a. SSL mã hóa thông tin nhạy cảm
SSL giữ cho những thông tin nhạy cảm được mã hóa khi gửi qua Internet và chỉ có những người nhận được chỉ định mới có thể hiểu nó.
Khi thông tin bạn gửi trên Internet được truyền từ máy tính đến máy tính, rồi đến một máy chủ đích. Bất cứ máy tính nào ở giữa bạn và máy chủ đều có thể nhìn thấy số thẻ tín dụng, tên tài khoản và mật khẩu cùng những thông tin nhạy cảm khác, khi chúng chưa được mã hóa với chứng chỉ SSL (SSL Certificate).
Khi SSL Certificate được sử dụng, thông tin sẽ trở thành không thể đọc được đối với tất cả mọi người, ngoại trừ máy chủ mà thông tin đang được gửi đến. Nhờ đó, hacker và những kẻ lấy cắp không thể đọc hay lấy trộm thông tin.
b. SSL cung cấp tính xác thực
Ngoài mã hóa, một chứng nhận SSL thích hợp cũng cung cấp sự xác thực. Điều này có nghĩa là bạn có thể chắc chắn rằng mình đang gửi thông tin đến đúng máy chủ chứ không phải đến một kẻ mạo danh nào đó đang cố gắng ăn cắp thông tin của bạn.
Nhà cung cấp SSL đáng tin cậy sẽ chỉ cấp một SSL Certification đến cho một công ty, với điều kiện công ty đó được xác nhận rằng đã vượt qua một số cuộc kiểm tra danh tính. Một số SSL Certification như EV SSL Certificates, yêu cầu xác nhận nhiều hơn những chứng nhận khác.
Bạn có thể sử dụng SSL Wizard để so sánh giữa các nhà cung cấp SSL, có sẵn trong hầu hết các trình duyệt web. Trình duyệt web sẽ tạo ra một xác nhận rằng nhà cung cấp SSL đang có những hành động cụ thể và được kiểm tra bởi một bên thứ 3 sử dụng tiêu chuẩn như WebTrust.
32 | Nhóm 05
c. SSL cung cấp sự tin cậy
Các trình duyệt web sẽ cung cấp cho người dùng những tín hiệu để biết rằng kết nối của mình đang được đảm bảo, đó có thể là một biểu tượng khóa hoặc một thanh màu xanh lá cây. Nhờ đó, khách hàng sẽ tin tưởng trang web hơn và tăng khả năng mua hàng, gắn bó với website. Nhà cung cấp SSL cũng sẽ cung cấp cho bạn một dấu hiệu tin cậy để làm cho khách hàng tin tưởng hơn nữa.
d. SSL mang đến sự tin cậy cho người truy cập
HTTPS cũng giúp chống lại những cuộc tấn công lừa đảo. Một email lừa đảo là email được gửi từ tên tội phạm đang cố gắng mạo danh trang web của bạn.
Email này thường có một liên kết đến website của tên tội phạm hoặc sử dụng Man-in-the-middle attack (tên tội phạm sẽ lừa khách hàng để họ gửi thông tin nhạy cảm đến cho chúng) trên tên miền của website.
Nhưng một kẻ nghe lén, hacker thường khó có được một SSL Certificate, nên nếu trang web có SSL, thì chúng không thể mạo danh website một cách hoàn hảo, và người dùng sẽ ít có khả năng bị lừa đảo hơn.
e. SSL được yêu cầu cho PCI Compliance
Để chấp nhận thông tin thẻ tín dụng trên website, bạn phải vượt qua những cuộc kiểm tra để chứng minh rằng bạn đang tuân thủ các tiêu chuẩn thanh toán bằng thẻ - Payment Card Industry, PCI. Một trong những yêu cầu đó là sử dụng SSL Certificate.
f. SSL đối với SEO
Google đã đưa ra thông báo rằng HTTPS sẽ là một tiêu chí để xếp hạng website. Nghĩa là khi đưa ra kết quả cho người tìm kiếm, trang web có SSL sẽ được ưu tiên hơn trang web cùng loại nhưng không có SSL.
33 | Nhóm 05
KẾT LUẬN
TLS (Transport Layer Security), cùng với SSL (Secure Sockets Layer) là các giao thức mật mã nhằm mục đích bảo vệ dữ liệu khi di chuyển trong môi trường Internet.
Đây là tiêu chuẩn an ninh công nghệ toàn cầu, tạo ra liên kết được mã hóa giữa máy chủ và máy trạm. Phương pháp này cho phép bảo mật và xác thực tính toàn vẹn của các dữ liệu qua các mã xác thực (message authentication code).
Qua nghiên cứu tiểu luận này, nhóm em đã có một cái nhìn sâu sắc hơn về SSL/TLS. Tầm quan trọng của bộ giao thức, những gì đã xảy ra trong khi bộ giao thức làm việc. Từ những mô tả về tấn công SSL, chúng ta cũng đã hiểu được cách thức mà hacker, kẻ trộm sử dụng để có ăn lấy cắp thông tin. Và sau cùng là những gì SSL/TLS được ứng dụng trong thực tế, giúp ta thấy tầm quan trọng của chúng.
34 | Nhóm 05
TÀI LIỆU THAM KHẢO
Tài liệu Tiếng Việt
[1] Th.s Nguyễn Đức Bình, “Tìm hiểu SSL và ứng dụng trên Web Server”,
Thái Nguyên, 2012
[2] TS Nguyễn Hoàng Tú, “Tìm hiểu và trình bày chi tiết về SSL”, Hà Nội, 2019
Tài liệu Tiếng Anh
[3] Man Young Rhee, “Internet Security : Cryptographic Principles, Algorithms
and Protocols”, England, 2003
[4] William Stallings, “Cryptography and Network Security Principles and
Practice”,
Sixth Edition, Pearson, 2014.
Mạng Internet
[5]https://www.cs.auckland.ac.nz/courses/compsci725s2c/archive/termpa pers/725zhang.pdf
[6]https://quantrimang.com/tim-hieu-ve-tan-cong-man-in-the-middle-