SSL có thực sự an toàn

ssl sentora

SSL có thực sự an toàn

Kể từ tháng 7/2018, Chrome sẽ hiển thị cảnh báo “Not secure” – “Không an toàn” trên thanh địa chỉ với tất cả các website không được bảo vệ bằng giao thức mã hóa – HTTPS. Và các website có SSL sẽ hiển thị trên thanh địa chỉ Bảo mật – Secure.

Tuy nhiên, từ “An toàn” cũng gây một chút hiểu nhầm. Nó có vẻ như Chrome đang chứng minh mọi thứ trên trang web là “an toàn”. Nhưng điều đó không đúng. Trang web HTTPS “an toàn” vẫn có thể chứa đầy phần mềm độc hại hoặc là trang web lừa đảo giả mạo.

Nên kể từ  từ tháng 9/2018  với phiên bản Chrome 69. Những website sử dụng HTTPS sẽ không còn dòng chữ Bảo mật – Secure ở bên cạnh trên trên thanh địa chỉ, thay vào đó các website có SSL sẽ hiển thị khóa màu xám.

Vậy thực chất SSL có an toàn hay không  chúng ta cùng tìm hiểu lại SSL là gì ?

Nếu bạn chưa biết về HTTPS, đây là phiên bản bảo mật của HTTP, mã hóa toàn bộ dữ liệu trao đổi giữa người dùng và website trong quá trình truyền tải. Thông tin của người dùng sẽ được giữ an toàn khỏi bên thứ 3 ( middle attack ), tránh lộ dữ liệu nhạy cảm như thông tin đăng nhập, thông tin thẻ tín dụng.

Tóm lại, HTTPS đảm bảo kết nối giữa bạn và trang web cụ thể đó là an toàn. Không ai có thể nghe trộm hoặc giả mạo nó.

Nhưng điều đó không có nghĩa trang web có SSL thực sự “an toàn”

Các trang website có SSL sẽ hiển thị là bảo mật nhưng nó không thực sự an toàn. Từ “Bảo mật” không nói bất cứ điều gì về nội dung của trang web đó. Tất cả chỉ là nhà điều hành trang web đã mua chứng chỉ và thiết lập mã hóa để bảo mật kết nối, các trao đổi thông tin giữa người dùng và website đảm bảo toàn vẹn.

Nhưng trên môi trường internet có rất nhiều cách để khai thác nếu website có lỗ hổng và đẩy các mã độc lên website, hoặc một trang web nguy hiểm chứa đầy những tải xuống độc hại có thể được gửi qua HTTPS. Nghĩa là trang web và các tệp bạn tải xuống được gửi qua kết nối an toàn, nhưng chúng có thể không an toàn.

Tương tự, một tên tội phạm có thể mua một tên miền như “bankoamerica.com”, nhận chứng chỉ mã hóa SSL cho tên miền và bắt chước trang web thật của Bank of America. Đây sẽ là trang web lừa đảo có khóa móc “bảo mật”, nhưng điều đó chỉ có nghĩa là bạn có kết nối an toàn tới trang web lừa đảo đó.

HTTPS ( SSL )vẫn rất tuyệt vời

Sự thay đổi hướng tới HTTPS vẫn là một điều tuyệt vời cho internet! Theo thống kê của Google, 80% trang web được tải trong Chrome trên Windows được tải qua HTTPS. Và người dùng Chrome trên Windows dành 88% thời gian duyệt web của họ trên các trang web HTTPS.

Khi khách truy cập website không có SSL sẽ xuất hiện chữ không bảo mật  như hình dưới dù website của bạn không có vấn đề nhưng khi hiển thị như vậy sẽ làm khách truy cập nghi ngờ.

Quá trình chuyển đổi này khiến kẻ xấu khó xem lén dữ liệu cá nhân hay xâm hại quyền riêng tư của bạn. Nó cũng giảm thiểu đáng kể khả năng bạn trở thành nạn nhân của một cuộc tấn công trung gian trên Wi-Fi công cộng hoặc mạng khác.

Ví dụ, giả sử bạn đang tải xuống tệp .exe của chương trình từ trang web trong khi bạn kết nối với mạng Wi-Fi công cộng. Nếu bạn kết nối với HTTP, nhà điều hành Wi-Fi có thể giả mạo việc tải xuống và gửi cho bạn một tệp .exe độc ​​hại khác. Nếu bạn được kết nối với HTTPS, kết nối sẽ an toàn và không ai có thể giả mạo phần mềm tải xuống của bạn.