SSL.com cung cấp nhiều loại SSL /TLS chứng chỉ máy chủ cho các trang web HTTPS, bao gồm:
Bảo mật giao thức truyền siêu văn bản (HTTPS) là phiên bản bảo mật của giao thức HTTP sử dụng SSL /TLS giao thức để mã hóa và xác thực. HTTPS được chỉ định bởi RFC 2818 (Tháng 2000 năm 443) và sử dụng cổng 80 theo mặc định thay vì cổng XNUMX của HTTP.
Giao thức HTTPS giúp người dùng trang web có thể truyền dữ liệu nhạy cảm như số thẻ tín dụng, thông tin ngân hàng và thông tin xác thực đăng nhập một cách an toàn qua internet. Vì lý do này, HTTPS đặc biệt quan trọng để bảo mật các hoạt động trực tuyến như mua sắm, ngân hàng và làm việc từ xa. Tuy nhiên, HTTPS đang nhanh chóng trở thành giao thức tiêu chuẩn cho tất cả các trang web, cho dù họ có trao đổi dữ liệu nhạy cảm với người dùng hay không.
HTTPS thêm mã hóa, xác thựcvà tính toàn vẹn sang giao thức HTTP:
Mã hóa: Do HTTP ban đầu được thiết kế như một giao thức văn bản rõ ràng, nên nó dễ bị nghe lén và người đàn ông trong các cuộc tấn công giữa. Bằng cách bao gồm SSL /TLS mã hóa, HTTPS ngăn không cho dữ liệu được gửi qua internet bị bên thứ ba chặn và đọc. Xuyên qua mật mã khóa công khai và SSL /TLS bắt tay, một phiên giao tiếp được mã hóa có thể được thiết lập an toàn giữa hai bên chưa từng gặp trực tiếp (ví dụ: máy chủ web và trình duyệt) thông qua việc tạo khóa bí mật dùng chung.
Xác thực: Không giống như HTTP, HTTPS bao gồm xác thực mạnh mẽ qua SSL /TLS giao thức. SSL của một trang web /TLS Giấy chứng nhận Bao gồm một khóa công khai mà trình duyệt web có thể sử dụng để xác nhận rằng các tài liệu do máy chủ gửi (chẳng hạn như các trang HTML) đã được ký điện tử bởi ai đó sở hữu khóa cá nhân. Nếu chứng chỉ của máy chủ đã được ký bởi một tổ chức đáng tin cậy công khai cơ quan cấp chứng chỉ (CA), chẳng hạn như SSL.com, trình duyệt sẽ chấp nhận rằng mọi thông tin nhận dạng có trong chứng chỉ đã được xác thực bởi một bên thứ ba đáng tin cậy.
Các trang web HTTPS cũng có thể được định cấu hình cho chứng thực lẫn nhau, trong đó trình duyệt web trình bày một chứng chỉ ứng dụng khách xác định người dùng. Xác thực lẫn nhau rất hữu ích cho các tình huống như làm việc từ xa, nơi mong muốn bao gồm xác thực đa yếu tố, giảm nguy cơ Lừa đảo hoặc các cuộc tấn công khác liên quan đến hành vi trộm cắp thông tin xác thực. Để biết thêm thông tin về cách định cấu hình chứng chỉ ứng dụng khách trong trình duyệt web, vui lòng đọc cách làm này.
Tính toàn vẹn: Mỗi tài liệu (chẳng hạn như trang web, hình ảnh hoặc tệp JavaScript) được gửi đến trình duyệt bởi máy chủ web HTTPS bao gồm một chữ ký điện tử mà trình duyệt web có thể sử dụng để xác định rằng tài liệu đó chưa được thay đổi bởi một bên thứ ba hoặc bị hỏng khi đang vận chuyển. Máy chủ tính toán một băm mật mã nội dung của tài liệu, có kèm theo chứng chỉ số của nó, mà trình duyệt có thể tính toán một cách độc lập để chứng minh rằng tính toàn vẹn của tài liệu là nguyên vẹn.
Kết hợp với nhau, những đảm bảo về mã hóa, xác thực và tính toàn vẹn này làm cho HTTPS trở thành nhiều giao thức an toàn hơn để duyệt và tiến hành kinh doanh trên web hơn HTTP.
CA sử dụng ba cơ bản phương pháp xác nhận khi cấp chứng thư số. Phương pháp xác thực được sử dụng xác định thông tin sẽ được đưa vào SSL của trang web /TLS giấy chứng nhận:
• Xác thực miền (DV) chỉ cần xác nhận rằng tên miền được bao phủ bởi chứng chỉ nằm dưới sự kiểm soát của thực thể đã yêu cầu chứng chỉ.
• Xác thực Tổ chức / Cá nhân (OV / IV) chứng chỉ bao gồm tên đã được xác thực của một doanh nghiệp hoặc tổ chức khác (OV), hoặc một cá nhân (IV).
• Extended Validation (EV) chứng chỉ đại diện cho tiêu chuẩn cao nhất về độ tin cậy trên internet và đòi hỏi CA nỗ lực nhiều nhất để xác thực. Chứng chỉ EV chỉ được cấp cho các doanh nghiệp và các tổ chức đã đăng ký khác, không cấp cho các cá nhân và bao gồm tên đã được xác thực của tổ chức đó.
Để biết thêm thông tin về cách xem nội dung của chứng thư số của trang web, vui lòng đọc bài viết của chúng tôi, Làm cách nào để kiểm tra xem một trang web được điều hành bởi một doanh nghiệp hợp pháp?
Có nhiều lý do chính đáng để sử dụng HTTPS trên trang web của bạn và để nhấn mạnh vào HTTPS khi duyệt, mua sắm và làm việc trên web với tư cách là người dùng:
Tính toàn vẹn và xác thực: Thông qua mã hóa và xác thực, HTTPS bảo vệ tính toàn vẹn của giao tiếp giữa trang web và trình duyệt của người dùng. Người dùng của bạn sẽ biết rằng dữ liệu được gửi từ máy chủ web của bạn không bị chặn và / hoặc bị thay đổi bởi bên thứ ba khi chuyển tiếp. Và, nếu bạn đã đầu tư thêm vào chứng chỉ EV hoặc OV, họ cũng sẽ có thể cho biết rằng thông tin thực sự đến từ doanh nghiệp hoặc tổ chức của bạn.
Bảo mật: Tất nhiên không ai muốn những kẻ xâm nhập lấy được số thẻ tín dụng và mật khẩu của họ trong khi họ mua sắm hoặc ngân hàng trực tuyến, và HTTPS là công cụ tuyệt vời để ngăn chặn điều đó. Nhưng bạn sẽ có thật không muốn mọi thứ khác mà bạn thấy và làm trên web trở thành một cuốn sách mở cho bất kỳ ai muốn rình mò (bao gồm chính phủ, nhà tuyển dụng hoặc ai đó đang xây dựng hồ sơ để khử ẩn danh hoạt động trực tuyến của bạn)? HTTPS cũng đóng một vai trò quan trọng ở đây.
Kinh nghiệm người dùng: Những thay đổi gần đây đối với giao diện người dùng của trình duyệt đã dẫn đến việc các trang web HTTP bị gắn cờ là không an toàn. Bạn có muốn trình duyệt của khách hàng cho họ biết rằng trang web của bạn là "Không an toàn" hay hiển thị cho họ một ổ khóa bị gạch chéo khi họ truy cập vào trang web đó? Dĩ nhiên là không!
Khả năng tương thích: Những thay đổi hiện tại của trình duyệt đang đẩy HTTP đến gần hơn với tình trạng không tương thích. Mozilla Firefox gần đây đã công bố một tùy chọn Chế độ chỉ HTTPS, trong khi Google Chrome đang dần chuyển sang chặn nội dung hỗn hợp (Tài nguyên HTTP được liên kết với các trang HTTPS). Khi được xem cùng với các cảnh báo của trình duyệt về “sự không an toàn” đối với các trang web HTTP, có thể dễ dàng nhận thấy rằng chữ viết trên tường đối với HTTP. Vào năm 2020, tất cả các trình duyệt và thiết bị di động chính hiện tại đều hỗ trợ HTTPS, vì vậy bạn sẽ không mất người dùng khi chuyển từ HTTP.
NẾU: Các công cụ tìm kiếm (bao gồm cả Google) sử dụng HTTPS như một tín hiệu xếp hạng khi tạo kết quả tìm kiếm. Do đó, chủ sở hữu trang web có thể dễ dàng tăng SEO chỉ bằng cách định cấu hình máy chủ web của họ để sử dụng HTTPS thay vì HTTP.
Tóm lại, không còn bất kỳ lý do chính đáng nào để các trang web công cộng tiếp tục hỗ trợ HTTP. Ngay cả Chính phủ Hoa Kỳ là trên tàu!
HTTPS thêm mã hóa sang giao thức HTTP bằng cách gói HTTP bên trong SSL /TLS (đó là lý do tại sao SSL được gọi là giao thức đường hầm), để tất cả các thông báo được mã hóa theo cả hai hướng giữa hai máy tính nối mạng (ví dụ: máy khách và máy chủ web). Mặc dù kẻ nghe trộm vẫn có thể truy cập địa chỉ IP, số cổng, tên miền, lượng thông tin được trao đổi và thời lượng của phiên, nhưng tất cả dữ liệu thực tế được trao đổi đều được mã hóa an toàn bằng SSL /TLS, Bao gồm:
• URL yêu cầu (trang web nào được khách hàng yêu cầu)
• Nội dung trang web
• Tham số truy vấn
• Headers
• Cookies
HTTPS cũng sử dụng SSL /TLS giao thức cho xác thực. SSL /TLS sử dụng các tài liệu kỹ thuật số được gọi là Giấy chứng nhận X.509 để ràng buộc mật mã cặp chìa khóa đến danh tính của các thực thể như trang web, cá nhân và công ty. Mỗi cặp khóa bao gồm một khóa cá nhân, được giữ an toàn, và một khóa công khai, có thể được phân phối rộng rãi. Bất cứ ai có khóa công khai đều có thể sử dụng nó để:
• Gửi một tin nhắn mà chỉ người sở hữu khóa cá nhân mới có thể giải mã.
• Xác nhận rằng một tin nhắn đã được ký điện tử bằng khóa riêng tương ứng của nó.
Nếu chứng chỉ được trình bày bởi một trang web HTTPS đã được ký bởi một người đáng tin cậy công khai cơ quan cấp chứng chỉ (CA), Chẳng hạn như SSL.com, người dùng có thể yên tâm rằng danh tính của trang web đã được xác nhận bởi một bên thứ ba đáng tin cậy và được kiểm toán nghiêm ngặt.
Vào năm 2020, các trang web không sử dụng HTTPS hoặc phân phát nội dung hỗn hợp (cung cấp các tài nguyên như hình ảnh qua HTTP từ các trang HTTPS) phải tuân theo các lỗi và cảnh báo bảo mật của trình duyệt. Hơn nữa, các trang web này xâm phạm quyền riêng tư và bảo mật của người dùng một cách không cần thiết và không được các thuật toán của công cụ tìm kiếm ưa thích. Do đó, các trang web HTTP và các trang web có nội dung hỗn hợp có thể mong đợi nhiều cảnh báo và lỗi trình duyệt hơn, hạ thấp lòng tin của người dùng và SEO kém hơn so với nếu họ đã bật HTTPS.
URL HTTPS bắt đầu bằng https:// thay vì http://. Các trình duyệt web hiện đại cũng chỉ ra rằng người dùng đang truy cập trang web HTTPS an toàn bằng cách hiển thị biểu tượng ổ khóa đóng ở bên trái của URL:
Trong các trình duyệt hiện đại như Chrome, Firefox và Safari, người dùng có thể bấm vào ổ khóa để xem liệu chứng chỉ số của trang web HTTPS có bao gồm thông tin xác định về chủ nhân của nó.
Để bảo vệ một trang web công khai bằng HTTPS, cần phải cài đặt SSL /TLS Giấy chứng nhận được ký bởi một người đáng tin cậy công khai cơ quan cấp chứng chỉ (CA) trên máy chủ web của bạn. SSL.com của kiến thức cơ bản bao gồm nhiều hướng dẫn hữu ích và cách thực hiện để định cấu hình nhiều nền tảng máy chủ web khác nhau để hỗ trợ HTTPS.
Để biết thêm hướng dẫn chung về cấu hình máy chủ HTTP và khắc phục sự cố, vui lòng đọc SSL /TLS Thực tiễn tốt nhất cho năm 2020 và Khắc phục sự cố SSL /TLS Lỗi và cảnh báo trình duyệt.
