HTTP, HTTPS & SSL LÀ GÌ? Kiến thức cơ bản cho người dùng Internet

HTTP, HTTPS là gì? tại sao nên dùng HTTPS? bạn thường truy cập vào 1 Website và thấy HTTP,  HTTPS nhưng không hiểu nó là gì và có những đặc điềm gì khác với HTTP... 

1. HTTP (HyperText Transfer Protocal)
   Đây là giao thức truyền tải siêu văn bản. Giao thức này sử dụng cổng 80 (port 80) là chủ yếu.
   
   Khi dùng trình duyệt truy cập Web bạn sẽ thường gặp các thông báo lỗi khác nhau như sau:
   • Lỗi 500: lỗi này thường do Web server mà bạn truy cập bị lỗi nên không thể truy cập vào được.
   • Lỗi 401: lỗi này bạn truy cập vào nơi yêu cầu xác thực, nhưng không vượt qua được sẽ có lỗi này.
   • Lỗi 404 hay Http 404 tức là lỗi không tồn tại địa chỉ bạn đang truy cập
     
      
2. HTTPS là gì?

   • HTTPS (HyperText Transfer Protocol Secure)
     Là giao thức HTTP có sử dụng thêm SSL (Secure Sockets Layer) để mã hóa dữ liệu trong lúc truyền tải dữ liệu nhầm gia tăng thêm tính an toàn cho việc truyền dữ liệu giữa Web server và trình duyệt Web. Giao thức HTTPS thì sử dụng cổng 433 để truyền dữ liệu.

   • SSL là gì?
     • SSL (Secure Sockets Layer):
       Hay còn gọi là chứng chỉ SSL, SSL Certificates, Đây là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủ WEB và trình duyệt. Chứng chỉ SSL mang đến sự đảm bảo tất cả các dữ liệu trao đổi giữa máy chủ WEB và trình duyệt được an toàn hơn.

   • Lợi ích của giao thức HTTPS

     • Thông điệp được gửi qua các kết nối HTTP đều là những dữ liệu văn bản thuần và bất cứ ai cũng đọc được, việc này có thể rất nguy hiểm nếu thông tin chúng ta chứa là những thông tin quan trọng như: Thẻ tính dụng, Tài khoản quạn trọng mà chúng ta không hề muốn bất kỳ ai biết, thì với kết nối Https dữ liệu của bạn sẽ được mã hóa an toàn có nghĩa là khi dữ liệu bạn truyền đi nếu có ai đó đột nhập vào kết nối của bạn thì họ cũng không giải mã được thông tin đó.

     • Sử dụng phương thức mã hóa đảm bảo rằng thông điệp truyền đi giữa Client và Server không bị đánh cắp bởi kẻ thứ 3. 

     • Sử dụng phương thức hashing để cả người dùng (Client) và máy chủ (Server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị mất mát hay chỉnh sửa.

     • Sử dụng chứng chỉ số (Digital Certificate) để giúp client có thể tin tưởng rằng Server / Website mà họ đang truy cập thực sự là Server / Website mà họ mong muốn vào, chứ không phải bị giả mạo.

   • Cơ chế HTTPS
     

     • Browser sẽ truy cập 1 trang web https. Ở đây là https://payment.com
        
     • Server hay Load Balancer (LB) của payment.com sẽ trả về certificate để chứng thực rằng website user đang truy cập là website chính thức. Trong certificate là một public key PK, dùng để mã hóa K ở bước 4.
        
     • Browser sẽ kiểm chứng certificate (bằng cách chạy thuật toán kiểm tra chữ ký). Quá trình này giúp browser xác định https://payment.com là thật hay giả.
        
     • Sau khi kiểm chứng được certificate, browser sẽ tự sinh ra 1 khóa K. Khóa K sẽ được dùng để mã hóa tất cả các liên lạc giữa browser và payment.com sau này. Do quá trình mã hóa các gói tin dùng mã đối xứng, khóa K cần được gửi trở lại payment.com vì nếu không có K, server (LB) không thể nào giải mã được gói tin.
        
     • Khóa K được gửi trả lại cho payment.com. Phía payment.com sẽ dùng private key (được bảo vệ) để giải mã gói tin này và qua đó có được thông tin về K.
        
     • Payment.com và browser dùng khóa K để mã hóa toàn bộ dữ liệu liên lạc sau này.
        
     • Certificate là một khối dữ liệu bao gồm rất nhiều thông tin về payment.com. Các thông tin này bao gồm:

Tên domain, Tên công ty sở hữu, Thời gian certificate được cấp, Thời hạn certificate ,Public key PK

Lưu ý:

Thời điểm hiện tại AdWords thông báo với nội dung là “Chuyển tiếp các lần nhấp của bạn tới HTTPS. Để đảm bảo hành trình của người dùng an toàn và bảo mật khi đi từ quảng cáo đến trang web của bạn, chúng tôi có quyền chuyển các lần nhấp HTTP đến HTTPS tùy từng thời điểm”

• Theo đó, kể từ tháng 07 năm 2018, trên trình duyệt Chrome sẽ hiển thị cảnh báo “Trang web không an toàn” phía trước địa chỉ website đối với những website chưa đăng ký SSL.
   

• Vì vậy, để đảm bảo hiệu quả cho việc quảng cáo AdWords, các bạn nên đăng ký SSL để tên miền của mình có “https://” càng sớm càng tốt nhé.
   
• AdWords tự động chuyển hướng sang HTTPS
   

Cách tốt nhất là thay thế các URL HTTP của bạn bằng các URL HTTPS. Tuy nhiên, trong một số trường hợp, nếu bạn có URL HTTP trong AdWords và AdWords phát hiện thấy trang WEB của bạn có hỗ trợ HTTPS, AdWords sẽ tự động chuyển tiếp các lần nhấp chuột của bạn trực tiếp sang phiên bản HTTPS của URL đó.
 

Kể từ ngày 11 tháng 6 năm 2018, AdWords sẽ bắt đầu chuyển tiếp một số hoặc tất cả các lần nhấp chuột HTTP của bạn sang HTTPS trong các trường hợp sau:

• Nếu trang WEB của bạn đã triển khai HTTPS Strict Transport Security (HSTS), AdWords sẽ chuyển tiếp tất cả các lần nhấp chuột sang HTTPS.
• Nếu một URL được chuyển tiếp sang một URL HTTPS tương ứng thông qua chuyển hướng 301, tất cả các nhấp chuột lên URL đó sẽ được chuyển tiếp sang HTTPS.