Lớp cổng bảo mật (Secure Sockets Layer - SSL) là một giao thức bảo mật cung cấp quyền riêng tư, xác thực và tính toàn vẹn cho truyền thông Internet. SSL cuối cùng đã phát triển thành bảo mật lớp vận chuyển (Transport Layer Security - TLS)
SSL là gì?
Lớp cổng bảo mật là một giao thức bảo mật Internet dựa trên mã hóa. Nó được Netscape phát triển lần đầu tiên vào năm 1995 với mục đích đảm bảo quyền riêng tư, tính xác thực và toàn vẹn dữa liệu trong truyền thông Internet. SSL là tiền thân (predecessor - người tiền nhiệm) của mã hóa hiện đại TLS được sử dụng ngày nay.
Một trang web triển khai SSL/TLS có "HTTPS" trong URL thay vì "HTTP".
SSL/TLS hoạt động như thế nào?
- Để mang lại mức độ riêng tư cao, SSL mã hóa dữ liệu được truyền qua web. Điều này có nghĩa là bất kì ai cố gắng chặn dữ liệu này sẽ chỉ nhìn thất một tập hợp các ký tự bị cắt xen mà gần như không thể giải mã được.
- SSL khởi tạo một quá trình xác thực được gọi là bắt tay giữa hai thiết bị giao tiếp để đảm bảo rằng cả hai thiết bị đều thực sự giống như những gì chứng tuyên bố.
- SSL cũng ký kỹ thuật số dữ liệu để cung cấp tính toàn vẹn của dữ liệu, xác minh rằng dữ liệu dữ liệu không bị giả mạo (tamper - làm xáo trộn, làm giả mạo) trước khi đến tay người nhận dự định (intended - dự định; recipient - người nhận) .
Đã có nhiều lần lặp lại SSL, lần sau lại toàn vẹn hơn lần trước. Năm 1999 SSL đã được cập nhật để trở thành TLS.
Tại sao SSL/TLS lại quan trọng?
Ban đầu, dữ liệu trên Web được truyền ở dạng văn bản gốc mà bất kỳ ai cũng có thể đọc nếu họ chặn được tin nhắn (intercept - chặn). Ví dụ, nếu người tiêu dùng truy cập một trang web mua sắm, đặt hàng và và nhập số thẻ tín dụng của họ trên trang web, số thẻ tín dụng đó sẽ di chuyển trên Internet mà không bị che dấu (concealed - dấu).
SSL được tạo để khắc phục sự cố này và bảo vệ quyền riêng tư người dùng. Bằng cách mã hóa bất kì dữ kiệu nào giữa người dùng và máy chủ web, SSL đảm bảo rằng bất kỳ ai chặn được dữ liệu chỉ có thể nhìn thất một mớ ký tự lộn xộn. Số thẻ tín dụng của người tiêu thụ bây giờ sẽ an toàn, chỉ hiển thị trên trang web mà họ đã nhập.
SSL cũng ngăn chặn một số loại tấn công mạng nhất định: Nó xác thực các máy chủ Web, điều này rất quan trọng bởi vì những kẻ tấn công thường cố gắng thiết lập các trang web giả mạo để lừa đảo người dùng và đánh cắp dữ liệu. Nó cũng ngăn chặn những kẻ tấn công giả mạo dữ liệu trong quá trình vận chuyển, chẳng hạn như niêm phong chống giả mạo trên hộp dựng thuốc. (proof - bằng chứng)
SSL và TLS có phải là một?
SSL là tiền thân trực tiếp của một giao thức khác được gọi là TLS. Năm 1999, lực lượng đăc nhiệm kỹ thuật Internet đã đề xuất (propose - đề nghị, cầu hôn) cập nhật cho SSL. Vì bản cập nhật này đang được phát triển bởi IETF và Netscape không còn liên quan nữa (involve), nên tên đã được đổi thành TLS. Sự khác biệt giữa phiên bản cuối cùng (3.0) và phiên bản đầu tiên của TLS không lớn (drastic - quyết liệt, thuốc tẩy), việc thay đổi tên được áp dụng để biểy thị sự thay đổi quyền sở hữu.
Vì chúng có liên quan chặt chẽ với nhau nên hai thuật ngữ này thường được sử dụng để thay thể cho nhau và gây nhầm lẫn. Một vài người vẫn sử dụng SSL để chr TLS, số khác lại sử dụng thuật ngữ "mã hóa SSL/TLS" bởi vì SSL vẫn được nhiều người biết đến tên gọi.
SSL còn được cập nhật không?
SSL chưa được cập nhật kể từ SSL 3.0 năm 1996 và hiện được coi là không được dùng nữa. Có một số lỗ hổng đã biết trong giao thức SSL (vulnerability - tính dễ bị tổn thương), và các chuyên gia bảo mật khuyến khích ngừng sử dụng nó. Trong thực tế, hầu hết các trình duyệt web hiện đại đều không còn hỗ trợ SSL nữa.
TLS là giao thức được mã hóa cập nhật vẫn đang được triển khai trực tuyến, mặc dù nhiều người vẫn gọi nó là "mã hóa SSL". Đây có thể là nguyên nhân gây nhầm lẫn cho người dùng đang tìm kiếm các giải pháp bảo mật. Sự thật là bất kì nhà cung cấp nào cung cấp "SSL" ngày nay gần như chắc chắn đều cùng cấp bảo vệ TLS, vốn đã là tiêu chuẩn ngành trong hơn 20 năm. Nhưng vì nhiều người vẫn đang tìm kiếm "bảo vệ SSL", thuật ngữ này vẫn xuất hiện nổi bật trên nhiều trang sản phẩm. (prominently - nổi bật)
Chứng chỉ SSL là gì?
SSL chỉ có thể được triển khai bởi các trang web có chứng chỉ SSL (về mặt kỹ thuật là "chứng chỉ TLS"). Một chứng chỉ SSL giống như một thẻ ID hay một huy hiệu chứng minh ai đó là chính mình (prove - chứng minh). Các chứng chỉ SSL được lưu trữ và hiển thị trên trang Web bởi máy chủ của trang web hoặc của ứng dụng.
Một phần quan trọng nhất của thông tin trong chứng chỉ SSL là khóa công khai của tran web. Khóa công khai giúp cho việc mã hóa và xác thực trở nên khả thi. Một thiết bị người dùng xem khóa công khai và sử dụng nó để thành lập khóa mã hóa an toàn với máy chủ web. Trong khi đó mãy chủ web cũng có một khóa rieng tư được giữ bí mật ; khóa riêng tư giả mã dữ liệu được mã hóa bởi khóa công khai.
Cơ quan cấp chứng chỉ (CA) chịu trách nhiệm phát hành các chứng chỉ SSL. (issuing - phát hành)
Các loại chứng chỉ SSL là gì?
Có một vài loại chứng chỉ SSL khác nhau. Một chứng chỉ có thể áp dụng cho một hoặc một vài trang web, phụ thuộc vào loại:
- Single-domain - Tên miền đơn: Chứng chỉ SSL tên miền đơn áp dụng cho một tên miền (một tên miền là tên của trang web, giống như wwwblogspot.com)
- Wildcard - Kí tự đại diện: Giống như chứng chỉ tên miền đơn, một chứng chỉ kí tự đại diện áp dụng cho một tên miền. Tuy nhiên, nó cũng bao gồm các tên miền phụ của tên miền đó. Ví dụ, một chứng chỉ kí tự đại diện có thể bao gồm www.blogspot.com, nocoem.blogspot.com, trong khi chứng chỉ tên miền đơn chỉ bao gồm domain đầu tiên.
- Multi-domain - Đa tê miền: Như cái tên đã chỉ ra (indicate - biểu thị, cho hay), chứng chỉ SSL đa miền có thể áp dụng cho các tên miền không liên quan đến nhau.
- Các chứng chỉ SSL cũng đi kèm với các cấp độ xác thực khác nhau. Một cấp độ xác thực giống như kiểm tra lý lịch, và cấp độ theo đổi tùy theo mức độ kỹ lưỡng của kiếm tra. (thoroughess - sự tỉ mỉ)
- Domain Validation - Xác thực tên miền: Đây là cấp độ xác thực ít nghiêm ngặt nhất, và rẻ nhất. Tất cả những gì doanh nghiệp phải làm là chứng minh họ kiểm soát tên miền.
- Organization Validation - Xác thực tổ chức: Đây là một quy trình thực tế hơn (): CA liên hệ trực tiếp đến cá nhân hoặc doanh nghiệp yêu cầu chứng chỉ. Những chứng chỉ này đáng tin cậy hơn cho người dùng.
- Extended Validation - Xác thực mở rộng: Điều này yêu cầu kiểm tra lý lịch đầy đủ của một tổ chức trước khi chứng chỉ SSL có thể được ấp.
