SSL là một giải pháp mang đến những trải nghiệm website an toàn hơn cho người dùng. SSL giúp bảo mật thông tin truyền đi cũng như nâng cao độ tin cậy của trang web. Cùng bài viết này tìm hiểu về SSL nhé:
Mục lục bài viết
1. SSL là gì?
SSL là từ viết tắt của cụm từ Secure Sockets Layer (Lớp socket bảo mật), đây là một công nghệ tiêu chuẩn cho phép người dùng thiết lập được mã hóa an toàn kết nối giữa máy chủ web (host) và trình duyệt web (client). Kết nối SSL đảm bảo dữ liệu được truyền giữa máy chủ web (host) và trình duyệt web (client) được duy trì một cách riêng tư, đáng tin cậy. SSL hiện đã được sử dụng bởi hàng triệu trang web để bảo vệ các giao dịch trực tuyến của họ với khách hàng. Nếu bạn đã từng truy cập một trang web có sử dụng https trên thanh địa chỉ, điều này nghĩa là bạn đã tạo một kết nối an toàn qua SSL, SSL sẽ giúp tạo lập sự tin tưởng với khách hàng và bảo mật thông tin được trao đổi qua lại giữa bạn với khách hàng. Tuy nhiên, công nghệ này đang lỗi thời và được thay thế hoàn toàn bởi TLS.
Hiểu một cách đơn giản, SSL là một phương thức thức bảo mật truy cập được sử dụng trong giao thức https, công nghệ này có vai trò cực kỳ quan trọng giúp trải nghiệm duyệt web hiện đại và an toàn cho người dùng hiện nay.
Chúng ta có một thuật ngữ liên quan khác đó là TLS – từ viết tắt của cụm từ Transport Layer Security (bảo mật tầng giao vận), thực chất nó giúp bảo mật thông tin truyền giống như SSL. Nhưng vì SSL không còn được phát triển nữa, nên TLS mới là thuật ngữ đúng nên dùng. TLS cũng được biết đến chủ yếu thông qua việc sử dụng trong duyệt web có sử dụng “https” và đặc biệt là khi một phiên truy cập bảo mật sẽ xuất hiện biểu tượng ổ khóa trong trình duyệt web.
HTTPS là phần mở rộng bảo mật hay phiên bản an toàn của HTTP (Hypertext Transfer Protocol). Để thiết lập kênh kết nối an toàn tới server, khi sử dụng HTTPS với tên miền, bạn cần cài đặt một chứng chỉ SSL hoặc TLS trên trang web của mình
Tóm lại, khi nói về SSL, chúng ta cần biết:
– Vai trò của SSL/TLS là bảo mật các thông tin cá nhân của bạn trong quá trình truyền trên internet như thông tin cá nhân, thông tin thanh toán, thông tin đăng nhập.
– SSL/TLS là một giải pháp thay thế cho phướng pháp truyền thông tin văn bản không được mã hóa như plain text, nên việc áp dụng mã hóa vào sẽ khiến cho các bên thứ 3 không xâm nhập được bào thông tin của bạn, không thể đánh cắp hay chỉnh sửa được các thông tin đó.
– Hầu hết mọi người đều quen thuộc với các chứng chỉ SSL/TLS, đang được dùng bởi các website lớn và các webmaster có bảo vệ các giao dịch người dùng.
– Bằng cách nhìn vào icon trong URL ngay trong thanh địa chỉ, bạn có thể biết được website có đang dùng chứng chỉ bảo mật SSL/TLS hay không một cách đơn giản. Chẳng hạn, nếu thanh địa chỉ có icon ổ khóa tức là bạn đang sử dụng TLS.
Nếu website mà bạn sử dụng tương tác với người dùng với các tính năng như yêu cầu Đăng nhập, gửi thông tin cá nhân, thông tin tài khoản ngân hàng … hoặc bất kỳ thông tin cá nhân nào từ trình duyệt của người dùng lên máy chủ. Những thông tin này cần được đảm bảo an toàn, bạn nên sử dụng SSL/TLS cho website, email, ftp … của mình.
Nếu không sử dụng SSL/TSL thì hacker hoặc người khác với mục đích xấu sẽ dễ dàng tấn công bằng cách sử dụng các phương thức xấu như Man-in-the-middle để đánh cắp thông tin.
2. Có những loại SSL nào?
Để hiểu rõ hơn, chúng ta cũng cần biết Certificate Authority (CA) là gì?
CA là tổ chức phát hành các chứng thực các loại chứng thư số cho người dùng, doanh nghiệp, máy chủ (server), mã code, phần mềm. Nhà cung cấp chứng thực số đóng vai trò là bên thứ ba (được cả hai bên tin tưởng) để hỗ trợ cho quá trình trao đổi thông tin an toàn.
– Domain Validation – Xác thực tên miền (DV SSL)
Chứng chỉ SSL này được sử dụng để chứng thực cho Domain Name – Website (hay xác thực tên miền của website), khi sử dụng chứng chỉ này, website đã được mã hoá an toàn khi trao đổi dữ liệu. Việc xin cấp DV SSL rất đơn giản, bạn chỉ cần xác minh quyền sở hữu miền thông qua email. Do quy trình xác thực tự động nên đây là loại chứng chỉ rẻ nhất cũng là chứng chỉ cơ bản nhất mà các website hiện nay có. Khi 1 Website sử dụng DV SSL thì sẽ được xác thực tên domain, .
– Organization Validation – Xác thực Tổ chức (OV SSL)
Chứng chỉ số OV SSL dùng để xác định tổ chức dàng cho Tổ chức cung cấp sự đảm bảo nhận dạng tức thì và mã hóa mạnh. Việc xác nhận của OV SSL không dễ dàng như DV SSL vì nhà phát hành (CA) cần xác nhận tên, tên miền và thông tin khác của công ty cùng với xác nhận thông tin do bạn cung cấp là chính xác và hợp pháp.
– Extended Validation – Xác thực mở rộng (EV SSL)
EV SSL là chứng chỉ có độ bảo mật cao nhất và chỉ được phát hành sau một quy trình xác thực nghiêm ngặt. Nhà phát hành (CA) chỉ phát hành Chứng chỉ EV SSL nếu người nộp đơn đáp ứng được bộ các nguyên tắc được quy định cho CA (Tiêu chuẩn Xác thực Mở rộng). Đây là loại SSL đặc biệt được sử dụng rộng rãi, nhất là trong các cửa hàng trực tuyến, các trang web thương mại điện tử hoặc bởi các ngân hàng muốn xây dựng một môi trường đáng tin cậy. Người dùng sẽ được cung cấp xác nhận hình ảnh, đây là mức độ bảo mật cao nhất, các trang web này có thể tăng cường và duy trì niềm tin của khách hàng.
– Subject Alternative Names (SANs SSL)
Nhiều tên miền hợp nhất trong 1 chứng thư số:
– Một chứng thư số SSL tiêu chuẩn chỉ bảo mật cho duy nhất một tên miền đã được kiểm định. Lựa chọn thêm SANs chỉ với chứng thư duy nhất bảo đảm cho nhiều tên miền con. SANs mang lại sự linh hoạt cho người sử dụng, dễ dàng hơn trong việc cài đặt, sử dụng và quản lý chứng thư số SSL. Ngoài ra, SANs có tính bảo mật cao hơn Wildcard SSL, đáp ứng chính xác yêu cầu an toàn đối với máy chủ và làm giảm tổng chi phí triển khai SSL tới tất cả các tên miền và máy chủ cần thiết.
– Chứng thư số SSL SANs có thể tích hợp với tất cả các loại chứng thư số SSL của GlobalSign bao gồm:Chứng thực tên miền (DV SSL),Chứng thực tổ chức doanh nghiệp (OV SSL)và Chứng thực mở rộng cao cấp (EV SSL).
– Wildcard SSL Certificate (Wildcard SSL)
Loại chứng chỉ này cho phép bạn sử dụng không giới hạn cho các sub domain (tên miền con) và có thể bảo vệ tên chung của một trang web. ví dụ: www.yourdomain.com, blog.yourdomain.com, mail.yourdomain.com v.v Đây là chứng chỉ lý tưởng dành cho các cổng thương mại điển tử, khi thực hiện một giao dịch trực tuyển (đặt hàng, thanh toán, đăng ký & đăng nhập tài khoản,…), ta có thể dùng duy nhất một chứng chỉ số Wildcard cho tên miền chính của website. Về căn bản, nó giống như một chứng chỉ SSL thông thường và không yêu cầu bạn phải xử lý thêm thủ tục nào.
– Chứng chỉ ký mã (Code Signing): Ngoài những loại chứng chỉ kể trên, có một loại chứng chỉ khác đó là Chứng chỉ ký mã cho phép các nhà phát triển phần mềm ký điện tử vào phần mềm hoặc ứng dụng của họ. Chứng chỉ ký mã xác nhận tác giả / nhà cung cấp phần mềm và đảm bảo rằng mã không bị thay đổi hoặc bị hỏng vì nó đã được ký. Code Signing chứng tỏ phần mềm đã ký là hợp pháp và bảo vệ phần mềm khỏi bị giả mạo.
3. Lợi ích khi sử dụng SSL:
Có thể nói rằng, SSL giống như một “xương sống” trong việc đảm bảo an toàn trên Internet. Nó cung cấp sự riêng tư, bảo mật nghiêm ngặt và toàn vẹn cho dữ liệu của cả trang web và thông tin cá nhân của bạn khi chúng được truyền qua các mạng máy tính trên thế giới.
– SSL mã hóa thông tin
Đây là một trong những lí do chính khiến việc ngày càng có nhiều website của tổ chức, doanh nghiệp sử dụng SSL. SSL giữ cho những thông tin được mã hóa khi trao đổi qua Internet và chỉ có những người nhận được chỉ định mới có thể hiểu nó. Khi chứng chỉ SSL được sử dụng, thông tin sẽ trở thành không thể đọc được đối với tất cả mọi người, kể cả những máy tính trung gian, ngoại trừ máy chủ mà thông tin đang được gửi đến. Nhờ đó mà hacker và những kẻ lấy cắp không thể đọc hay lấy trộm thông tin của bạn.
– SSL cung cấp tính xác thực
Một chứng nhận SSL thích hợp cũng cung cấp sự xác thực giúp bạn có thể chắc chắn rằng mình đang gửi thông tin đến đúng máy chủ chứ không phải đến một bên trung gian hay một kẻ mạo danh lừa đảo nào đó đang cố gắng ăn cắp thông tin của bạn. Bản chất của Internet là việc trao đổi thông tin thông qua nhiều máy tính giữa những người dùng. Vì vậy rất dễ dàng tồn tại một máy tính nào đó đóng giả làm máy chủ mà bạn đang muốn gửi thông tin đến. Điều này chỉ có thể tránh được bằng cách sử dụng một PKI (Public Key Infrastructure) thích hợp và nhận được một chứng chỉ SSL từ nhà cung cấp SSL (CA) đáng tin cậy.
Để biết nhà cung cấp SSL có đáng tin cậy hay không? Bạn có thể sử dụng chứng chỉ SSL Wizard để so sánh giữa các nhà cung cấp SSL, có sẵn trong hầu hết các trình duyệt web.
– SSL cung cấp sự tin cậy
Các trình duyệt web sẽ cung cấp cho người dùng tín hiệu để biết rằng kết nối của mình đang được đảm bảo chẳng hạn như biểu tượng ổ khóa hoặc một thanh màu xanh lá cây. Nhờ đó, khách hàng sẽ tin tưởng trang web hơn. Giả sử trường hợp bạn gặp một email lừa đảo, được gửi từ một kẻ xấu đang cố gắng mạo danh trang web của bạn. Email này thường chứa một liên kết dẫn đến website của hắn hoặc sử dụng Man-in-the-middle attack (tên tội phạm sẽ lừa khách hàng để họ gửi thông quan trọng đến cho chúng) trên tên miền của website. Nhưng một kẻ nghe lén, hacker thường khó có được một chứng chỉ SSL, nên nếu trang web có SSL, thì chúng không thể mạo danh website một cách hoàn hảo, và người dùng sẽ ít có khả năng bị lừa đảo hơn.
– SSL được yêu cầu cho PCI Compliance
Để chấp nhận thông tin thẻ tín dụng trên website, bạn phải vượt qua những cuộc kiểm tra để chứng minh rằng bạn đang tuân thủ các tiêu chuẩn thanh toán bằng thẻ – Payment Card Industry, PCI. Để vượt qua điều này, bạn cần sử dụng chứng chỉ SSL.
– SSL đối với SEO
Google đã đưa ra thông báo rằng HTTPS sẽ là một tiêu chí để xếp hạng website. Nghĩa là khi đưa ra kết quả cho người tìm kiếm, trang web có SSL sẽ được ưu tiên hơn trang web cùng loại nhưng không có SSL.
4. Nhược điểm của SSL:
Bên cạnh những lợi ích quan trọng mà SSL mang lại, nó cũng có một số đặc điểm nhất đinh, trong đó nhược điểm về Chi phí là điều dễ nhìn thấy nhất. Chi phí đến từ việc thiết lập một cơ sở hạ tầng đáng tin cậy và việc xác nhận danh tính (chẳng hạn chứng chỉ EV SLL là chứng chỉ có độ bảo mật cao nhất thì chi phí dành cho việc này cũng cao). Nhược điểm thứ hai là hiệu suất. Sự bảo mật của SSL được thực hiện bằng cách mã hóa những thông tin được truyền đi, điều này sẽ tiêu tốn nhiều tài nguyên máy chủ hơn so với thông tin không được mã hóa. Nhưng, sự khác biệt hiệu suất này chỉ trở nên đáng chú ý đối với những website có số lượng lớn khách truy cập, và có thể khắc phục bằng cách sử dụng phần cứng mạnh hơn.
Nhìn chung, nhược điểm của SSL so với ưu điểm của SSL là không đáng kể. Sử dụng SSL thích hợp sẽ giúp bảo vệ khách hàng, website, dữ liệu, tạo dựng và duy trì được sự tin tưởng của khách hàng cũng như bán được nhiều hàng hơn. Điều này hoàn toàn xứng đáng so với chi phí phải bỏ ra.
Hiện nay, để khắc phục một nhược điểm, tăng số lượng người dùng, một số nhà cung cấp đã cung cấp phiên bản SSL miễn phí. Tuy nhiên, đây là các SSL miễn phí và không có cam kết gì cả. Đối với các đơn vị kinh doanh, sẽ ưu tiên sử dụng SSL trả phí. Mức phí thấp nhất chỉ 200-300 nghìn đồng/năm với các cam kết bảo mật lên đến 10.000$ cho 1 tên miền.
5. Hướng dẫn cài đặt SSL cho Website:
– Chọn loại SSL phù hợp:
Sau khi tìm hiểu SSL là gì và các loại SSL, mỗi loại chứng chỉ SSL sẽ có mức độ mã hóa riêng. Do vậy, khi mua SSL, bạn cần đảm bảo chọn đúng loại theo chức năng của trang web. Nếu không có quá nhiều kiến thức về chủ đề này thì bạn hãy nhờ nhà cung cấp SSL tư vấn.
– Lựa chọn nhà cung cấp SSL
Hiện nay có rất nhiều nhà cung cấp SSL (hay CA) ở Việt Nam. Tuy nhiên để chọn được một đơn vị cung cấp chất lượng thì bạn cần đánh giá tới một số yếu tố như chi phí, thời gian chứng thực phát hành, chính sách hoàn tiền, đổi trả, mức độ bảo mật, chính sách dùng thử,… Một số nhà cung cấp SSL khá uy tín hiện này mà bạn có thể tham khảo như Mona Media, Geotrust, Entrust,…
– Cài đặt SSL trên website
Để cài đặt SSL trên website một cách hiệu quả và an toàn thì bạn hãy làm theo các bước dưới đây:
Bước 1: Cài đặt IP riêng cho máy chủ
Bước 2: Kích hoạt chứng chỉ SSL
– Truy cập vào mục quản trị SSL/TLS và chọn Generate an SSL certificate and Signing Request, sau đó điền đầy đủ thông tin vào biểu mẫu
Tại mục Host to make cert for nhập tên miền của bạn
Sao chép khối văn bản đầu tiên
Dán CSR của bạn vào các khung cần thiết và nhập email phê duyệt
Bước 3: Cài đặt chứng chỉ trên website
Truy cập vào cPanel
Chọn SSL/TLS tại trình đơn của SECURITY
Chọn vào Manage SSL sites
Chọn tên miền muốn cài đặt chứng chỉ SSL
Bước 4: Cấu hình lại website
– Kiểm tra lại SSL đã đúng chưa.
