Đừng tin 7 “thần thoại” về chứng chỉ SSL và HTTPS này

Hãy xem URL của bài viết này và bạn sẽ thấy rằng nó bắt đầu bằng https. Chữ “s” ở cuối có nghĩa là kết nối giữa thiết bị của bạn và trang web này là an toàn. Trên mạng, các kết nối an toàn thường được thiết lập sử dụng chứng chỉ SSL (viết tắt là Secure sockets Layer: tầng ổ bảo mật). Điều này có thể gây nhầm lẫn, một phần vì có nhiều “huyền thoại” về chúng mà bạn không nên tin. Hãy xem 7 trong số những điều đó nhé.

1. Chỉ các trang web thương mại điện tử mới cần SSL

Bạn có thể đã nghe nói rằng chỉ các trang web yêu cầu dữ liệu cá nhân mới cần chứng chỉ SSL. Điều này là đúng khi bạn đăng ký hoặc đăng nhập trang web, bạn cần kiểm tra thanh địa chỉ có ghi “https”. Tuy nhiên mã hóa quan trọng cho tất cả các trang web, dù thương mại điện tử hay blog nhỏ.

Chỉ các trang web thương mại điện tử mới cần SSL

Thứ nhất, Google Chrome gắn nhãn an toàn cho URL cho các trang web HTTPS, do đó người dùng Google Chrome truy cập trang web không có chứng chỉ SSL sẽ thấy trang cảnh báo thông báo cho họ biết trang web không an toàn.

Thứ hai, những người truy cập thông qua các trình duyệt khác sẽ thấy trang web của bạn đáng tin cậy hơn. Hầu hết người dùng hiện đều biết về việc kiểm tra các kết nối an toàn, vì vậy việc cài đặt chứng chỉ SSL là dấu hiệu cho thấy bạn coi trọng quyền riêng tư của họ. Thực tế, bạn đang nói người truy cập trang web rằng bạn là một tổ chức chuyên nghiệp.

2. SSL sẽ không ảnh hưởng đến lưu lượng truy cập web

Nếu Google Chrome không tải đầy đủ trang web, thống kê của trang web đó sẽ bị ảnh hưởng. Hãy tưởng tượng có bao nhiêu người thấy kết nối của họ không an toàn và ngay lập tức quay đi.

Vấn đề là, ngay cả khi dữ liệu dường như không bị nguy hại, mọi người đều hoảng sợ khi thấy cảnh báo bảo mật. Họ hình dung mình là nạn nhân của hacker. Rất may, hầu hết người dùng đều ưu tiên bảo mật của họ, do đó khi không thể đọc trang web của bạn, họ sẽ tìm kiếm một trang web khác cung cấp thông tin tương tự.

Ngoài ra, chứng chỉ SSL là điều cần thiết cho SEO. Để Google xếp hạng cao trang web của bạn, ngoài việc có từ khóa tốt, bạn còn cần chứng minh đã thực hiện các biện pháp bảo mật an toàn. Tất nhiên, trang web của bạn có vị trí gần đầu tiên trong kết quả tìm kiếm, càng có nhiều người truy cập vào trang web.

3. SSL khiến trang web tải chậm hơn

SSL khiến trang tải chậm hơn

Nhiều người lo ngại địa chỉ HTTPS sẽ làm chậm trang web, nhưng điều này không đúng vì mã hóa không ảnh hưởng đến tốc độ trang web của bạn.Trong hầu hết các trường hợp, bởi vì HTTPS thực sự đề cập đến HTTP/2, một sửa đổi trên giao thức HTTP chuẩn. Nó được thiết kế để giảm 50% thời gian tải trang thông qua việc nén giữ liệu và giảm các quy trình liên quan.

Nếu bạn muốn bằng chứng, hãy xem một số trang web ưa thích của mình, những trang web phổ biến nhất (bao gồm trang mạng xã hội như Facebook) có chứng chỉ SSL và xem chúng nhanh như thế nào.

Đôi khi tốc độ sẽ bị ảnh hưởng nhưng nó hiếm khi xảy ra và không đáng kể, chỉ chênh lệch khoảng mili giây. Điều này chủ yếu do khoảng cách máy chủ. Và các trường hợp làm chậm trang web sẽ càng ngày càng ít đi khi tổ chức phát hành chứng chỉ (CA) bí mật chuyển sang giao thức TLS (Transport Layer Security - Bảo mật tầng truyền tải).

4. Chứng chỉ SSL hiện đại và vượt trội

Chứng chỉ SSL hiện đại và vượt trội

Chứng chỉ SSL rất tuyệt, nhưng chúng không phải là dạng mã hóa tiên tiến nhất được sử dụng rộng rãi trên internet. Trên thực tế, nhiều nhà phát hành chứng chỉ CA sử dụng chứng chỉ TLS thay thế. Chứng chỉ TLS về bản chất là giai đoạn tiếp theo trong vòng đời của HTTPS.

TLS đã có từ năm 2008, sửa chữa một số lỗ hổng nhỏ trong chứng chỉ SSL. Tuy nhiên, cho đến gần đây, phần lớn nó chỉ được sử dụng cho các trang web yêu cầu thông tin thanh toán hoặc quản lý tiền. PayPal có lẽ là ví dụ đáng chú ý nhất về trang web sử dụng TLS.

Chứng chỉ TLS đã trở nên phổ biến hơn, trong thực tế, nhiều dịch vụ mã hóa sử dụng TLS thay vì chứng chỉ SSL làm mặc định. Tuy nhiên SSL nổi tiếng hơn nên thường được sử dụng mà người truy cập không cần quan tâm sự khác biệt giữa chúng, miễn là URL của bạn có HTTPS họ sẽ thấy yên tâm hơn.

5. Chứng chỉ SSL đắt

Chứng chỉ SSL đắt

Ví dụ dưới đây sẽ bác bỏ giả thuyết rằng HTTPS đắt tiền.

Let's Encrypt là một dịch vụ phổ biến vì nó hiệu quả và hoàn toàn miễn phí. Nhiều công ty tên tuổi lớn hỗ trợ ý tưởng này, bao gồm Facebook, Yoast, Mozilla, Hiệp hội Thư viện Mỹ, Server Pilot và Google Chrome.

Ngoài ra, phần mềm freemium có sẵn. Encryption Everywhere, được tạo bởi công ty bảo mật, Symantec, cung cấp các chứng chỉ SSL/TLS miễn phí và bạn có thể trả tiền để sở hữu thêm các tính năng bảo mật bổ sung.

Phải thừa nhận rằng, chứng chỉ SSL có thể tốn kém, nhưng phần lớn phụ thuộc vào máy chủ. Đôi khi, máy chủ lưu trữ không hỗ trợ mã hóa của bên thứ ba, tức là họ muốn bạn sử dụng dịch vụ được liên kết của riêng họ để có thể nhận thêm tiền từ bạn. Đó là một chiến thuật kinh khủng, đặc biệt khi người dùng chịu áp lực từ Google. Bạn cần phải chi tiêu một cách khôn ngoan, đừng bị lừa bởi máy chủ web của bạn.

6. Chứng chỉ SSL mã hóa tất cả dữ liệu

Chứng chỉ SSL mã hóa tất cả dữ liệu

Chúng ta không nên cho rằng chứng nhận SSL có thể mã hóa tất cả để bảo mật. Đúng là dữ liệu được mã hóa nhưng chỉ trong quá trình chuyển tiếp. HTTPS có nghĩa là kết nối của bạn an toàn, nó không có nghĩa là máy chủ web an toàn.

Hãy tưởng tượng nó như một đường hầm bạn đang lái xe qua. Trong đường hầm, xe của bạn không bị tấn công bởi bất cứ thứ gì từ trên, dưới hoặc hai bên. Tuy nhiên, vấn đề vẫn xảy ra khi bạn đến đích, bạn không biết điều gì sẽ xảy ra phía trước.

Tương tự với dữ liệu, nó được mã hóa do đó bạn sẽ không phải là nạn nhân của cuộc tấn công man-in-the-middle (MITM) trong khi di chuyển giữa các mạng. Nhưng một khi dữ liệu đó là tĩnh (tức là được lưu trữ trên máy chủ của ai đó), chứng chỉ SSL không làm được gì nhiều. Đây là lý do tại sao HTTPS bây giờ chỉ được coi là một biện pháp bảo mật cơ bản.

7. Mã hóa SSL hiệu quả

HTTPS cung cấp mức mã hóa tốt và bạn có thể đã nghe rất nhiều điều tốt về nó. Tuy nhiên, bạn nên biết rằng mã hóa không thể ngăn thứ gì đó không bị tấn công. Các công ty cần phải chăm sóc thông tin cá nhân theo những cách an toàn nhất có thể. Tuy nhiên, các phương pháp được sử dụng để theo dõi mật khẩu cho thấy cách mã hóa không hiệu quả, tùy thuộc vào biểu mẫu được sử dụng để lưu trữ chúng.

Bạn có thể tin tưởng chứng chỉ SSL/TLS không? Bạn nên nhớ không có bảo mật nào là tuyệt đối và lỗ hổng là điều không thể tránh khỏi.

Đảm bảo sử dụng trình duyệt web bảo mật

Đừng đánh giá thấp tầm quan trọng của các mức độ bảo mật cơ bản trực tuyến. Chứng chỉ SSL là một phần quan trọng trong việc bảo vệ bạn khỏi các tội phạm mạng. Tất nhiên, bạn cũng cần hỗ trợ từ một bộ bảo mật mạnh. May mắn thay, các trình duyệt chính thống cũng biết tầm quan trọng của việc giữ an toàn cho người dùng của họ trên Internet.

Xem thêm:

Thứ Sáu, 22/06/2018 11:41
53 👨 584
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản