HTTPS là gì và tại sao tôi nên quan tâm?
HTTPS, biểu tượng ổ khóa trên thanh địa chỉ, một kết nối trang web được mã hóa — nó còn được gọi là nhiều thứ. Mặc dù nó từng được dành chủ yếu cho mật khẩu và các dữ liệu nhạy cảm khác, nhưng toàn bộ web đang dần bỏ lại HTTP và chuyển sang HTTPS.
Chữ "S" trong HTTPS là viết tắt của "Secure". Đây là phiên bản an toàn của “giao thức truyền siêu văn bản” tiêu chuẩn mà trình duyệt web của bạn sử dụng khi giao tiếp với các trang web.
Cách HTTP đặt bạn vào rủi ro
Khi bạn kết nối với một trang web bằng HTTP thông thường, trình duyệt của bạn sẽ tra cứu địa chỉ IP tương ứng với trang web, kết nối với địa chỉ IP đó và giả định rằng nó được kết nối với đúng máy chủ web. Dữ liệu được gửi qua kết nối dưới dạng văn bản rõ ràng. Kẻ nghe trộm trên mạng Wi-Fi, nhà cung cấp dịch vụ internet của bạn hoặc các cơ quan tình báo chính phủ như NSA có thể thấy các trang web bạn đang truy cập và dữ liệu bạn đang truyền qua lại.
LIÊN QUAN:Mã hóa là gì và nó hoạt động như thế nào?
Có những vấn đề lớn với điều này. Đối với một điều, không có cách nào để xác minh rằng bạn đã kết nối với đúng trang web. Có thể bạn suy nghĩ bạn đã truy cập vào trang web của ngân hàng nhưng bạn đang ở trên một mạng bị xâm nhập đang chuyển hướng bạn đến một trang web mạo danh. Mật khẩu và số thẻ tín dụng không bao giờ được gửi qua kết nối HTTP, nếu không kẻ nghe trộm có thể dễ dàng lấy cắp chúng.
Những sự cố này xảy ra do các kết nối HTTP không được mã hóa. Kết nối HTTPS là.
Cách mã hóa HTTPS bảo vệ bạn
LIÊN QUAN:Cách trình duyệt xác minh danh tính trang web và bảo vệ chống lại kẻ mạo danh
HTTPS an toàn hơn nhiều so với HTTP. Khi bạn kết nối với máy chủ được bảo mật bằng HTTPS — các trang web bảo mật như ngân hàng của bạn sẽ tự động chuyển hướng bạn đến HTTPS — trình duyệt web của bạn sẽ kiểm tra chứng chỉ bảo mật của trang web và xác minh rằng chứng chỉ đó được cấp bởi tổ chức phát hành chứng chỉ hợp pháp. Điều này giúp bạn đảm bảo rằng, nếu bạn thấy “//bank.com” trên thanh địa chỉ của trình duyệt web, thì bạn thực sự được kết nối với trang web thực của ngân hàng. Công ty đã phát hành chứng chỉ bảo mật xác nhận cho họ. Thật không may, cơ quan cấp chứng chỉ đôi khi cấp chứng chỉ không hợp lệ và hệ thống bị hỏng. Tuy nhiên, mặc dù không phải là hoàn hảo nhưng HTTPS vẫn an toàn hơn nhiều so với HTTP.
Khi bạn gửi thông tin nhạy cảm qua kết nối HTTPS, không ai có thể nghe trộm thông tin đó trong quá trình chuyển tiếp. HTTPS là thứ giúp cho việc mua sắm và ngân hàng trực tuyến an toàn trở nên khả thi.
Nó cũng cung cấp sự riêng tư bổ sung cho việc duyệt web thông thường. Ví dụ: công cụ tìm kiếm của Google hiện mặc định là kết nối HTTPS. Điều này có nghĩa là mọi người không thể thấy những gì bạn đang tìm kiếm trên Google.com. Tương tự đối với Wikipedia và các trang khác. Trước đây, bất kỳ ai trên cùng một mạng Wi-Fi sẽ có thể xem các tìm kiếm của bạn, cũng như nhà cung cấp dịch vụ Internet của bạn.
Tại sao mọi người muốn bỏ lại HTTP đằng sau
HTTPS ban đầu được dành cho mật khẩu, thanh toán và các dữ liệu nhạy cảm khác, nhưng toàn bộ web hiện đang hướng tới nó.
Ở Hoa Kỳ, nhà cung cấp dịch vụ Internet của bạn được phép theo dõi lịch sử duyệt web của bạn và bán nó cho các nhà quảng cáo. Tuy nhiên, nếu web chuyển sang HTTPS, nhà cung cấp dịch vụ Internet của bạn không thể thấy nhiều dữ liệu đó — họ chỉ thấy rằng bạn đang kết nối với một trang web cụ thể, chứ không phải các trang riêng lẻ mà bạn đang xem. Điều này có nghĩa là nhiều quyền riêng tư hơn cho việc duyệt web của bạn.
Tệ hơn nữa, HTTP cho phép nhà cung cấp dịch vụ Internet của bạn giả mạo các trang web bạn đang truy cập, nếu họ muốn. Họ có thể thêm nội dung vào trang web, sửa đổi trang hoặc thậm chí xóa mọi thứ. Ví dụ: ISP có thể sử dụng phương pháp này để đưa nhiều quảng cáo hơn vào các trang web bạn truy cập. Comcast đã đưa ra các cảnh báo về giới hạn băng thông và Verizon đã đưa vào một siêu tân binh được sử dụng để theo dõi quảng cáo. HTTPS ngăn ISP và bất kỳ ai khác đang chạy mạng giả mạo các trang web như thế này.
Và tất nhiên, không thể nói về mã hóa trên web mà không đề cập đến Edward Snowden. Các tài liệu bị Snowden rò rỉ vào năm 2013 cho thấy chính phủ Mỹ đang giám sát các trang web mà người dùng Internet trên khắp thế giới truy cập. Điều này đã thắp lên ngọn lửa cho nhiều công ty công nghệ để tiến tới tăng cường mã hóa và quyền riêng tư. Bằng cách chuyển sang HTTPS, các chính phủ trên khắp thế giới sẽ gặp khó khăn hơn khi xem tất cả các thói quen duyệt web của bạn.
Cách trình duyệt khuyến khích trang web đổ HTTP
Vì mong muốn chuyển sang HTTPS này, tất cả các tiêu chuẩn mới được thiết kế để làm cho web nhanh hơn đều yêu cầu mã hóa HTTPS. HTTP / 2 là một phiên bản mới chính của giao thức HTTP được hỗ trợ trong tất cả các trình duyệt web chính. Nó bổ sung tính năng nén, pipelining và các tính năng khác giúp tải các trang web nhanh hơn. Tất cả các trình duyệt web đều yêu cầu các trang web sử dụng mã hóa HTTPS nếu họ muốn các tính năng HTTP / 2 mới hữu ích này. Các thiết bị hiện đại cũng có phần cứng chuyên dụng để xử lý yêu cầu HTTP mã hóa AES. Điều này có nghĩa là HTTPS thực sự phải nhanh hơn HTTP.
Trong khi các trình duyệt đang làm cho HTTPS trở nên hấp dẫn với các tính năng mới, Google đang khiến HTTP trở nên kém hấp dẫn bằng cách phạt các trang web sử dụng nó. Google có kế hoạch gắn cờ các trang web không sử dụng HTTPS là không an toàn trong Chrome và Google muốn ưu tiên các trang web sử dụng HTTPS trong kết quả tìm kiếm của Google. Điều này tạo động lực mạnh mẽ cho các trang web chuyển sang HTTPS.
Cách kiểm tra xem bạn có được kết nối với trang web bằng HTTPS hay không
Bạn có thể cho biết mình đã kết nối với một trang web có kết nối HTTPS nếu địa chỉ trong thanh địa chỉ của trình duyệt web của bạn bắt đầu bằng “//”. Bạn cũng sẽ thấy biểu tượng khóa, bạn có thể nhấp vào biểu tượng này để biết thêm thông tin về bảo mật của trang web.
Điều này trông hơi khác nhau trong mỗi trình duyệt, nhưng hầu hết các trình duyệt đều có điểm chung là // và biểu tượng khóa. Một số trình duyệt hiện ẩn “//” theo mặc định, vì vậy bạn sẽ chỉ thấy biểu tượng ổ khóa bên cạnh tên miền của trang web. Tuy nhiên, nếu bạn nhấp hoặc nhấn vào bên trong thanh địa chỉ, bạn sẽ thấy phần “//” của địa chỉ.
LIÊN QUAN:Tại sao việc sử dụng mạng Wi-Fi công cộng có thể nguy hiểm, ngay cả khi truy cập trang web được mã hóa
Nếu bạn đang sử dụng một mạng lạ và bạn kết nối với trang web của ngân hàng, hãy đảm bảo rằng bạn thấy HTTPS và địa chỉ trang web chính xác. Điều này giúp bạn đảm bảo rằng bạn thực sự được kết nối với trang web của ngân hàng, mặc dù đây không phải là một giải pháp hoàn hảo. Nếu bạn không thấy chỉ báo HTTPS trên trang đăng nhập, bạn có thể được kết nối với một trang web mạo danh trên một mạng bị xâm phạm.
Đề phòng các thủ đoạn lừa đảo
LIÊN QUAN:Bảo mật trực tuyến: Phá vỡ giải phẫu của một email lừa đảo
Bản thân sự hiện diện của HTTPS không đảm bảo rằng một trang web là hợp pháp. Một số kẻ lừa đảo thông minh đã nhận ra rằng mọi người tìm kiếm biểu tượng khóa và chỉ báo HTTPS và có thể cố gắng ngụy trang trang web của họ. Vì vậy, bạn vẫn nên cảnh giác: không nhấp vào liên kết trong email lừa đảo, nếu không bạn có thể thấy mình trên một trang được ngụy trang khéo léo. Những kẻ lừa đảo cũng có thể nhận được chứng chỉ cho các máy chủ lừa đảo của họ. Về lý thuyết, họ chỉ bị ngăn chặn việc mạo danh các trang web mà họ không sở hữu. Bạn có thể thấy một địa chỉ như //google.com.3526347346435.com. Trong trường hợp này, bạn đang sử dụng kết nối HTTPS nhưng bạn thực sự được kết nối với miền phụ của trang web có tên 3526347346435.com — không phải Google.
Những kẻ lừa đảo khác có thể bắt chước biểu tượng ổ khóa, thay đổi biểu tượng yêu thích của trang web của chúng xuất hiện trên thanh địa chỉ thành ổ khóa để cố lừa bạn. Hãy để ý những thủ thuật này khi kiểm tra kết nối của bạn với một trang web.