Chứng chỉ SSL là gì?

bởi Nguyễn Đức Anh
bảo mật SSL

Một trong các thành phần quan trọng nhất của việc kinh doanh online là tạo ra môi trường tin cậy nơi các khách hàng tiềm năng cảm thấy tự tin thoải mái thực hiện đặt hàng. Chứng chỉ SSL (SSL certificates) tạo nền tảng cho niềm tin bằng cách thiết lập kết nối an toàn (secure connection). Để đảm bảo người ghé thăm trang web có kết nối an toàn, trình duyệt cung cấp dấu hiệu biểu thị, bạn sẽ thấy một icon khóa nhỏ hoặc thanh màu xanh.

Chứng chỉ SSL có cặp khóa: một khóa công khai (public key) và một khóa riêng tư (private key). Những khóa này làm việc cùng nhau để thiết lập kết nối mã hóa (encrypted). Chứng chỉ cũng bao gồm cái được gọi là “đối tượng”, chính là thứ xác định chủ sở hữu trang web.

Để tạo một chứng chỉ, bạn phải tạo một Yêu cầu Chữ ký Chứng chỉ (CSR – Certificate Signing Request) trên máy chủ của bạn. Quá trình này tạo một khóa riêng và khóa công khai trên máy chủ của bạn. File dữ liệu CSR mà bạn gửi cho nhà phát hành Chứng chỉ SSL (còn được gọi là CA – Certificate Authority) bao gồm khóa công khai. Nhà phát hành chứng chỉ SSL sử dụng dữ liệu CSR để tạo ra cấu trúc dữ liệu nhằm khớp với khóa riêng tư mà không làm ảnh hướng đến chính nó. Nhà phát hành chứng chỉ SSL không bao giờ thấy khóa riêng.

Một khi bạn nhận được chứng chỉ SSL, bạn cài đặt nó trên máy chủ của bạn. Bạn cũng cài đặt một chứng chỉ trung gian thiết lập độ tin cậy của chứng chỉ SSL bằng cách buộc nó vào chứng chỉ gốc của CA. Các hướng dẫn cài đặt và kiểm tra chứng chỉ sẽ khác nhau tùy thuộc vào máy chủ bạn dùng.

Trong hình bên dưới, bạn có thể thấy cái gọi là chuỗi chứng chỉ (certificate chain). Nó kết nối chứng chỉ máy chủ của bạn với chứng chỉ gốc của nhà cung cấp chứng chỉ SSL thông qua chứng chỉ trung gian.

chuỗi chứng chỉ

Một trong những phần quan trọng nhất của chứng chỉ SSL là chữ ký số (digitally signed) bởi CA đáng tin cậy, như DigiCert. Bất kỳ ai cũng có thể tạo một chứng chỉ, nhưng các trình duyệt chỉ tin tưởng các chứng chỉ đến từ một tổ chức trong danh sách đáng tin cậy của các CA. Các trình duyệt có sẵn danh sách cài đặt của các CA tin cậy, được biết đến với tên gọi kho chứa Gốc các CA Tin cậy. Để được thêm vào kho chứa Gốc các CA Tin cậy và trở thành Cơ quan Chứng nhận, một công ty phải tuân theo các kiểm tra an ninh và các tiêu chuẩn chứng thực (authentication standards) được thành lập bởi các trình duyệt.

Chứng chỉ SSL do CA phát hành cho tổ chức và tên miền / trang web của tổ chức đó xác minh rằng một bên thứ ba đáng tin cậy đã xác thực danh tính của tổ chức đó. Vì các trình duyệt tin tưởng CA, trình duyệt cũng tin tưởng danh tính của tổ chức. Trình duyệt cho người dùng biết rằng trang web được bảo mật, và người dùng có thể cảm thấy an toàn khi duyệt trang và thậm chí khi nhập vào các thông tin bí mật của họ.

SSL (Secure Sockets Layer) là gì?

SSL là công nghệ bảo mật tiêu chuẩn để thiết lập mã hóa liên kết giữa máy chủ và máy khách – thường là một máy chủ web (website) và trình duyệt, hoặc một máy chủ mail và mail máy khách (ví dụ Outlook).

SSL cho phép thông tin nhạy cảm (sensitive information) như số thẻ tín dụng, số an sinh xã hội, và thông tin đăng nhập được vận chuyển an toàn. Thông thường, dữ liệu được gửi giữa trình duyệt và máy chủ web được truyền qua lại dưới dạng văn bản thuần túy – điều này làm bạn dễ bị lấy trộm thông tin. Nếu kẻ tấn công chặn được tất cả dữ liệu được gửi giữa trình duyệt và máy chủ web, hắn có thể nhìn và sử dụng thông tin này.

Cụ thể hơn, SSL là một giao thức bảo mật. Giao thức mô tả cách các thuật toán nên được sử dụng như thế nào. Trong trường hợp này, giao thức SSL xác định các biến số của mã hóa cho cả liên kết và dữ liệu được vận chuyển.

Tất cả các trình duyệt đều có khả năng tương tác với máy chủ web bảo mật sử dụng giao thức SSL. Dầu vậy, trình duyệt và máy chủ cần cái gọi là Chứng chỉ SSL để thiết lập một kết nối an toàn.

SSL đảm bảo dữ liệu của hàng triệu người trên Internet hàng ngày, đặc biệt là trong quá trình giao dịch trực tuyến hoặc khi vận chuyển thông tin bí mật. Người dùng Internet có sự liên kết tính bảo mật khi trực tuyến của họ với icon khóa ở các trang web có bảo mật SSL hoặc thanh địa chỉ màu xanh khi có SSL Xác thực Mở Rộng (Extended Validation SSL-secured). Các trang web có bảo mật SSL cũng được bắt đầu với https chứ không phải http.

Nếu bạn đã có kiến thức nền về Chứng chỉ SSL và công nghệ, bạn nên tìm hiểu tiếp về mật mã SSL (SSL cryptography).

Cách chứng chỉ SSL tạo lập một kết nối bảo mật?

Khi một trình duyệt cố gắng truy cập một trang web được bảo mật bằng SSL, trình duyệt và máy chủ web thiết lập một kết nối SSL sử dụng quá trình được gọi là “Bắt tay SSL / SSL Handshake” (xem đồ hình bên dưới). Lưu ý rằng Bắt tay SSL là vô hình với người dùng và xảy ra ngay lập tức.

Về bản chất, ba khóa được sử dụng để thiết lập kết nối SSL: khóa chung, khóa riêng và khóa session. Mọi thứ được mã hóa bằng khóa chung chỉ có thể được giải mã với khóa riêng và ngược lại.

Bởi quá trình mã hóa và giải mã với khóa riêng và khóa chung mất rất nhiều sức mạnh xử lý, họ chỉ sử dụng trong quá trình Bắt tay SSL để tạo khóa phiên đối xứng (symmetric session key). Sau khi kết nối bảo mật được tạo, khóa phiên được sử dụng để mã hóa tất cả dữ liệu được chuyển.

kết nối bảo mật SSL

  1. Trình duyệt kết nối tới máy chủ web (website) được bảo mật với SSL (https). Trình duyệt yêu cầu máy chủ xác định chính nó.
  2. Máy chủ gửi một bản sao chép Chứng chỉ SSL của nó, bao gồm cả khóa công khai của máy chủ.
  3. Trình duyệt kiểm tra chứng chỉ gốc trong danh sách của các CA tin cậy và chứng chỉ đó chưa hết hạn, không bị thu hồi, và tên chung của nó là hợp lệ cho trang web mà nó kết nối. Nếu trình duyệt tin tưởng chứng chỉ, nó sẽ tạo, mã hóa, và gửi lại khóa phiên đối xứng sử dụng khóa công khai của máy chủ.
  4. Máy chủ giải mã khóa phiên đối xứng sử dụng khóa riêng của nó và gửi lại mã xác nhận được mã hóa với khóa phiên để bắt đầu phiên mã hóa.
  5. Máy chủTrình duyệt giờ đây mã hóa tất cả các dữ liệu được truyền đi với khóa phiên.

Chứng chỉ của tôi là SSL hay là TLS?

Giao thức SSL luôn luôn sử dụng mã hóa và bảo mật dữ liệu truyền đi. Thời gian qua đi, các phiên bản mới và bảo mật hơn được phát hành, chỉ có số của phiên bản là thay đổi để phản ánh sự đổi thay (ví dụ SSLv2.0). Dầu vậy, khi đến bản cập nhật từ SSLv3.0, thay vì được gọi là phiên bản mới SSLv4.0, nó được đổi tên là TLSv1.0. Chúng ta hiện đang ở phiên bản TLSv1.2.

Bởi vì tên gọi SSL vẫn được biết đến nhiều hơn, thuật ngữ này được sử dụng phổ biến hơn, do vậy nhiều nơi trong đó có cả DigiCert cũng dùng tên gọi SSL khi đề cập đến chứng chỉ hoặc mô tả cách dữ liệu được chuyển giao bảo mật. Khi bạn mua chứng chỉ SSL từ DigiCert (ví dụ SSL tiêu chuẩn, SSL Xác thực Mở rộng, vân vân), bạn thực ra đang sử dụng chứng chỉ TLS (RSA hoặc ECC).

EV trông giống như thế nào?

EV-SSL
Nếu trang của bạn thu thập thông tin thẻ tín dụng bạn cần có chứng chỉ SSL là điều kiện cần có theo yêu cầu của PCI – Payment Card Industry. Nếu trang của bạn có phần đăng nhập hoặc nhận/gửi thông tin riêng tư (địa chỉ đường, số điện thoại, các bản ghi sức khỏe, vân vân), bạn phải sử dụng Chứng chỉ SSL Xác thực Mở rộng (Extended Validation SSL certificates) để bảo vệ dữ liệu đó. Các khách hàng của bạn muốn biết rằng bạn đánh giá cao tính bảo mật của họ và nghiêm túc bảo vệ thông tin của họ. Ngày càng có nhiều khách hàng trở thành người mua sắm hiểu biết và ưu tiên các thương hiệu họ tin tưởng giúp doanh nghiệp tăng trưởng.

(Dịch từ bài viết What is an SSL certificate – Website: Digicert)

0 bình luận