HTTPS, sử dụng SSL, cung cấp xác minh danh tính và bảo mật, vì vậy bạn biết mình đã kết nối với đúng trang web và không ai có thể nghe trộm bạn. Đó là lý thuyết, dù sao. Trên thực tế, SSL trên web là một mớ hỗn độn.

Điều này không có nghĩa là mã hóa HTTPS và SSL là vô giá trị, vì chúng chắc chắn tốt hơn nhiều so với việc sử dụng các kết nối HTTP không được mã hóa. Ngay cả trong trường hợp xấu nhất, kết nối HTTPS bị xâm phạm sẽ chỉ không an toàn như kết nối HTTP.

Số lượng tuyệt đối của tổ chức phát hành chứng chỉ

LIÊN QUAN: HTTPS là gì và tại sao tôi nên quan tâm?

Trình duyệt của bạn được tích hợp sẵn danh sách các tổ chức phát hành chứng chỉ đáng tin cậy. Trình duyệt chỉ tin cậy các chứng chỉ do các tổ chức phát hành chứng chỉ này cấp. Nếu bạn đã truy cập https://example.com, máy chủ web tại example.com sẽ cung cấp chứng chỉ SSL cho bạn và trình duyệt của bạn sẽ kiểm tra để đảm bảo rằng chứng chỉ SSL của trang web được cấp bởi tổ chức phát hành chứng chỉ đáng tin cậy cho example.com. Nếu chứng chỉ được cấp cho một miền khác hoặc nếu chứng chỉ không được cấp bởi tổ chức phát hành chứng chỉ đáng tin cậy, bạn sẽ thấy một cảnh báo nghiêm trọng trong trình duyệt của mình.

Một vấn đề chính là có rất nhiều tổ chức cấp chứng chỉ, vì vậy các vấn đề với một tổ chức cấp chứng chỉ có thể ảnh hưởng đến tất cả mọi người. Ví dụ: bạn có thể nhận được chứng chỉ SSL cho miền của mình từ VeriSign, nhưng ai đó có thể xâm phạm hoặc lừa tổ chức phát hành chứng chỉ khác và cũng nhận được chứng chỉ cho miền của bạn.

Tổ chức phát hành chứng chỉ không phải lúc nào cũng được truyền cảm hứng tự tin

LIÊN QUAN: Cách trình duyệt xác minh danh tính trang web và bảo vệ chống lại kẻ mạo danh

Các nghiên cứu đã phát hiện ra rằng một số cơ quan cấp chứng chỉ đã không thực hiện trách nhiệm giải trình ngay cả khi cấp chứng chỉ. Họ đã cấp chứng chỉ SSL cho các loại địa chỉ không bao giờ yêu cầu chứng chỉ, chẳng hạn như “localhost”, luôn đại diện cho máy tính cục bộ. Trong năm 2011, EFF đã tìm thấy hơn 2000 chứng chỉ cho “localhost” được cấp bởi các tổ chức cấp chứng chỉ hợp pháp, đáng tin cậy.

Nếu các cơ quan cấp chứng chỉ đáng tin cậy đã cấp rất nhiều chứng chỉ mà không xác minh rằng các địa chỉ đó thậm chí còn hợp lệ ngay từ đầu, thì việc tự hỏi những sai lầm khác mà họ đã mắc phải là điều hiển nhiên. Có lẽ họ cũng đã cấp chứng chỉ trái phép cho các trang web của người khác cho những kẻ tấn công.

Chứng chỉ xác thực mở rộng hoặc chứng chỉ EV, cố gắng giải quyết vấn đề này. Chúng tôi đã đề cập đến các vấn đề với chứng chỉ SSL và cách chứng chỉ EV cố gắng giải quyết chúng.

Tổ chức phát hành chứng chỉ có thể bị buộc cấp chứng chỉ giả

Vì có rất nhiều tổ chức phát hành chứng chỉ, họ ở khắp nơi trên thế giới và bất kỳ tổ chức phát hành chứng chỉ nào cũng có thể cấp chứng chỉ cho bất kỳ trang web nào, các chính phủ có thể buộc tổ chức phát hành chứng chỉ cấp cho họ chứng chỉ SSL cho trang web mà họ muốn mạo danh.

Điều này có thể xảy ra gần đây ở Pháp, nơi Google phát hiện ra một chứng chỉ giả mạo cho google.com đã được cấp bởi cơ quan cấp chứng chỉ ANSSI của Pháp. Cơ quan có thẩm quyền sẽ cho phép chính phủ Pháp hoặc bất kỳ ai khác có quyền này mạo danh trang web của Google, dễ dàng thực hiện các cuộc tấn công trung gian. ANSSI tuyên bố chứng chỉ này chỉ được sử dụng trên một mạng riêng để theo dõi người dùng của chính mạng chứ không phải bởi chính phủ Pháp. Ngay cả khi điều này là đúng, nó sẽ vi phạm chính sách của ANSSI khi cấp chứng chỉ.

Bí mật chuyển tiếp hoàn hảo không được sử dụng ở mọi nơi

Nhiều trang web không sử dụng “bí mật chuyển tiếp hoàn hảo”, một kỹ thuật có thể khiến mã hóa khó bị bẻ khóa hơn. Nếu không có bí mật chuyển tiếp hoàn hảo, kẻ tấn công có thể nắm bắt một lượng lớn dữ liệu được mã hóa và giải mã tất cả bằng một khóa bí mật duy nhất. Chúng tôi biết rằng NSA và các cơ quan an ninh nhà nước khác trên thế giới đang nắm bắt dữ liệu này. Nếu họ phát hiện ra khóa mã hóa được trang web sử dụng nhiều năm sau đó, họ có thể sử dụng khóa đó để giải mã tất cả dữ liệu được mã hóa mà họ đã thu thập giữa trang web đó và mọi người kết nối với nó.

Bảo mật chuyển tiếp hoàn hảo giúp bảo vệ chống lại điều này bằng cách tạo ra một khóa duy nhất cho mỗi phiên. Nói cách khác, mỗi phiên được mã hóa bằng một khóa bí mật khác nhau, vì vậy không thể mở khóa tất cả chúng bằng một khóa duy nhất. Điều này ngăn ai đó giải mã một lượng lớn dữ liệu được mã hóa cùng một lúc. Bởi vì rất ít trang web sử dụng tính năng bảo mật này, nhiều khả năng các cơ quan an ninh nhà nước có thể giải mã tất cả dữ liệu này trong tương lai.

Man in The Middle Attacks và các ký tự Unicode

LIÊN QUAN: Tại sao việc sử dụng mạng Wi-Fi công cộng có thể nguy hiểm, ngay cả khi truy cập trang web được mã hóa

Đáng buồn thay, các cuộc tấn công man-in-the-middle vẫn có thể xảy ra với SSL. Về lý thuyết, sẽ an toàn khi kết nối với mạng Wi-Fi công cộng và truy cập trang web của ngân hàng của bạn. Bạn biết rằng kết nối này an toàn vì nó qua HTTPS và kết nối HTTPS cũng giúp bạn xác minh rằng bạn thực sự được kết nối với ngân hàng của mình.

Trên thực tế, có thể nguy hiểm khi kết nối với trang web của ngân hàng của bạn trên mạng Wi-Fi công cộng. Có những giải pháp hiện có có thể có một điểm phát sóng độc hại thực hiện các cuộc tấn công trung gian vào những người kết nối với nó. Ví dụ: điểm phát sóng Wi-Fi có thể thay mặt bạn kết nối với ngân hàng, gửi dữ liệu qua lại và ở giữa. Nó có thể lén lút chuyển hướng bạn đến một trang HTTP và thay mặt bạn kết nối với ngân hàng bằng HTTPS.

Nó cũng có thể sử dụng một “địa chỉ HTTPS tương tự như đồng nhất”. Đây là một địa chỉ trông giống với ngân hàng của bạn trên màn hình, nhưng thực tế sử dụng các ký tự Unicode đặc biệt nên nó khác. Loại tấn công cuối cùng và đáng sợ nhất này được gọi là cuộc tấn công đồng nhất tên miền quốc tế hóa. Kiểm tra bộ ký tự Unicode và bạn sẽ tìm thấy các ký tự về cơ bản giống với 26 ký tự được sử dụng trong bảng chữ cái Latinh. Có thể chữ o trong google.com.vn mà bạn đang kết nối không thực sự là chữ o, mà là các ký tự khác.

Chúng tôi đã đề cập chi tiết hơn về vấn đề này khi chúng tôi xem xét sự nguy hiểm của việc sử dụng điểm phát sóng Wi-Fi công cộng.


Tất nhiên, HTTPS hầu hết hoạt động tốt. Không chắc bạn sẽ gặp phải một cuộc tấn công thông minh như vậy khi bạn ghé vào một quán cà phê và kết nối với Wi-Fi của họ. Điểm thực sự là HTTPS có một số vấn đề nghiêm trọng. Hầu hết mọi người tin tưởng nó và không nhận thức được những vấn đề này, nhưng nó không ở đâu gần hoàn hảo.

Tín dụng hình ảnh: Sarah Joy

Tham khảo (HowToGeek)