Có thể bạn không để ý nhưng hầu hết lưu lượng truy cập web trực tuyến trên thế giới hiện nay đều được gửi qua kết nối HTTPS, một giao thức được tạo ra với mục đích nhắm tới sự “an toàn” tối đa.
Trên thực tế, Google hiện cũng cảnh báo rằng các trang web HTTP không được mã hóa là “Không an toàn”. Vậy câu hỏi đặt ra là tại sao vẫn còn quá nhiều các vấn đề như phần mềm độc hại, lừa đảo trực tuyến và nhiều hoạt động nguy hiểm khác vẫn xảy ra từng ngày từng giờ mà không có dấu hiệu suy giảm, bất chấp việc HTTPS ngày càng được sử dụng phổ biến?
Các trang web “an toàn” chỉ cần có một kết nối an toàn
Nếu để ý, bạn sẽ thấy Chrome thường hiển thị từ “Secure” (An toàn) và biểu tượng ổ khóa màu xanh lục trên thanh địa chỉ khi bạn truy cập vào một trang web sử dụng giao thức HTTPS. Hay các phiên bản hiện đại của Chrome sau này đơn giản hiển thị một biểu tượng ổ khóa nhỏ màu xám ở đây, không còn có từ “Secure” nữa.
Điều này một phần là do HTTPS hiện được coi là tiêu chuẩn cơ sở mới. Mọi thứ phải được bảo mật theo mặc định, vì vậy Chrome chỉ cảnh báo bạn rằng kết nối là “Not Secure” (Không an toàn) khi bạn truy cập một trang web qua kết nối HTTP.
Tuy nhiên, từ "Secure" dần dần cũng đã không còn được Google sử dụng trên Chrome vì nó hơi gây hiểu nhầm. Từ "Secure" này khiến người dùng hiểu rằng dường như Chrome đã xác nhận nội dung của trang web cũng như mọi thứ hiển thị trên trang này đều "an toàn". Nhưng trên thực tế, điều đó hoàn toàn không đúng. Một website HTTPS “Secure” vẫn hoàn toàn có thể chứa đầy phần mềm độc hại hoặc thậm chí là trang web lừa đảo, giả mạo.
Nói theo cách dễ hiểu, HTTPS chỉ cho thấy bạn đang truy cập vào một kết nối an toàn, nhưng không đảm bảo rằng trang web mà bạn truy cập là tuyệt đối an toàn.
HTTPS ngăn chặn việc xem trộm và giả mạo
HTTPS rất tuyệt vời, nhưng nó không có “phép màu” giúp mọi thứ trở nên an toàn 100%. HTTPS là viết tắt của Hypertext Transfer Protocol Secure. Nó giống như giao thức HTTP tiêu chuẩn để kết nối với các trang web, nhưng được bổ sung thêm một lớp mã hóa an toàn.
Lớp mã hóa này ngăn chặn việc kẻ gian có thể theo dõi dữ liệu của bạn khi đang chuyển tiếp, đồng thời góp phần ngăn chặn các cuộc tấn công trung gian (man-in-the-middle) có thể can thiệp và sửa đổi trang web khi nó được gửi đến bạn. Ví dụ: không ai có thể rình mò chi tiết thông tin thanh toán mà bạn gửi đến một trang web sử dụng HTTPS.
Nói tóm lại, HTTPS đảm bảo kết nối giữa bạn và một trang web cụ thể nào đó được an toàn. Không ai có thể “nhìn trộm” hoặc giả mạo nó.
Điều này không có nghĩa cứ website HTTPS là "an toàn"
Không thể phủ nhận lợi ích của HTTPS, và tất cả các trang web đều nên sử dụng giao thức này. Tuy nhiên, như đã nói, điều đó chỉ có nghĩa là bạn đang sử dụng kết nối an toàn với một trang web cụ thể. Từ “Secure” ở đây hoàn toàn không nói lên bất kỳ điều gì về nội dung của trang web đó, mà chỉ có nghĩa là người điều hành trang web đã mua chứng chỉ và thiết lập mã hóa để bảo mật kết nối mà thôi.
Ví dụ: một trang web nguy hiểm chứa đầy nội dung tải xuống độc hại vẫn hoàn toàn có thể được gửi qua HTTPS. Tất cả điều đó có nghĩa là trang web và các tệp bạn tải xuống được gửi qua kết nối an toàn, nhưng bản thân chúng có thể không an toàn.
Tương tự, tội phạm có thể mua một tên miền có vẻ uy tín như “bankoamerica.com”, lấy chứng chỉ mã hóa SSL cho nó và bắt chước trang web thực của Bank of America. Đây sẽ là một trang web lừa đảo với biểu tượng ổ khóa "an toàn" khi bạn truy cập trên Chrome, nhưng trên thực tế điều này chỉ có nghĩa là bạn có kết nối an toàn với trang web lừa đảo đó.
Tuy nhiên xét cho cùng, sự phổ biến của HTTPS vẫn đem lại rất nhiều tác động tích cực cho thế giới Internet!
Theo thống kê của Google, 80% trang web được truy cập trong Chrome trên Windows được tải qua HTTPS. Và người dùng Chrome trên Windows cũng đã dành 88% thời gian duyệt web của họ trên các trang web HTTPS.
Sự phổ biến này khiến tội phạm có ít cơ hội xâm phạm dữ liệu cá nhân và quyền riêng tư hơn, đặc biệt là trên các kết nối WiFi công cộng hoặc các mạng công cộng nói chung. Đồng thời giảm thiểu đáng kể khả năng gặp phải các cuộc tấn công trung gian của người dùng internet.