Biểu tượng ổ khóa trên Chrome, Firefox cho biết kết nối của bạn được mã hóa. Nhưng cơ chế bảo mật này thực sự hoạt động như thế nào?
HTTP vs HTTPS — Sự khác biệt cơ bản
HTTP (HyperText Transfer Protocol): dữ liệu truyền đi dạng plaintext — ai ở giữa đường truyền (router, ISP, hacker cùng mạng WiFi) đều có thể đọc. HTTPS: dữ liệu được mã hóa bằng TLS trước khi gửi — ai bắt gói tin cũng chỉ thấy ký tự ngẫu nhiên vô nghĩa.
TLS Handshake — Cách thiết lập kết nối bảo mật
Khi bạn vào https://bank.com, quá trình diễn ra trong dưới 100ms:
- Trình duyệt gửi “Client Hello” — cho biết TLS version và cipher suites hỗ trợ
- Server gửi Certificate (chứng chỉ số) và chọn cipher suite
- Trình duyệt xác minh Certificate từ Certificate Authority (CA) uy tín
- Hai bên trao đổi khóa (key exchange) để tạo Session Key
- Tất cả dữ liệu sau đó được mã hóa bằng Session Key
Certificate và Certificate Authority
Certificate là “hộ chiếu” của website, chứng minh “tôi thực sự là bank.com, không phải hacker giả mạo”. CA (như Let’s Encrypt, DigiCert, Comodo) là tổ chức uy tín đứng ra xác minh và ký Certificate. Trình duyệt tin những CA này và do đó tin website có Certificate từ họ.
Tại sao HTTPS không đủ
HTTPS bảo mật kết nối nhưng không đảm bảo website đó không phải lừa đảo. Hacker có thể tạo phishing-site.com với HTTPS hợp lệ — ổ khóa xanh vẫn hiện nhưng site vẫn là lừa đảo. Luôn kiểm tra domain, không chỉ có/không có HTTPS.
