KUNGFU TECH

0
0
Lập trình
Harry Tran
Harry Tran106580903228332612117

Chứng chỉ số và Niềm tin Kỹ thuật số: Tại sao Web tin tưởng Website?

Đăng vào 8 tháng trước

• 7 phút đọc

Chủ đề:

#webdev#beginners#security

Giới thiệu

Mỗi khi bạn thấy biểu tượng ổ khóa nhỏ trên trình duyệt, bạn đang dựa vào một trong những thành phần quan trọng nhất của internet: chứng chỉ số. Chúng là thứ thuyết phục trình duyệt của bạn rằng một trang web thực sự là người mà nó tuyên bố, chứ không phải là một kẻ giả mạo.

Trong bài viết này, chúng ta sẽ khám phá cách thức hoạt động của chứng chỉ số, lý do chúng quan trọng và những vấn đề có thể xảy ra nếu không có chúng.

1. Vấn đề: Ai bạn nên tin tưởng trên internet?

Hãy tưởng tượng bạn muốn đăng nhập vào trang web ngân hàng của mình. Bạn gõ địa chỉ quen thuộc:

Copy 
https://mybank.com

Nhưng làm thế nào bạn biết rằng trang web mà bạn đang kết nối thực sự là ngân hàng của bạn, chứ không phải là một kẻ tấn công khôn ngoan đang giả mạo nó?

Vấn đề là: bất kỳ ai cũng có thể thiết lập một máy chủ và tuyên bố mình là “mybank.com.” Nếu không có một hệ thống tin cậy, trình duyệt của bạn không thể phân biệt.

2. Giới thiệu về chứng chỉ

Một chứng chỉ số giống như một thẻ ID chính thức cho một trang web.

  • Nó nói rằng “khóa công khai này thuộc về miền này (ví dụ: mybank.com).”
  • Nó được cấp và ký bởi một cơ quan tin cậy (như một công chứng viên internet).
  • Trình duyệt của bạn kiểm tra chứng chỉ này trước khi cho phép kết nối an toàn.

Không có chứng chỉ, HTTPS (chữ “S” trong biểu tượng ổ khóa) sẽ trở nên vô nghĩa — vì bất kỳ ai cũng có thể giả mạo bất kỳ ai.

3. Vai trò của các cơ quan cấp chứng chỉ (CA)

Chứng chỉ được cấp bởi các tổ chức gọi là Cơ quan cấp chứng chỉ (CAs).

  • Một CA xác minh danh tính của chủ sở hữu trang web (sử dụng các mức kiểm tra khác nhau).
  • Nó sau đó cấp một chứng chỉ ràng buộc tên miền của trang web với khóa công khai của nó.
  • Chứng chỉ này được ký số bằng khóa riêng của CA.

Trình duyệt của bạn được cài sẵn một danh sách các “CA tin cậy”. Nếu chứng chỉ của một trang web được ký bởi một trong những CA đó, trình duyệt sẽ tin tưởng.

Điều này tạo ra một chuỗi tin cậy.

4. Cách trình duyệt xây dựng niềm tin vào một trang web

Khi bạn gõ https://mybank.com, rất nhiều điều xảy ra trước khi biểu tượng ổ khóa xuất hiện. Trình duyệt không chỉ đơn thuần lấy lời từ máy chủ — nó kiểm tra và thách thức chứng chỉ trước khi tuyên bố kết nối là an toàn.

Bước 1: Trang web trình bày chứng chỉ của nó

Máy chủ gửi đến trình duyệt chứng chỉ số của nó. Tài liệu này bao gồm:

  • tên miền của trang web (mybank.com),
  • khóa công khai của trang web,
  • ngày hiệu lực,
  • chữ ký của Cơ quan cấp chứng chỉ (CA) đã cấp nó.

Tại điểm này, trình duyệt đã có chứng chỉ, nhưng nó vẫn cần quyết định có tin tưởng vào nó hay không.

Bước 2: Trình duyệt xác thực chứng chỉ

Trình duyệt thực hiện một số kiểm tra:

  1. Kiểm tra chữ ký

    • Mỗi chứng chỉ được ký bằng khóa riêng của CA.
    • Trình duyệt sử dụng khóa công khai của CA (đã được cài sẵn và tin cậy) để xác minh chữ ký này.
    • Nếu chữ ký khớp, điều đó chứng tỏ chứng chỉ thực sự được cấp bởi CA đó và không bị thay đổi.

  2. Chuỗi tin cậy

    • Chứng chỉ thường được cấp bởi một CA trung gian, mà chính nó đã được ký bởi một CA gốc.
    • Trình duyệt theo dõi chuỗi bước từng bước:
      • Chứng chỉ trang web → được ký bởi CA trung gian.
      • Chứng chỉ CA trung gian → được ký bởi CA gốc.
      • CA gốc → đã được tin cậy trong trình duyệt.
    • Tại mỗi bước, khóa công khai của cha được sử dụng để xác minh chữ ký của con.

  3. Tên miền và hiệu lực

    • Chứng chỉ phải liệt kê chính xác tên miền mà bạn đã gõ (mybank.com, không phải evilbank.com).
    • Nó phải nằm trong khoảng thời gian hiệu lực của nó và không bị thu hồi bởi CA.

Chỉ khi tất cả các kiểm tra này vượt qua, trình duyệt mới tin tưởng chứng chỉ.

Bước 3: Máy chủ chứng minh nó sở hữu khóa riêng

Bây giờ trình duyệt biết chứng chỉ là hợp lệ, nhưng vẫn còn một câu hỏi quan trọng:

Liệu máy chủ này có thực sự sở hữu khóa riêng phù hợp với khóa công khai trong chứng chỉ không?

Để xác nhận:

  • Trình duyệt gửi một mảnh dữ liệu thử nghiệm nhỏ (hoặc thách thức).
  • Chỉ máy chủ thực sự, với khóa riêng phù hợp, mới có thể phản hồi chính xác bằng cách ký hoặc giải mã nó.
  • Nếu phản hồi khớp, trình duyệt chắc chắn đang giao tiếp với người nắm giữ chứng chỉ thực sự, không phải là một kẻ giả mạo đã sao chép nó.

Bước này ngăn chặn các kẻ tấn công đơn giản là đánh cắp một tệp chứng chỉ và sử dụng nó trên các máy chủ của họ. Không có khóa riêng, chứng chỉ sẽ vô dụng.

Bước 4: Trình duyệt và máy chủ đồng ý về một khóa phiên

Với niềm tin được thiết lập, bước cuối cùng là thiết lập một khóa phiên chia sẻ cho cuộc trò chuyện thực tế.

  • Trình duyệt tạo một khóa phiên ngẫu nhiên, chỉ sử dụng một lần.
  • Nó mã hóa khóa phiên này bằng khóa công khai của trang web (từ chứng chỉ).
  • Máy chủ sử dụng khóa riêng của nó để giải mã nó.

Bây giờ cả hai bên đều biết khóa phiên, nhưng không ai khác biết.

Từ thời điểm này:

  • Tất cả giao tiếp (trang, đăng nhập, thanh toán) đều được bảo vệ bằng mã hóa đối xứng sử dụng khóa phiên đó.
  • Mã hóa đối xứng nhanh hơn rất nhiều, làm cho nó lý tưởng cho việc truyền dữ liệu liên tục.

Kết quả cuối cùng: phiên an toàn, được mã hóa

Bằng cách kết hợp các bước này — xác thực chứng chỉ, xác nhận khóa riêng của máy chủ, và đồng ý về một khóa phiên — trình duyệt của bạn cuối cùng có thể hiển thị ổ khóa. Điều này báo hiệu:

  • Bạn đang kết nối với trang web đúng.
  • Kết nối là riêng tư và an toàn.
  • Tất cả lưu lượng truy cập tiếp theo sẽ được mã hóa một cách hiệu quả.

5. Các cấp độ tin cậy trong chứng chỉ

  • DV (Xác thực tên miền) → Xác nhận quyền kiểm soát tên miền.
  • OV (Xác thực tổ chức) → Xác nhận thực thể pháp lý.
  • EV (Xác thực mở rộng) → Kiểm tra mạnh mẽ nhất, thường được các ngân hàng sử dụng.

6. Điều gì xảy ra nếu không có chứng chỉ?

Nếu không có chứng chỉ, bạn có thể bị lừa để mã hóa lưu lượng truy cập bằng khóa của kẻ tấn công. Mã hóa một mình sẽ không bảo vệ bạn — bạn sẽ an toàn với người sai.

Chứng chỉ đóng khoảng trống này bằng cách ràng buộc tên miền của trang web với khóa công khai của nó, và yêu cầu máy chủ chứng minh quyền sở hữu của khóa riêng tương ứng.

7. Điểm yếu trong hệ thống

  • CA bị thỏa hiệp → Có thể cấp chứng chỉ giả.
  • Chứng chỉ hết hạn → Người dùng thấy cảnh báo cho đến khi được gia hạn.
  • Người dùng bỏ qua cảnh báo → Nhấn “Tiếp tục” làm hỏng mô hình tin cậy.

8. Tác động hàng ngày

  • Ngân hàng trực tuyến
  • Mua sắm
  • Ứng dụng nhắn tin và API

Tất cả đều dựa vào việc xác thực chứng chỉ và khóa công khai của trang web để chứng minh tính xác thực và bảo vệ dữ liệu.

9. Những điểm cần nhớ

  • Chứng chỉ = thẻ ID số cho các trang web.
  • CA = công chứng viên tin cậy cấp chúng.
  • Trình duyệt xác thực chứng chỉ bằng cách kiểm tra chữ ký với khóa công khai của CA và theo dõi chuỗi tin cậy.
  • Trang web cũng phải chứng minh nó kiểm soát khóa riêng phù hợp.
  • Sau đó, một khóa phiên được đồng ý và sử dụng cho mã hóa đối xứng nhanh.
  • Nếu không có quá trình này, HTTPS sẽ không cung cấp niềm tin thực sự.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào