TLS là gì? HTTPS là gì?

TLS (Transport Layer Security) là một giao thức bảo mật được sử dụng đ�?bảo v�?việc truyền thông an toàn qua mạng. Nó đã phát triển t�?phiên bản trước đó là SSL (Secure Sockets Layer) và hiện được s�?dụng rộng rãi đ�?đảm bảo tính bảo mật trong việc trao đổi d�?liệu giữa các máy tính trên internet.

HTTPS (Hyper text Transfer Protocol Secure) là một biến th�?bảo mật của giao thức truyền tải siêu văn bản (HTTP) được s�?dụng đ�?truyền tải d�?liệu qua internet. HTTPS s�?dụng giao thức TLS (Transport Layer Security) hoặc phiên bản cũ hơn là SSL (Secure Sockets Layer) đ�?bảo mật d�?liệu trong quá trình truyền tải.

Không có HTTPS thì trao đổi giữa trình duyệt và máy ch�?ch�?là thuần văn bản. Có nghĩa là mật khẩu, hay s�?th�?tín dụng mà bạn gửi qua internet có th�?được đọc bởi bất kì ai có kh�?năng can thiệp vào quá trình gửi d�?liệu.

HTTPS được thiết k�?đ�?giải quyết vấn đ�?này, khiến d�?liệu gửi qua internet không th�?đọc được bởi bất kì ai ngoài người gửi và người nhận.

HTTPS là một phần m�?rộng của giao thức HTTP. Với HTTPS d�?liệu gửi đi một dạng đã mã hóa s�?dụng TLS (Transport Layer Security). Nếu d�?liệu b�?can thiệp bởi hacker thì tất c�?những gì h�?có th�?thấy là d�?liệu lộn xộn.

Cách TLS hoạt động

Bước 1: Giống như HTTP, trình duyệt thiết lập  kết nối TCP với server (máy ch�?.

Bước 2: Thiết lập “bắt tay�?TLS: client gửi lời chào đến server. Trong thông điệp này, trình duyệt thông báo tới server các thông tin sau:

• Phiên bản TLS nó có th�?h�?tr�?(có th�?là TLS 1.2, TLS 1.3�?
• Nó h�?tr�?Cyber Suite nào (Cyber Suite là một tập các thuật toán mã hóa s�?dụng đ�?mã hóa d�?liệu)

Sau khi nhận được thông điệp “hello�?t�?client, server chọn phiên bản Cyber Suite và TLS đ�?s�?dụng. Sau đó server gửi lại thông điệp “hello�?cho client gồm các thông tin trên.

Tiếp theo server gửi chứng ch�?cho client. Chứng ch�?này bao gồm nhiều th�?khác nhau. Trong đó th�?quan trọng là public key cho server. Client s�?dụng public key đ�?thực hiện mã hóa bất đối xứng (asymmetric encryption). Tức là một d�?liệu được mã hóa bởi public key thì ch�?có th�?giải mã bằng private key. Và việc này đã hoàn thành bước 2.

Sau bước này, client có chứng ch�?(certificate) và client và server đã thống nhất v�?phiên bản TLS và Cyber Suite.

Bước 3: client và server đi đến việc chia s�?key mã hóa được s�?dụng đ�?mã hóa d�?liệu. D�?liệu được mã hóa phía client s�?dụng public key t�?server ch�?có th�?được giải mã bởi server. Đây là cách client gửi một key mã hóa đến server một cách an toàn qua mạng internet. Tất c�?việc này được hoàn thành qua thông điệp trao đổi key (Client Key Exchange message)

Bước 4: client và server s�?dụng session key đ�?thống nhất v�?Cyber Suite đ�?gửi d�?liệu được mã hóa qua lại.

Cách https hoạt động

• Yêu cầu SSL/TLS Handshake

Quá trình bắt đầu khi người dùng truy cập một trang web bằng cách nhập URL bắt đầu bằng “//”. Máy tính của người dùng gửi yêu cầu kết nối bảo mật đến máy ch�?web.

• Chuẩn b�?SSL/TLS Handshake

Máy ch�?web phản hồi bằng việc gửi một chứng ch�?SSL/TLS (Secure Sockets Layer/Transport Layer Security) kèm theo. Chứng ch�?này chứa thông tin v�?máy ch�?và được ký bởi một t�?chức uy tín (CA – Certificate Authority).

• Xác thực máy ch�?/li>

Máy tính của người dùng kiểm tra chứng ch�?được gửi bởi máy ch�?đ�?đảm bảo tính xác thực của nó. Quá trình này đảm bảo rằng người dùng đang giao tiếp với máy ch�?thật s�? không phải là một máy ch�?gi�?mạo.

• Trò chuyện mã hóa

Sau khi xác thực máy ch�?thành công, máy tính của người dùng và máy ch�?s�?dụng quy ước mã hóa đ�?mã hóa d�?liệu trao đổi giữa chúng. Điều này đảm bảo rằng bất k�?ai đánh cắp thông tin cũng s�?không th�?đọc được nó.

• Truyền tải d�?liệu mã hóa

Tất c�?d�?liệu giữa máy tính của người dùng và máy ch�?đều được mã hóa trong suốt quá trình truyền tải. Ngay c�?khi ai đó có th�?nghe trộm giao tiếp, h�?cũng không th�?giải mã d�?liệu vì không có khóa giải mã.

• Hoàn tất SSL/TLS Handshake

Cuối cùng, máy tính của người dùng và máy ch�?hoàn tất quá trình bắt đầu kết nối bảo mật. Bây gi�? giao tiếp giữa h�?hoàn toàn mã hóa và an toàn.

Qua quá trình này, HTTPS đảm bảo rằng thông tin được truyền tải giữa người dùng và máy ch�?được bảo v�?khỏi các mối đe dọa như nghe trộm, đánh cắp d�?liệu và thay đổi nội dung trong quá trình truyền tải.

Bài viết có tham khảo: System Design Interview by Alex Xu & Sahn Lam

B�?môn Ứng dụng Phần mềm
Trường Cao đẳng FPT M?ng c�� c??c b��ng ?�� cơ s�?Đà Nẵng

The post TLS là gì? HTTPS là gì? Cách hoạt động của chúng ra sao? appeared first on Cao Đẳng FPT M?ng c�� c??c b��ng ?�� xét tuyển.