Cách thức hoạt động của HTTPS
📖 6 đọc tối thiểu
Quick Answer
Ổ khóa nhỏ trên thanh địa chỉ của bạn đang làm rất nhiều việc. HTTPS lặng lẽ mã hóa hầu hết mọi thứ bạn thực hiện trực tuyến, ngăn chặn những kẻ nghe trộm đọc hoặc giả mạo dữ liệu của bạn. Nhưng nó cũng bị hiểu lầm rộng rãi - đây là những gì nó thực sự chứng minh và những gì nó không chứng minh.
💡 Hãy nghĩ về nó như…
Một phong bì niêm phong, chống giả mạo được giao bởi người chuyển phát nhanh, người đầu tiên xuất trình giấy tờ tùy thân. TLS kiểm tra "ID" (chứng chỉ của trang web) của trang web, sau đó niêm phong cuộc trò chuyện của bạn để không ai có thể đọc hoặc thay đổi nó.
Giấy chứng nhận (kiểm tra ID)
Trước khi mã hóa bất cứ thứ gì, trình duyệt của bạn sẽ kiểm tra chứng chỉ TLS của trang web — chứng chỉ được cấp bởi một cơ quan đáng tin cậy chứng minh trang web đó chính là người mà nó tuyên bố. Nếu chứng chỉ không hợp lệ hoặc hết hạn, bạn sẽ nhận được cảnh báo.
Cái bắt tay
Sau đó, trình duyệt và máy chủ thực hiện bắt tay TLS: sử dụng mật mã khóa công khai, họ đồng ý về một khóa bí mật chung mà không bao giờ gửi nó ở chế độ mở. Từ đó trở đi, mật mã đối xứng nhanh sẽ mã hóa toàn bộ phiên.
HTTPS làm gì và không bảo vệ gì
HTTPS bảo vệ dữ liệu trong quá trình truyền — không ai giữa bạn và trang web có thể đọc hoặc thay đổi dữ liệu đó. Nó KHÔNG đảm bảo trang web là trung thực hoặc an toàn: những kẻ lừa đảo cũng có thể nhận được chứng chỉ. Ổ khóa có nghĩa là "kết nối được mã hóa", không phải "trang web đáng tin cậy".
🔑 Bài học chính
HTTPS xác minh chứng chỉ của trang web, sau đó mã hóa kết nối của bạn để không ai có thể rình mò hoặc giả mạo trong quá trình truyền. Nhưng ổ khóa chứng tỏ sự mã hóa chứ không phải sự trung thực — một trang web lừa đảo vẫn có thể có HTTPS.
Tại sao điều này quan trọng với bạn
Biết ý nghĩa thực sự của ổ khóa là cách phòng chống lừa đảo cơ bản — rất quan trọng khi mua tiền điện tử hoặc giao dịch ngân hàng trực tuyến. Luôn kiểm tra toàn bộ miền, không chỉ ổ khóa, trước khi nhập thông tin xác thực hoặc cụm từ gốc (không bao giờ nhập cụm từ hạt giống trên bất kỳ trang web nào).
Câu hỏi thường gặp
Ổ khóa có nghĩa là một trang web an toàn?▼
Không. Điều đó chỉ có nghĩa là kết nối của bạn đã được mã hóa. Các trang web lừa đảo và lừa đảo thường xuyên sử dụng HTTPS. Luôn xác minh tên miền chính xác và không bao giờ nhập dữ liệu nhạy cảm trên trang web bạn truy cập thông qua liên kết không được yêu cầu.
Sự khác biệt giữa SSL và TLS là gì?▼
TLS là sự kế thừa hiện đại, an toàn cho giao thức SSL cũ hơn. Mọi người vẫn nói "SSL" theo thói quen nhưng các kết nối an toàn ngày nay đều sử dụng TLS.
HTTP (không có S) có nguy hiểm không?▼
Trên HTTP đơn giản, bất kỳ ai trên mạng đều có thể đọc hoặc thay đổi dữ liệu của bạn. Không bao giờ đăng nhập hoặc nhập chi tiết thanh toán hoặc tiền điện tử trên trang không phải HTTPS.