HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I TIỂU LUẬN MÔN HỌC AN NINH MẠNG THÔNG TIN Đề tài Giao thức HTTPS Giảng viên Nguyễn Thanh Trà Bài thi cuối kỳ môn ANM Giao thức HTTPS 1 BẢNG PHÂ[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I TIỂU LUẬN MÔN HỌC AN NINH MẠNG THÔNG TIN Đề tài : Giao thức HTTPS Giảng viên: Nguyễn Thanh Trà Bài thi cuối kỳ môn ANM Giao thức HTTPS BẢNG PHÂN CHIA CÔNG VIỆC Thành viên Nhiệm vụ chung Nhiệm vụ riêng -Tìm kiếm nguồn tài liệu liên quan đến đề tài Đề cương tiểu luận - Chọn lọc nội dung cho đề tài Hoàn thành Word Ứng dụng HTTPS Cơ sở lý luận Bài thi cuối kỳ môn ANM Giao thức HTTPS MỤC LỤC BẢNG PHÂN CHIA CÔNG VIỆC DANH MỤC HÌNH VẼ DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT CƠ SỞ LÝ LUẬN GIAO THỨC HTTPS Giới thiệu HTTPS 1.1 Lịch sử phát triển 1.2 Tổng quan HTTPS Bảo mật 2.1 Một số giao thức bảo mật 2.1.1 Giao thức bảo mật ngăn cách (tách rời) 2.1.2 Bảo mật đặc tả ứng dụng 10 2.2 Bảo mật HTTPS 10 2.3 Cách mà tin tặc sử dụng để công vào web dùng HTTPS 14 2.4 Biểu web bị tin tặc công 14 So sánh HTTPS với HTTP 15 Ứng dụng 17 4.1 Giới thiệu Apache 17 4.2 Ưu nhược điểm 18 4.3 Phương thức hoạt động 18 4.4 Cài đặt cấu hình 18 KẾT LUẬN 21 TÀI LIỆU THAM KHẢO 22 Bài thi cuối kỳ môn ANM Giao thức HTTPS DANH MỤC HÌNH VẼ Hình 1.2 Mơ hình minh họa sơ lược cách thức hoạt động giao thức HTTPS…8 Hình 2.1.1 Vị trí SSL mơ hình giao thức bảo mật tách rời………………….9 Hình 2.1.2 Bảo mật gắn trục tiếp vào giao thức ứng dụng……………… 10 Hình 2.2.a Mơ tả tính bảo mật giao thức HTTPS truyền liệu… 11 Hình 2.2.b Thiết lập kết nối an tồn SSL…………………………………………12 DANH MỤC BẢNG BIỂU Bảng So sánh HTTPS HTTP……………………………………………… 15 Bài thi cuối kỳ môn ANM Giao thức HTTPS DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn HTTPS HyperText Transfer Protocol Secure Giao thức truyền tải siêu văn an toàn SSL Secure Sockets Layer Khe cắm bảo mật TLS Transport Layer Security Bảo mật tầng truyền tải RFC Request for Comment Đề nghị duyệt thảo bình luận CA Certificate Authorrity Nhà cung cấp chứng thực số URL Uniform Resource Locator Định vị tài nguyên thống TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol IETF Internet Engineering Task Force Nhóm đặc trách kỹ thuật Internet Bài thi cuối kỳ môn ANM Giao thức HTTPS CƠ SỞ LÝ LUẬN Lý chọn đề tài An tồn thơng tin yêu cầu quan trọng việc truyền liệu mạng đặc biệt với giao dịch thương mại điện tử, xác thực mục tiêu trọng tâm website học tập trực tuyến Những hậu rị ri thơng tin gây lớn khó lường hết Ngày nay, dù Việt Nam, nhà quản trị mạng bắt đầu quan tâm tới lĩnh vực này, thực chưa có nhiều nghiên cứu tiến hành chi tiết việc ứng dụng hạn chế Với xu phát triển nay, đường hội nhập với công nghệ thơng tin giới, cần có hiểu biết sâu sắc toàn diện an tồn bảo mật thơng tin Trong tiểu luận nhóm em tìm hiểu giao thức HTTPS Chúng em hy vọng với đề tài đem lại nhìn cụ thể HTTPS bảo mật nó, tầm quan trọng thực tế Mục đích Tìm hiểu giao thức bảo mật ứng dụng giao thức HTTPS dịch vụ triển khai web Đối tượng Nghiên cứu bảo mật HTTPS Phương pháp nghiên cứu Nghiên cứu lý thuyết, thông qua việc đọc tài liệu liên quan, đồng thời dựa kết nghiên cứu trước xây dựng sở đề tài Nội dung tiểu luận gồm phần Phần 1: Tìm hiểu lịch sử phát triển, tổng quan hoạt động giao thức HTTPS Phần 2: Bảo mật: Là kết hợp HTTPS với giao thức SSL/TLS Phần 3: So sánh HTTPS với HTTP; Ưu nhược điểm HTTPS Phần 4: Ứng dụng HTTPS Nhóm em xin gửi lời cảm ơn sâu sắc đến Học viện cơng nghệ bưu viễn thơng giúp chúng em tiếp cận học môn “An ninh mạng truyền thông” thông qua truyền đạt kiến thức quý báu cô Nguyễn Thanh Trà kỳ học vừa qua Tuy nhiên, kiến thức tiếp thu chúng em cịn hạn chế sai sót, mong góp ý để tiểu luận hồn Chúng em xin chân thành cảm ơn cô! Bài thi cuối kỳ môn ANM Giao thức HTTPS GIAO THỨC HTTPS Giới thiệu HTTPS 1.1 Lịch sử phát triển Giao thức HTTP- Giao thức truyền tải siêu văn (là tiền thân HTTPS) Tim Berners-Lee CERN khởi xướng vào năm 1989 Việc phát triển RFC HTTP ban đầu nỗ lực phối hợp Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) World Wide Web Consortium (W3C), với thay đổi sau chuyển sang IETF phụ trách Và đến năm 1990 giao thức HTTP thức đời Tuy nhiên ta kết nối với trang web thơng qua giao thức HTTP liệu gửi/nhận (bao gồm địa IP, thông tin nhập liệu website…) đoạn ký tự văn bình thường, khơng mã hóa Vì mà tính bảo mật cực thấp Hacker sau ăn cắp liệu dễ dàng đọc-hiểu liệu Những tài khoản đăng nhập trang web, thơng tin thẻ tín dụng, thơng tin cá nhân,… dễ dàng bị lộ Vì HTTPS đời để giải vấn đề bảo mật Netscape Communications tạo HTTPS vào năm 1994 cho trình duyệt web Netscape Navigator Ban đầu, HTTPS sử dụng với SSL mã hóa Phiên hành HTTPS thức định RFC 2818 Tháng năm 2000 HTTPS có lịch sử phát triển dài, chí nói sinh thời với Web Nhưng nay, giao thức sử dụng chủ yếu trang web có hoạt động chuyển tiền, trang web ngân hàng cửa hàng trực tuyến Nếu có trang web khác sử dụng HTTPS, họ dùng cho vài tác vụ định mà 1.2 Tổng quan HTTPS HTTPS phiên an toàn HTTP (viết tắt Hyper Text Transfer Protocol Secure - giao thức truyền tải siêu văn bảo mật) Có thể hiểu đơn giản giao thức HTTP bổ sung them tính bảo mật Đây giao thức ứng dụng sử dụng thường xuyên giao thức TCP/IP (gồm nhóm giao thức tảng cho internet) giao thức mà qua liệu gửi trình duyệt trang web bạn kết nối HTTPS giao thức hoạt động dựa TCP , giao mơ hình client – server Để tạo kết nối HTTPS, cần thiết phải có thành phần tham gia sau: Client, Web Server, CA Trong đó: • Client: trình duyệt web Chrome, Firefox… • Web Server: máy chủ chạy Website bạn muốn truy cập, thường Nginx, Apache… • CA: đơn vị cung cấp chứng SSL Bài thi cuối kỳ môn ANM Giao thức HTTPS HTTPS hoạt động tương tự HTTP, nhiên bổ sung thêm chứng bảo mật SSL (Secure Sockets Layer, tầng ổ bảo mật) TLS (Transport Layer Security, bảo mật tầng truyền tải) để mã hóa thơng tin liên lạc Ở thời điểm tiêu chuẩn bảo mật hàng đầu cho hàng triệu trang web tồn giới • SSL (Secure Sockets Layer) : giao thức mã hóa liệu truyền tải từ máy khách đến server Hosting ngược lại thơng qua trình duyệt Tất liệu truyền điều mã hóa • TLS (Transport Layer Security): giao thức giúp bảo mật thông tin truyền giống SSL có cải tiến ❖ Sử dụng HTTPS: Trước hết, muốn sử dụng HTTPS q trình cấu hình Webserver, bạn dễ dàng tự tạo SSL certificate dành riêng cho website gọi self-signed SSL certificate SSL certificate tự cấp mang lại tính bí mật tồn vẹn cho q trình truyền thông server client Nhưng rõ ràng không đạt tính xác thực khơng có bên thứ đáng tin cậy (hay CA) đứng kiểm chứng tính xác thực certificate tự gán Vì vậy, website quan trọng ECommerce, Online Payment, Web Mail,… họ mua SSL certificate từ Trusted Root CA tiếng VeriSign, Thawte, tên tuổi có GoDaddy, DynDNS…Các CA có nhiệm vụ sau: ➢ Cấp phát quản lý SSL certificate cho server/website ➢ Xác thực tồn tính hiệu lực SSL certificate mà Web client gửi tới cho Dưới số thông tin quan trọng chứa SSL certificate mà client xem cách click vào biểu tượng padlock Address Web browser: ➢ Thông tin chủ sở hữu certificate (như tên tổ chức, tên cá nhân domain website…) ➢ Tên chữ kí số CA cấp certificate ➢ Khoảng thời gian mà chứng thư hiệu lực sử dụng ➢ Public key server/website Cịn private key lưu trữ server (khơng có certificate) tuyệt đối khơng thể để lộ cho client ➢ Một số thông tin phụ khác như: loại SSL certificate, thuật tốn dùng để encryption hashing, chiều dài (tính bit) key, chế trao đổi key (như RSA, DSA…) ❖ Quá trình giao tiếp client server thông qua HTTPS Client gửi request cho secure page (có URL bắt đầu với https://) Bài thi cuối kỳ mơn ANM Giao thức HTTPS • Server gửi lại cho client certificate • Client gửi certificate tới CA (mà ghi certificate) để kiểm chứng Giả sử certificate xác thực hạn sử dụng client cố tình truy cập Web browser cảnh báo tin cậy certificate (do dạng self-signed SSL certificate certificate hết hiệu lực, thông tin certificate không đúng…) xảy bước sau • Client tự tạo ngẫu nhiên khóa đối xứng (symmetric encryption key), sử dụng public key (trong certificate) để mã hóa symmetric key gửi cho server • Server sử dụng private key (tương ứng với public key certificate trên) để giải mã symmetric key • Sau đó, server client sử dụng symmetric key để mã hóa/giải mã thông điệp suốt phiên truyền thông Và tất nhiên, symmetric key tạo ngẫu nhiên khác phiên làm việc với server Ngồi encryption chế hashing sử dụng để đảm bảo tính Integrity cho thơng điệp trao đổi HTTPS giao thức phổ biến Internet cần thiết để đảm bảo an tồn cho mơi trường Web Tuy nhiên, có cách thức mà hacker sử dụng để qua mặt chế bảo vệ HTTPS Hình 1.2 Mơ hình minh hoạ sơ lược cách thức hoạt động giao thức HTTPS Bảo mật 2.1 Một số giao thức bảo mật Giao thức SSL/TLS cung cấp bảo mật hiệu cho phiên giao dịch Web, khơng phải phương pháp Kiến trúc mạng dựa tầng giao thức, mồi tầng dựa dịch vụ bên chúng Có nhiều tầng giao thức khác hỗ trợ dịch vụ bảo mật, lại có thuận lợi khó Bài thi cuối kỳ mơn ANM Giao thức HTTPS khăn khác Như thấy, nhà thiết kế SSL chọn phương pháp tạo tầng giao thức hoàn toàn cho việc bảo mật Nó bao gồm dịch vụ bảo mật giao thức ứng dụng thêm chúng vào nhân giao thức mạng Một lựa chọn khác ứng dụng dựa giao thức song song cho vài dịch vụ bảo mật Tất tuỳ chọn đề cập đến việc bảo mật giao dịch Web, giao thức thực tế tồn tuỳ chọn 2.1.1 Giao thức bảo mật ngăn cách (tách rời) Các nhà thiết kế SSL định tạo giao thức ngăn cách cho bảo mật Trong thực tế, họ thêm vào tầng kiến trúc giao thức Internet Hình 2.1.1 Vị trí SSL mơ hình giao thức bảo mật tách rời Bên trái Hình 2.1.1 minh hoạ giao thức cho truyền thông Web Bên Internet Protocol (IP) Giao thức chịu trách nhiệm hỗ trợ định tuyến thông điệp truyền mạng từ nguồn đến đích chúng Transmission Control Protocol (TCP) dựa dịch vụ IP để bảo đảm truyền thông tin tưởng Trên Hypertext Transfer Protocol Bên phải Hình 2.1.1, SSL thêm bảo mật cách thực thi giao thức bảo mật riêng biệt, thêm vào HTTP TCP Làm việc giao thức mới, SSL yêu cầu thay đổi giao thức bên bên Giao diện ứng dụng HTTP với SSL gần giống với TCP khơng có bảo mật Bên cạnh việc yêu cầu thay đổi nhỏ để thi hành được, phương pháp cịn có tiện ích quan trọng khác: cho phép SSL hỗ trợ ứng dụng khác HTTP Mục đích việc phát triển SSL bảo mật Web, SSL sử dụng để thêm vào bảo mật cho ứng dụng Internet khác, bao gồm Net News Transfer Protocol (NNTP) File Transfer Protocol (FTP) Bài thi cuối kỳ môn ANM Giao thức HTTPS 2.1.2 Bảo mật đặc tả ứng dụng Một phương pháp khác thêm trực tiếp vào dịch vụ bảo mật vào giao thức ứng dụng Thực tế, chuẩn HTTP có bao gồm vài thuộc tính bảo mật sơ bộ, nhiên thuộc tính bảo mật khơng cung cấp bảo vệ đầy đủ cho giao dịch thương mại điện tử thực Trong Netscape thiết kế SSL, nhóm nhà thiết kế giao thức khác làm việc thể HTTP biết đến Secure HTTP Hình 2.1.2 minh họa kiến trúc giao thức Chuẩn Secure HTTP xuất IETF giao thức thực nghiệm, vài sản phẩm hỗ trợ chúng Tuy nhiên, chưa ưa chuộng SSL, khó mà tìm thấy Secure HTTP nơi Internet Hình 2.1.2 Bảo mật gắn trực tiếp vào giao thức ứng dụng Một bất lợi việc thêm bảo mật vào ứng dụng cụ thể dịch vụ bảo mật có giá trị ứng dụng Ví dụ, khơng giống SSL, bảo mật cho NNTP, FTP, hay giao thức ứng dụng khác với Secure HTTP Một bất tiện phương pháp cịn liên kết dịch vụ bảo mật cách chặt chẽ với ứng dụng Mỗi giao thức ứng dụng thay đổi, thi hành bảo mật phải quan tâm cẩn thận, chức bảo mật giao thức phải thay đổi thích hợp Một giao thức tách rời SSL cách ly dịch vụ bảo mật từ giao thức ứng dụng, cho phép dịch vụ tập chung vào giải vấn đề riêng cách có hiệu 2.2 Bảo mật HTTPS ❖ Dữ liệu gửi qua HTTPS bảo mật qua giao thức Bảo mật tầng ổ bảo mật (SSL) Bảo mật tầng truyền tải (TLS), gồm có ba lớp bảo vệ chính: ➢ Mã hóa—mã hóa liệu trao đổi để chống nghe Điều nghĩa lúc người dùng duyệt trang web, khơng "nghe" 10 Bài thi cuối kỳ môn ANM Giao thức HTTPS hội thoại họ, theo dõi hoạt động họ nhiều trang hay đánh cắp thông tin họ ➢ Tồn vẹn liệu—khơng thể sửa đổi hay làm hỏng liệu lúc truyền, cho dù cố ý hay theo cách khác, mà không bị phát ➢ Xác thực—chứng minh người dùng bạn giao tiếp với trang web chủ định Giao thức giúp chống lại công xen xây dựng niềm tin nơi người dùng, qua đem lại lợi ích khác mặt kinh doanh Hình 2.2.a: Mơ tả tính bảo mật giao thức HTTPS truyền liệu Với việc sử dụng SSL/TLS, Web site cung cấp khả bảo mật thơng tin Xác thực toàn vẹn liệu đến người dùng SSL/TLS tích hợp sẵn vào trình duyệt Web server Cho phép người sử dụng làm việc với trang Web chế độ an toàn ❖ Phương thức hoạt động SSL: SSL sử dụng gọi Public Key Cryptography hệ thống Public Key Infrastructure (PKI) Hệ thống PKI (key không đối xứng) sử dụng key khác để mã hóa thơng tin: public key private key Bất thứ mã hóa public key giải mã private key tương ứng ngược lại Lưu ý rằng, private key - giống tên nó, nên bảo vệ kỹ truy cập owner mà thơi Với trang web, private key phải giữ an toàn Server Nhưng ngược lại, public key lại cấp phát công khai cho ai, tất người cần để giải mã thơng tin mã hóa trước private key Bây giờ, hiểu cách làm việc cặp public key private key, ta tiếp tục mơ tả q trình hoạt động SSL thông qua bước sau Giả sử bạn truy cập website có sử dụng HTTPS: Nhóm 03 11 Bài thi cuối kỳ môn ANM Giao thức HTTPS ➢ Bước 1: Thiết lập "giao tiếp" an tồn Server Client - cịn gọi Handshake (bắt tay) Quá trình Handshake bắt đầu browsers truy cập trang web thông qua URL Bằng cách request trên, Client khởi tạo kết nối SSL với Server với thông tin phiên kiểu mã hóa Việc Client gửi request khởi tạo kết nối SSL gọi client hello ➢ Bước 2: Bước gọi server hello Sau nhận yêu cầu từ Client, Server trả cho Client SSL certificate với public key Hồn tất trình chào hỏi xã giao ➢ Bước 3: Client nhận liệu từ Server, browser xác minh SSL certificate Những certificate kiểm sốt tổ chức bảo mật (Certificate Authority) Symantec, Comodo, GoDaddy SSL Certificate khối liệu bao gồm nhiều thơng tin server như: • Tên domain • Tên công ty sở hữu • Thời gian certificate cấp • Thời hạn certificate • Public key ➢ Bước 4: Sau xác minh xong, Browser sinh Key - K mã hóa public key nhận từ bước K sử dụng để mã hóa tất liệu truyền tải Client Server ➢ Bước 5: Do trình mã hóa liệu sử dụng PKI (key đối xứng), nên Client cần gửi cho Server khóa K để giải mã gói tin Server dùng private key để giải mã gói tin lấy thơng tin khóa K ➢ Bước 6: Từ đây, thông tin truyền tải Client Server mã hóa khóa K Khóa K độc có hiệu lực thời gian Session tồn Hình 2.2.b Thiết lập kết nối an tồn SSL Nhóm 03 12 Bài thi cuối kỳ môn ANM Giao thức HTTPS ❖ HTTP kết hợp với SSL, TSL sử dụng mã hóa để nhằm tạo nên rào chắn an ninh, bảo mật truyền tải thơng tin: ➢ Mã hóa Đối xứng (symmetric key cryptography) Dữ liệu trao đổi bên mã hóa thống cách giải mã, cho dù attacker có bắt gói tin khơng thể giải mã khơng biết cách mã hóa ➢ Chìa khóa giải mã (key) Key chìa khóa giải mã cho liệu mã hóa gửi qua HTTPS Mã hóa đối xứng bảo mật có người gửi người nhận biết key sử dụng Những có vấn đề bên gửi bên nhận khơng gặp để thống thỏa thuận trước gửi khơng biết key Cịn gửi key packet khác quay lại HTTP làm cho attacker biết key, giải mã đánh cắp giả mạo packet Để giải dùng mã khóa khơng đối xứng ➢ Mã hóa khơng đối xứng (asymmetric key cryptography) Chúng ta tạm gọi bên gửi client bên nhận server Hình thức mã hóa đối xứng diễn sau: Client gửi tin nhắn không chứa liệu khơng mã hóa lên server request Server gửi lại cho client gói tin có chưa public key giữ lại private key server Client gửi yêu cầu/ liệu mã hóa public key mà nhận từ server Server nhận gói tin giải mã private key Vậy thông tin trao đổi client server mà không sợ bị attacker đọc trộm hay sửa đổi attacker khơng có private key ➢ Chứng nhận thẩm quyền(certification authority) Để tránh attacker đánh cắp gói tin có chứa public key mà server gửi cho client gửi gói tin public key giả mạo mà attacker có private key Khi client nhận public key giả mạo khơng biết mà lại mã hóa liệu public key vừa nhận được, sau bước attacker dễ dàng bắt gói tin client gửi cho server giải mã private tương ứng để đọc liệu giử liệu giả mạo đến server sử dụng public key mà bắt server bước trước Khi thơng tin trao đổi bên bị lộ thay đổi Để tránh việc HTTPS dùng chứng thực khóa cơng khai (cịn gọi chứng thực số/ chứng thực điện tử) chứng thực sử dụng chữ kí số để gắn khóa cơng khai với thực thể (cá nhân, máy chủ công ty ) Chứng thực số sử dụng để xác định khóa cơng khai thuộc Nhờ có chứng thực khóa cơng khai mà client biết public key mà nhận có public key server gửi khơng Nhóm 03 13 Bài thi cuối kỳ môn ANM Giao thức HTTPS ➢ Kết hợp Mã hóa đối xứng Mã hóa khơng đối xứng Thay lần trao đổi client server lại phải thực bước trao đổi khóa xác thực khóa, áp dụng mã hóa đối xứng mã hóa khơng đối xứng cách trao đổi xác thực khóa giai đoạn đầu thiết lập kết nối, sau trao đổi thành công, client lưu lại khóa thực cho lần sau mà khơng cần phải trao đổi khóa lại 2.3 Cách mà tin tặc sử dụng để cơng vào web dùng HTTPS ➢ Tấn công man in the middle: hay cịn hiểu tước SSL Tấn cơng kiểu nêu Hội nghị Blackhat năm 2009 Kiểu công đánh bại bảo mật HTTPS cung cấp cách thay đổi liên kết hppts: thành liên kết http: , lợi dụng thực tế người dùng Internet thực nhập "https" vào giao diện trình duyệt họ: họ truy cập vào trang web an toàn cách nhấp vào liên kết bị đánh lừa họ sử dụng HTTPS thực tế họ sử dụng HTTP Sau kẻ cơng giao tiếp với khách hàng Điều thúc đẩy phát triển biện pháp đối phó HTTP gọi HTTP Strict Transport Security ➢ Tấn cơng phân tích lưu lượng: Các cơng phân tích lưu lượng loại cơng kênh phụ dựa biến thể thời gian kích thước lưu lượng truy cập để suy thuộc tính lưu lượng mã hóa Có thể phân tích lưu lượng mã hóa SSL / TLS thay đổi nội dung lưu lượng, có tác động tối thiểu đến quy mô thời gian lưu lượng Các nhà nghiên cứu phát rằng, có sử dụng HTTPS số ứng dụng web hàng đầu, cao cấp lĩnh vực chăm sóc sức khỏe, thuế, đầu tư việc tìm kiếm web, kẻ nghe trộm suy bệnh/thuốc /phẫu thuật/ thu nhập gia đình bí mật đầu tư người dùng 2.4 Biểu web bị tin tặc công Nội dung bị tin tặc công nội dung đưa vào trang web chưa cho phép phát sinh lỗ hổng bảo mật trang web Nội dung bị cơng cung cấp kết tìm kiếm chất lượng cho người dùng cài đặt nội dung độc hại lên máy họ Vì ta nên bảo mật trang web xóa nội dung bị cơng tìm thấy nội dung Một số ví dụ hành vi công bao gồm: ➢ Chèn nội dung: Khi tin tặc chiếm quyền truy cập vào trang web bạn, kẻ cố chèn nội dung độc hại vào trang có trang web bạn Nội dung thường có định dạng JavaScript độc hại chèn trực tiếp vào trang web hay vào iframe Nhóm 03 14 Bài thi cuối kỳ môn ANM Giao thức HTTPS ➢ Thêm nội dung: Đôi khi, lỗ hổng bảo mật, tin tặc thêm trang chứa nội dung vi phạm độc hại vào trang web bạn Những trang thường nhằm mục đích thao túng cơng cụ tìm kiếm Các trang bạn khơng có dấu hiệu bị tin tặc cơng, trang tạo gây hại cho khách truy cập cho hiệu suất bạn kết tìm kiếm ➢ Lệnh chuyển hướng: Tin tặc chèn mã độc hại vào trang web bạn để chuyển hướng số người dùng đến trang vi phạm hay độc hại Loại lệnh chuyển hướng phụ thuộc vào đường liên kết giới thiệu, tác nhân người dùng thiết bị Ví dụ: thao tác nhấp vào URL kết tìm kiếm Google chuyển hướng bạn đến trang đáng ngờ, khơng có lệnh chuyển hướng bạn trực tiếp truy cập vào URL qua trình duyệt So sánh HTTPS với HTTP HTTP Sử dụng Giao thức sử dụng với trang web không cần bảo mật HTTPS Giao thức sử dụng với trang web cần thiết để an toàn đáng tin cậy trình chuyển đổi Nơi sử dụng HTTP sử dụng với HTTPS sử dụng với trang blog, trang web trang web mua sắm, trang web ngân thông tin,v.v hàng, … Mã hóa HTTP khơng sử dụng mã HTTPS sử dụng mã hóa hóa nên an tồn để chuyển đổi để đảm bảo an toàn Chứng nhận Không cần chứng nhận Cổng sử dụng HTTP sử dụng cổng số 80 HTTPS sử dụng cổng số 443 URL URL HTTP bắt đầu URL HTTPS bắt đầu “https://” http:// Nhóm 03 15 Cần chứng nhận Bài thi cuối kỳ môn ANM Giao thức HTTPS Hoạt động Hoạt động Application Hoạt động “Transprort Layer mơ hình OSI Layer” mơ hình OSI Chu trình hoạt động Trình duyệt mở kết nối TCP, sau gửi yêu cầu HTTP đến máy chủ, máy chủ phản hồi thơng qua HTTP đến trình duyệt sau kết nối TCP bị đóng Đầu tiên xác thực thực sau lựa chọn mật mã thuật toán mật mã mà khách hàng máy chủ hỗ trợ sau kỹ thuật mã hóa sử dụng sau tạo kết nối SSL mã hóa sa yêu cầu HTTP làm việc để tiếp tục Bảng So sánh HTTPS HTTP Ưu, nhược điểm HTTPS: ➢ Ưu điểm: • HTTPS bảo mật thơng tin người dùng: người dùng máy chủ hồn tồn tin tưởng thông điệp chuyển giao qua trạng thái nguyên vẹn, không qua chỉnh sửa, sai lệch so với liệu đầu vào • Tránh lừa đảo website giả mạo: Trên thực tế, server giả dạng server bạn để lấy thông tin từ người dùng, lừa đảo hình thức Phishing Với giao thức HTTPS, trước liệu máy khách máy chủ mã hóa để tiếp tục trao đổi, trình duyệt máy khách yêu cầu kiểm tra chứng SSL từ máy chủ, đảm bảo rằng người dùng giao tiếp với đối tượng mà họ muốn Chứng SSL/TSL HTTPS giúp xác minh website thức doanh nghiệp khơng phải website giả mạo • Tăng uy tín website người dùng: Một số trình duyệt web phổ biến Google Chrome, Mozilla Firefox, Microsoft Edge, hay Apple Safari có cảnh báo người dùng website “không bảo mật” sử dụng HTTP Động thái giúp bảo vệ thông tin người dùng lướt web, bao gồm thông tin cá nhân, thẻ ngân hàng liệu nhạy cảm khác Nhóm 03 16 Bài thi cuối kỳ môn ANM Giao thức HTTPS ➢ Nhược điểm: Nhược điểm HTTPS so với HTTP sử dụng HTTPS khiến tốc độ giao tiếp (duyệt web, tải trang đích) Client Server chậm HTTP Tuy nhiên nhờ công nghệ phát triển, khác biệt đạt tới giới hạn tiệm cận Qua so sánh với HTTP phân tích ưu điểm nhược điểm HTTPS, thấy giao thức HTTPS vượt trội hẳn so với HTTP nhiều mặt, đồng thời cịn làm tăng uy tín doanh nghiệp Đó lý tất website nên sử dụng HTTPS Ứng dụng HTTPS giao thức sử dụng dịch vụ triển khai web phổ biến tiếng Điển hình Apache Nginx Hai dịch vụ đối thủ cạnh tranh Hiện Nginx có lợi tốc độ nhanh so với Apache Về mặt phương thức hoạt động Apache Nginx có phương thức hoạt động tương tự Vì em nói Apache 4.1 Giới thiệu Apache Apache tên gọi tắt thuật ngữ Apache HTTP Server – chương trình máy chủ giao tiếp phương thức HTTP Apache hoạt động hầu hết hệ điều hành như: Windows, Linux, Unix, Novell Netware,… Có thể nói, Web Server đóng vai trị vơ quan trọng phát triển mạng trang Web giới www Apache xếp vào số Web Server lâu đời tin cậy từ 20 năm trước Hiện nay, Apache phần mềm miễn phí mã nguồn mở chiếm đến khoảng 46% thị phần Website tồn cầu Nhóm 03 17 Bài thi cuối kỳ môn ANM Giao thức HTTPS 4.2 Ưu nhược điểm ➢ Ưu điểm − Apache phần mềm mã nguồn mở, miễn phí kể cho mục đích thương mại − Apache đáng tin cậy, ổn định − Apache cập nhật thường xuyên, vá lỗi bảo mật liên tục − Apache dễ dàng cấu hình, thân thiện với người bắt đầu sử dụng − Apache phần mềm đa tảng (Unix Windows) − Apache sở hữu cộng đồng lớn ➢ Nhược điểm − Quá nhiều tùy chọn thiết lập gây điểm yếu bảo mật − Gặp vấn đề hiệu website có lượng traffic cực lớn 4.3 Phương thức hoạt động Khi trình duyệt gửi yêu cầu (request) tới webserver Lúc này, tìm kiếm file u cầu ổ đĩa mà lưu trữ Khi tìm thấy file, máy chủ đọc xử lý (nếu cần), cuối gửi đến trình duyệt Phần mềm Web server nơi lưu trữ file website, bao gồm tài liệu html, ảnh, file CSS, file Javascript, fonts videos Người dùng lưu trữ file máy tính cá nhân có nhiều lợi ích lưu trữ chúng máy chủ riêng biệt Hình 4.3 Phương thức hoạt động Apache 4.4 Cài đặt cấu hình • Sử dụng lệnh: sudo apt install apache2 để cài đặt • Thư mục cài đặt apache nằm ở: /etc/apache2 Nhóm 03 18 Bài thi cuối kỳ mơn ANM Giao thức HTTPS • File apache2.conf file config Trong file chứa đường dẫn để include tới file cấu hình khác • sites-enabled/*.conf : setup cho website server • conf.d/ : chứa loại config apache • directive cho ta biết apache chạy với user group Nếu user login vào hệ thống mà khác với APACHE_RUN_USER khơng đọc ghi file Và KHƠNG NÊN set APACHE_RUN_USER login user người khác muốn truy cập vào thư mục họ phải dùng login user có quyền access vào • Port làm việc mặc định apache 80( thay đổi port làm việc mặc định) • Tại file sites-enabled/*.conf Nhóm 03 19 ... ơn cô! Bài thi cuối kỳ môn ANM Giao thức HTTPS GIAO THỨC HTTPS Giới thiệu HTTPS 1.1 Lịch sử phát triển Giao thức HTTP- Giao thức truyền tải siêu văn (là tiền thân HTTPS) Tim Berners-Lee CERN... kỹ thuật Internet Bài thi cuối kỳ môn ANM Giao thức HTTPS CƠ SỞ LÝ LUẬN Lý chọn đề tài An tồn thơng tin u cầu quan trọng việc truyền liệu mạng đặc biệt với giao dịch thương mại điện tử, xác thực... kỳ môn ANM Giao thức HTTPS BẢNG PHÂN CHIA CÔNG VIỆC Thành viên Nhiệm vụ chung Nhiệm vụ riêng -Tìm kiếm nguồn tài liệu liên quan đến đề tài Đề cương tiểu luận - Chọn lọc nội dung cho đề tài Hoàn