhân bảo mật an tồn máy chủ web Ngược lại, khóa cơng khai thiết kế để phân phối cho người cần có khả giải mã thơng tin mã hóa khóa riêng tư Với HTTPS, thông tin bảo mật thông qua giao thức Bảo mật tầng truyền tải (TLS), cung cấp ba lớp bảo vệ chính: • Mã hóa - mã hóa liệu trao đổi để giữ an tồn cho liệu khỏi kẻ nghe trộm Điều có nghĩa người dùng duyệt trang web, khơng "nghe" trò chuyện họ, theo dõi hoạt động họ nhiều trang lấy cắp thông tin họ • Tính tồn vẹn liệu - liệu bị sửa đổi bị hỏng trình truyền, cố ý theo cách khác, mà khơng bị phát • Xác thực - chứng minh người dùng bạn giao tiếp với trang web dự định Nó bảo vệ chống lại cơng kẻ trung gian xây dựng lòng tin người dùng, điều chuyển thành lợi ích kinh doanh khác 4.3 Quá trình giao tiếp client server thông qua HTTPS B1 Client gửi request cho secure page (có URL bắt đầu với https://) B2 Server gửi lại cho client certificate B3 Client (web browser) tiến hành xác thực certificate cách kiểm tra (verify) tính hợp lệ chữ ký số CA kèm theo certificate Giả sử certificate xác thực hạn sử dụng client cố tình truy cập Web browser cảnh báo tin cậy certificate (do dạng self-signed SSL certificate certificate hết hiệu lực, thơng tin certificate khơng đúng) xảy bước sau B4 Client tự tạo ngẫu nhiên symmetric encryption key (hay session key), sử dụng public key (lấy certificate) để mã hóa session key gửi cho server B5 Server sử dụng private key (tương ứng với public key certificate trên) để giải mã session key B6 Sau đó, server client sử dụng session key để mã hóa/giải mã thơng điệp suốt phiên truyền thông Và tất nhiên, session key tạo ngẫu nhiên khác phiên làm việc với server Ngồi encryption chế hashing sử dụng để đảm bảo tính Integrity cho thông điệp trao đổi 4.4 Cách triển khai HTTPs website bạn 4.4.1 Cần chuẩn bị trước cấu hình SSL (HTTPs) cho website bạn: • Tài khoản hosting web bạn • Đăng ký (mua) tài khoản SSL sau đăng phải đảm bỏ có đủ file sau: - "domain".key - "domain".crt - "domain".ca-bundle Có trường khơng tách riêng file mà nằm file có txt "domain".crt chứa đoạn mã tương ứng Để phân biệt nhận biết đoạn mã bạn mở file Notepad thấy đoạn mã có khởi đầu bằng: -BEGIN PRIVATE KEY - kết thúc - END PRIVATE KEY - tương ứng "domain".key -BEGIN CERTIFICATE - kết thúc -END CERTIFICATE - tương ứng "domain".crt -BEGIN CERTIFICATE REQUEST - kết thúc -END CERTIFICATE REQUEST - tương ứng "domain".ca-bundle (có trường hợp khơng cần file cấu hình được) 4.4.2 Bắt đầu thực theo bước sau theo tài khoản hosting "DirectAdmin" Bước 1: Đăng nhập hostting web tương ứng Hình Giao diện đăng nhập tài khoản Bước 2: Chọn " User Level " 10 Hình Phía giao diện DirectAdmin Bước 3: Chọn " SSL Certificates " 11 Hình Phía giao diện DirectAdmin Bước 4: Chọn "Create your own self signed certificate" điền thông tin cơng ty tương ứng 12 Hình Giao diện quản lý SSL Bước 5: Chọn " Paste a pre-generated certificate and key " Pass mã file "domain".key sau Pass thêm mã file "domain".crt bên bấm " Save " 13 Nhóm tiểu luận 16 Hình Giao diện Paste a pre-generated Bước 6: Quay lại quản lý SSL Certificates nhấn vào “Click here to paste a Root CA Certificate “nhớ check chọn “ Use a CA Cert “ Copy mã file “domain”.cabundle Pass vào chọn “ Save “ lại 14 Nhóm tiểu luận 16 Hình Giao diện Certificate Authority Bước 7: Chọn biểu tưởng " HOME " để trở lại trang chủ 15 Nhóm tiểu luận 16 Hình Phía giao diện DirectAdmin Bước 8: Chọn " Domain Setup " Hình Phía giao diện DirectAdmin Bước cuối cùng: Chọn Domain bạn để vào mục cài đặt Domain Chọn Secure SSL nhấp Save 16 Nhóm tiểu luận 16 Chọn Use a symbolic link from private_html to public_html - allows for same data in http and https nhấp Save Hình 10 Giao diện Domain Setup Hồn thành việc cài đặt sử dụng SSL DirectAdmin Phân tích bảo mật với HTTPs 5.1 Bảo mật với HTTPs Tính bảo mật HTTPS TLS bên dưới, thường sử dụng khóa cơng khai khóa riêng dài hạn để tạo khóa phiên ngắn hạn, khóa sau sử dụng để mã hóa luồng liệu máy khách máy chủ Chứng X.509 sử dụng để xác thực máy chủ (và máy khách) Do đó, quan cấp chứng chứng khóa cơng khai cần thiết để xác minh mối quan hệ chứng chủ sở hữu nó, để tạo, ký quản lý hiệu lực chứng Mặc dù điều có lợi việc xác minh danh tính thơng qua trang web tin cậy, tiết lộ giám sát hàng loạt năm 2013 thu hút ý quan cấp chứng điểm yếu tiềm ẩn cho phép cơng kẻ trung gian 17 Nhóm tiểu luận 16 Một thuộc tính quan trọng bối cảnh tính bí mật phía trước, đảm bảo thơng tin liên lạc mã hóa ghi lại khứ truy xuất giải mã khóa bí mật lâu dài mật bị xâm phạm tương lai Không phải tất máy chủ web cung cấp bí mật chuyển tiếp Để HTTPS có hiệu quả, trang web phải lưu trữ hoàn toàn qua HTTPS Nếu số nội dung trang web tải qua HTTP (ví dụ: tập lệnh hình ảnh) trang định chứa thông tin nhạy cảm, chẳng hạn trang đăng nhập, tải qua HTTPS phần lại trang web tải qua HTTP đơn giản, người dùng dễ bị công giám sát Ngoài ra, cookie trang web phân phát thơng qua HTTPS phải bật thuộc tính bảo mật Trên trang web có thơng tin nhạy cảm đó, người dùng phiên bị hiển thị trang web truy cập HTTP thay HTTPS 5.2 Phương pháp bảo mật sử dụng HTTPs 5.2.1 Dùng chứng bảo mật mạnh Bạn phải lấy chứng bảo mật bật HTTPS cho trang web bạn Chứng cấp tổ chức phát hành chứng (CA), trình vài bước để xác minh địa web bạn thực thuộc tổ chức bạn, qua bảo vệ khách hàng bạn khỏi công xen Khi thiết lập chứng bạn, đảm bảo mức độ bảo mật cao cách chọn khóa 2048-bit Nếu bạn có chứng với khóa yếu (1024bit), nâng cấp lên 2048 bit Khi chọn chứng cho trang web bạn, ghi nhớ số điều sau: • Lấy chứng từ tổ chức phát hành chứng (CA) đáng tin cậy có cung cấp hỗ trợ kỹ thuật • Xác định loại chứng bạn cần: - Một chứng cho địa gốc bảo mật (ví dụ: www.example.com) - Chứng nhiều tên miền cho nhiều địa gốc bảo mật phổ biến (ví dụ: www.example.com, cdn.example.com, example.co.uk) - Chứng ký tự đại diện cho địa gốc bảo mật có nhiều miền động (ví dụ: a.example.com, b.example.com) 5.2.2 Xác minh Google thu thập liệu lập mục trang HTTPS bạn • Đừng dùng tệp robots.txt để chặn trang HTTPS • Đừng đưa thẻ noindex vào trang HTTPS • Dùng Cơng cụ kiểm tra URL để kiểm tra xem Googlebot truy cập vào trang bạn hay khơng 18 Nhóm tiểu luận 16 5.2.3 Hỗ trợ HSTS HSTS (HTTP Strict Transport Security) giao thức bảo mật yêu cầu tất kết nối tới website phải mã hóa giao thức HTTPS HSTS hệ thống dựa thời gian, nghĩa khoảng thời gian bạn thiết lập max-age (tính giây) đảm bảo trang web bạn phục vụ qua giao thức HTTPS Khi trình duyệt tương tác với máy chủ web bật HSTS, chế tải trước tìm header đặc biệt nói trình duyệt nên sử dụng giao thức HTTPS để kết nối với server Các trang web HTTPS nên hỗ trợ HSTS (Bảo mật truyền tải nghiêm ngặt HTTP) HSTS cho trình duyệt biết phải tự động yêu cầu trang HTTPS, người dùng nhập HTTP địa trình duyệt HSTS yêu cầu Google phân phối URL bảo mật kết tìm kiếm Thiết lập hỗ trợ Chrome, Firefox, Safari, Internet Explorer, Edge Opera Ben McIlwain, kỹ sư phần mềm Google Registry, cho rằng “việc sử dụng HSTS giúp đảm bảo an toàn mặc định cho kết nối” Để hỗ trợ HSTS, dùng máy chủ web có hỗ trợ HSTS bật chức HSTS giao thức an toàn lại khiến chiến lược khôi phục bạn trở nên phức tạp Chúng ta nên bật HSTS theo cách sau: B1 Trước tiên, triển khai trang HTTPS mà không sử dụng HSTS B2 Bắt đầu gửi tiêu đề HSTS với mã max-age ngắn Theo dõi lưu lượng truy cập bạn từ người dùng ứng dụng khác, đồng thời theo dõi hiệu suất phần phụ thuộc (chẳng hạn quảng cáo) B3 Từ từ tăng max-age cho HSTS B4 Trong trường hợp HSTS không ảnh hưởng tiêu cực đến người dùng cơng cụ tìm kiếm, muốn, bạn yêu cầu thêm trang web vào danh sách tải trước HSTS mà hầu hết trình duyệt lớn sử dụng 5.2.4 Tránh lỗi thường gặp Trong trình bảo mật trang web bạn với TLS, tránh sai lầm sau: Vấn đề Hành động Chứng hết hạn Đảm bảo chứng bạn cập nhật 19 Nhóm tiểu luận 16 Chứng đăng ký với tên trang web Kiểm tra xem bạn lấy chứng cho tất khơng xác tên máy chủ mà trang web bạn phân phát hay chưa Ví dụ: chứng bạn bao gồm www.example.com, khách truy cập tải trang web bạn sử dụng example.com (khơng có tiền tố "www.") bị chặn lỗi không khớp tên chứng Thiếu hỗ trợ Chỉ báo tên máy chủ (SNI) Đảm bảo máy chủ web bạn hỗ trợ SNI đối tượng bạn sử dụng trình duyệt hỗ trợ, nói chung Mặc dù SNI hỗ trợ tất trình duyệt đại, bạn cần IP riêng bạn cần hỗ trợ trình duyệt cũ Vấn đề trình thu thập liệu Đừng dùng robots.txt để chặn trình thu thập liệu trang web HTTPS bạn Vấn đề q trình lập mục Cho phép cơng cụ tìm kiếm lập mục trang bạn Tránh dùng thẻ noindex Phiên giao thức cũ Phiên giao thức cũ có nhiều lỗ hổng; đảm bảo bạn có phiên cập nhật thư viện TLS triển khai phiên giao thức Phần tử bảo mật hỗn hợp Chỉ nhúng nội dung HTTPS trang HTTPS Các nội dung khác HTTP Đảm bảo nội dung trang web HTTPS HTTP HTTPS bạn giống Lỗi Mã trạng thái HTTP HTTPS Kiểm tra xem trang web bạn có trả mã trạng thái HTTP thích hợp hay khơng Ví dụ: 200 OK trang truy cập, 404 410 trang không tồn 5.2.5 Tránh nội dung hỗn hợp Khi lưu trữ ứng dụng qua HTTPS, khơng thể có nội dung hỗn hợp; nghĩa là, tất nội dung trang phải tìm nạp qua HTTPS Người ta thường thấy hỗ trợ HTTPS phần trang web, trang tìm nạp qua HTTPS số tất phần tử phương tiện, biểu định kiểu JavaScript trang tìm nạp qua HTTP 20 Nhóm tiểu luận 16 Điều khơng an tồn tải trang bảo vệ chống lại cơng mạng chủ động thụ động, khơng có tài ngun khác Nếu trang tải số mã JavaScript CSS qua HTTP, kẻ cơng cung cấp tệp mã độc, sai chiếm lấy DOM trang tải Sau đó, người dùng quay lại tình trạng khơng có bảo mật Đây lý tất trình duyệt thống cảnh báo người dùng trang tải nội dung hỗn hợp Cũng khơng an tồn tham chiếu hình ảnh qua HTTP: Điều xảy kẻ cơng hốn đổi biểu tượng Lưu tin nhắn Xóa tin nhắn ứng dụng email web? Bạn phải cung cấp toàn miền ứng dụng qua HTTPS Chuyển hướng yêu cầu HTTP với phản hồi HTTP 301 302 đến tài nguyên HTTPS tương đương Một số nhà điều hành trang web cung cấp trang đăng nhập qua HTTPS, lý thuyết mật người dùng nhạy cảm Người dùng trang web dễ bị công thụ động chủ động Thật không may, ngày nhiều trang tải nội dung từ trang bên CDN không hỗ trợ HTTPS Nếu cung cấp tài nguyên từ máy chủ lưu trữ riêng bạn máy chủ khác hỗ trợ HTTPS, bạn nên thúc giục trang web khác bắt đầu hỗ trợ HTTPS 5.2.6 Bảo mật Cookie Các nhà điều hành trang web phải phân chia cookie nhạy cảm (chẳng hạn cookie sử dụng để xác thực người dùng) đến nguồn gốc an toàn Nếu cookie có phạm vi rộng (với thuộc tính Domain tiêu đề Set-Cookie:), cookie "rị rỉ" sang máy chủ ứng dụng khác miền - máy chủ ứng dụng có khả an toàn Tương tự, ứng dụng phải đặt thuộc tính Secure cookie đặt Thuộc tính hướng dẫn trình duyệt gửi cookie qua truyền tải an toàn (HTTPS) 5.2.7 Chọn giao thức mạnh mật mã Dưới danh sách ngắn gọn đề xuất để chọn giao thức an toàn mật mã triển khai SSL: • Tắt hỗ trợ SSLv2, SSLv3 TLS 1.0 • Hỗ trợ TLS 1.1 1.2 • Vơ hiệu hóa trang web mã hóa NULL, aNULL eNULL, khơng cung cấp mã hóa xác thực • Sử dụng khóa riêng phải an tồn khóa RSA 2048-bit • Ưu tiên trang web mật mã bao gồm trao đổi khóa Diffie-Hellman tạm thời Những điều cung cấp thuộc tính quan trọng Perfect Forward Secrecy, giúp 21 Nhóm tiểu luận 16 • • • • • ngăn chặn việc giải mã lưu lượng truy cập web khứ khóa cá nhân SSL bạn bị xâm phạm tương lai Vô hiệu hóa trang web có kích thước khóa nhỏ 128bit để mã hóa Vơ hiệu hóa trang web sử dụng MD5 để băm SHA-1 không khuyến khích u cầu để tương thích với TLS 1.0 SSLv3 Vơ hiệu hóa trang web sử dụng RC4 để mã hóa AES-CBC thích hợp RC4 dễ bị công BEAST Do đó, AES-GCM thường khuyến nghị Tắt tính nén TLS để ngăn chặn công CRIME Chỉ hỗ trợ thương lượng lại TLS an toàn tuân thủ RFC 5746 vơ hiệu hóa hồn tồn thương lượng lại TLS Một cơng cụ hữu ích để kiểm tra điểm yếu tiếng triển khai HTTPS có Kiểm tra máy chủ SSL Qualys Ngoài ra, kiểm tra Cấu hình TLS đề xuất Trình tạo cấu hình Mozilla để trợ giúp chọn cấu hình mạnh cho nhu cầu bạn Kết luận HTTPS giao thức phổ biến Internet cần thiết để đảm bảo an toàn, tin cậy cho mơi trường Web Tuy nhiên, có cách thức mà attacker sử dụng để “qua mặt” chế bảo vệ HTTPS (như SSLStrip) Để kết thúc viết để khái niệm liên quan tới HTTPS trở nên gần gũi dễ hiểu với người, tình thực tế: CMND người A Cơng an địa phương B cấp Người A muốn thực giao dịch quan trọng với tổ chức C chẳng hạn Và giả sử CMND A thứ mà C dựa vào để tin tưởng thông tin A khn mặt, tên, tuổi, nơi ở… Vì C thấy CMND bị làm giả để thông tin A ghi CMND xác cách tốt C đem CMND A đến nhờ bên B xác thực giùm Như vậy, coi: Bên A website Bên B CA CMND A SSL Certificate B cấp Bên C Web client 22 Nhóm tiểu luận 16 TÀI LIỆU THAM KHẢO Advanced Guide to SEO (n.d.) Bảo mật trang web HTTPS Retrieved from https://developers.google.com/search/docs/advanced/security/https?hl=vi Inc., G S (2015, 1) Bảo mật trang web bạn HTTPS Retrieved from https://web.archive.org/web/20150301023624/https://support.google.com/webmas ters/answer/6073543?hl=en Kiến thức kinh tế (2019, 10 8) Mã hóa khóa bí mật (Private key) gì? Retrieved from https://vietnambiz.vn/ma-hoa-khoa-bi-mat-private-key-la-gi20191008131606546.htm manthang (2010, 10 30) DESKTOP PHISHING – NGHỆ THUẬT PHISHING MỚI! Retrieved from https://manthang.wordpress.com/2010/10/30/desktop-phishingnghe-thuat-phishing-moi/ manthang (2011, 23) PHÂN TÍCH HOẠT ĐỘNG CỦA GIAO THỨC HTTPS Retrieved from https://manthang.wordpress.com/2011/08/23/phan-tich-hoat-dongcua-giao-thuc-https/ Pagano, E (2019, 11 25) Mật mã khóa cơng khai gì? Retrieved from https://www.ssl.com/vi/faqs/m%E1%BA%ADt-m%C3%A3-kh%C3%B3ac%C3%B4ng-khai-l%C3%A0-g%C3%AC/ quantrihethong (2019, 10 19) Chứng số SSL gì? Retrieved from https://viettelidc.com.vn/tin-tuc/chung-chi-so-ssl-la-gi Thanh, T D (2019, 11 27) Certificate Authority gì? Vai trị tầm quan trọng CA Retrieved from https://bkhost.vn/posts/certificate-authority-la-gi thietkeweb (2018, 18) Hướng dẫn tự cấu hình SSL ( HTTPS ) cho website Retrieved from https://thietkeweb.ai/huong-dan-tu-cau-hinh-ssl-https-cho-website.html Tùng, H (2017, 10 12) Cơ chế bảo mật HSTS gì? HSTS hoạt động nào? Retrieved from https://ssl.vn/co-che-bao-mat-hsts-la-gi-hsts-hoat-dong-nhu-thenao.html wiwikipedia (n.d.) HTTPS Retrieved from https://vi.wikipedia.org/wiki/HTTPS#cite_note-deployhttpscorrectly3-27 23 Nhóm tiểu luận 16 Zhu, C P (2017, 9) Cách triển khai HTTPS cách Retrieved from https://web.archive.org/web/20181010233702/https://www.eff.org/httpseverywhere/deploying-https 24 Nhóm tiểu luận 16 ... đích phạm vi tiểu luận em phân tích trình bày kiến thức tổng quan cách thức hoạt động tính bảo mật giao thức HTTPs Để hiểu rõ hoạt động giao thức HTTPS trước tiên em phân tích rõ khái niệm vấn đề... ngặt xác để đảm bảo không cung cấp nhầm sai cho tổ chức Phân tích hoạt động giao thức HTTPs 4.1 Khái niệm HTTPs Giao thức truyền siêu văn Secure (HTTPS) phiên bảo mật HTTP, giao thức mà liệu gửi... trò của Central Authority Phân tích hoạt động giao thức HTTPs 4.1 Khái niệm HTTPs 4.2 HTTPs hoạt động nào? 4.3 Q trình giao tiếp client server thơng qua HTTPS