SSL là gì ? SSL là viết tắt của từ Secure Sockets Layer. Đây là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết giữa máy chủ web và trình duyệt.
Chứng chỉ SSL/chứng thực SSL là thứ có thể giúp website của bạn chuyển từ HTTP sang HTTPs, bảo mật hơn HTTP. Một chứng thực SSL là một tệp dữ liệu được lưu trên máy chủ gốc của Website. Chứng thực SSL tạo mã hóa SSL/TLS, và nó chứa các pulic key của website và nhận dạng website, cùng các thông tin có liên quan. Các thiết bị truy cập vào sẽ thấy trên server gốc hiển thị một tập tin có chứa Pulic Key và thông tin xác thực Server. Private key thì bảo mật và được giấu đi.
SSL là gì ?
SSL, còn gọi là TLS, là một giao thức (protocol) trong việc mã hóa các truy cập trên Internet và xác thực nhận dạng server (server identity). Bất kỳ website nào có https đều dùng SSL/TLS.
SSL chứa thông tin gì ?
Chứng thực SSL bao gồm:
+ Tên miền mà chứng chỉ được cấp phép
+ Cá nhân, tổ chức, hoặc thiết bị được cấp phép
+ Chữ ký số được xác thực
+ Các subdomain gắn kết với domain chính
+ Ngày hết hạn của chứng thư
+ Pulic key (private key thì bí mật, không hiện ra)
Public key và Private key được dùng cho SSL là các chuỗi dài ngoằn các ký tự sử dụng cho việc mã hóa và giải mã dữ liệu. Dữ liệu được mã hóa thông qua các public key chỉ có thể giải mã thông qua private key.
Vì sao website cần có chứng thư SSL ?
Một website cần có chứng thư SSL để bảo mật dữ liệu người dùng, xác thực chủ sở hữu của website, ngăn ngừa tấn công từ các nguồn lạ, và nhận được sự tin tưởng của người dùng.
Mã hóa (Encryption): Mã hóa SSL/TLS có thể được tạo ra bởi vì các public-private key được thực hiện thông qua các chứng thực SSL. Người dùng (cụ thể là các trình duyệt web) lấy public key này để mở kết nối TLS thông qua một chứng thực SSL trên máy chủ.
Xác thực (Authentication): chứng thực SSL xác thực rằng một khách hàng (người dùng) giao tiếp đúng với server và chính chủ tên miền. Điều này giúp tránh tình trạng tấn công giả mạo tên miền và các hình thức tấn công khác.
HTTPS: Rất quan trọng trong kinh doanh, một chứng thực SSL rất cần cho địa chỉ website. HTTPS an toàn hơn HTTP, và các website HTTPS giúp các truy cập được mã hóa sang dạng SSL/TLS, còn HTTP thì không.
Để tăng sự bảo mật thông tin người dùng, HTTPS thêm nhiều tính năng xác thực website. Người dùng sẽ không chú ý sự khác biệt giữa http:// và https:// , nhưng hầu hết các trình duyệt lại hay báo các trang HTTP là “not secure – không bảo mật” theo cách thông báo riêng của trình duyệt, yêu cầu cần phải chuyển sang HTTPS và để gia tăng sự an toàn.
1 website nhận được chứng thực SSL bằng cách nào ?
Để có 1 chứng thực SSL, tên miền cần được một chứng chỉ xác thực (Certificate Authority, gọi tắt là CA). Một CA là một tổ chức bên ngoài, bên thứ 3 đáng tin cậy, có nhiệm vụ tạo ra và cung cấp chứng thực SSL. CA cũng cugn cấp chữ ký số cho chứng thực với Private key cá nhân, cho phép người dùng các thiết bị xác thực được nó. Nhưng đa phần, không phải toàn bộ, CA sẽ miễn phí trong việc cấp chứng thực SSL.
Khi một chứng thực được cấp phép, nó cần được cài đặt và kích hoạt trên server nguồn của website. Các dịch vụ web hosting có thể thực hiện điều này thông qua các toán tử website. Khi được kích hoạt trên server gốc, website có thể chạy HTTPS và tất cả các traffic đến và đi từ website đều được mã hóa và bảo mật.
Chứng thực SSL tự ký (self-signed SSL certificate) là gì ?
Về mặt kỹ thuật, bất kỳ ai cũng có thể tạo ra chứng thực SSL riêng thông qua việc tạo ra các public-private key và đính kèm các thông tin khai báo như đã đề cập bên trên. Các chứng chỉ như thế được gọi là chứng chỉ tự ký bởi vì các chữ ký số được tạo ra, thay vì từ CA, thì từ chính private key riêng của website.
Nhưng với các chứng thực tự ký, không hề có xác thực bên ngoài nào để xác nhận rằng server chủ này là ổn. Các trình duyệt website không xem các chứng chỉ tự ký này đáng tin cậy và có thể đánh dấu trang với chữ “Không bảo mật – Not Secure”, dù rằng trên URL có chữ https:// . Các trình duyệt cũng loại ra các kết nối đến đó, chặn website load trang.