Scribd Logo
Upload

Welcome to Scribd!

  • BTL Anm

    Uploaded by

    trungduc123qw
    5 views29 pages

    Original Title

    BTL ANM

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    5 views29 pages

    BTL Anm

    Uploaded by

    trungduc123qw

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 29

    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

    KHOA VIỄN THÔNG I

    BỘ MÔN MẠNG VIỄN THÔNG

    ĐỀ CƯƠNG SƠ BỘ

    MÔN HỌC: AN NINH MẠNG TRUYỀN THÔNG


    Chuyên đề: Giao Thức HTTPS

    Giảng viên giảng dạy : ThS. Nguyễn Thanh Trà


    Nhóm lớp học : 02
    Nhóm BTL : 05
    Thành viên : Đỗ Như Đạt - B20DCVT091
    : Đặng Ngọc Minh Đức - B20DCVT114
    : Nguyễn Trung Đức - B20DCVT122
    : Lưu Quang Dũng - B20DCVT073

    Hà Nội – 2023

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    1 Tìm Hiều Về HTTPS

    1.1 Giới thiệu về giao thức HTTPS


    1.1.1 Định nghĩa cơ bản về HTTPS.
    1.1.2 Mục đích và lý do cần sử dụng HTTPS.
    1.1.3 Sự phổ biến và tầm quan trọng của https trên internet.

    1.2 Mã hóa dữ liệu trong HTTPS


    1.2.1 SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? Các kiểu
    tấn công tích cực.
    1.2.2 Quy trình mã hóa và giải mã dữ liệu trong HTTPS.Tấn công phát lại.
    1.2.3 Tính bảo mật của dữ liệu trên đường truyền. Tấn công từ chối dịch vụ.

    1.3 Chứng thực máy chủ và chứng chỉ SSL/TSL


    1.3.1 Mục đích của chứng thực máy chủ. Điều khiển truy cập.
    1.3.2 Chứng chỉ SSL/TLS là gì ?
    1.3.3 Cơ cấu của chứng chỉ SSL/TLS và cách chúng hoạt động. Các dịch vụ khả
    dụng.
    1.3.4 Hậu quả của không chứng thực được máy chủ.

    1.4 Biểu tượng khóa an toàn và đánh dấu trang web bảo mật
    1.4.1 Biểu tượng khóa an toàn trong trình duyệt.
    1.4.2 Thanh địa chỉ và thông điệp bảo mật.
    1.4.3 Ý nghĩa của các biểu tượng và thông điệp này đối với người dùng.

    1.5 Cổng mặc định và hiệu suất của HTTPS


    1.5.1 Cổng mặc định của HTTPS.
    1.5.2 Ảnh hưởng của mã hóa dữ liệu đến hiệu suất.
    1.5.3 Các biện pháp tối ưu hóa để giảm thiểu ảnh hưởng đến hiệu suất.

    1.6 Tầm quan trọng của HTTPS trong SEO


    1.6.1 Liên kết giữa HTTPS và xếp hạng trang web trên các thanh công cụ tìm
    kiếm.
    1.6.2 Ưu điểm của triển trai HTTPS đối với tối ưu hóa tìm kiếm và tương tác
    trang web.

    1.7 Kết Luận


    1.7.1 Tóm tắt lại ý nghĩa và lợi ích của HTTPS.

    1.1. Giới thiệu về giao thức HTTPS


    1.1.1. Định nghĩa cơ bản về HTTPS

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    HTTPS là viết tắt của chữ (Hypertext Transfer Protocol Secure) có nghĩa là giao thức
    truyền tải siêu văn bản an toàn. bạn có thể hiểu nôm na đây là một xác minh độ an toàn
    của website đối với người đọc. Thực chất, đây chính là giao thức HTTP nhưng tích hợp
    thêm chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảo mật.
    Có thể hiểu, HTTPS là phiên bản HTTP an toàn, bảo mật hơn.

    Hình 1.1.1. Website sử dụng giao thức https

    Một thành phần quan trọng của HTTPS là việc sử dụng chứng chỉ SSL/TLS (Secure
    Socket Layer/Transport Layer Security). Các chứng chỉ này được cấp phát bởi các cơ
    quan chứng thực đáng tin cậy và đảm bảo tính xác thực của máy chủ web.

    Cách thức hoạt động của HTTPS:


    - Yêu cầu kết nối bảo mật: Khi người dùng cố gắng truy cập một trang web bằng
    HTTPS (bắt đầu bằng “https://” thay vì “http://”), trình duyệt web sẽ yêu cầu máy
    chủ web thiết lập kết nối bảo mật.
    - Gửi yêu cầu SSL/TLS: Sau khi yêu cầu kết nối bảo mật được gửi, máy chủ web
    sẽ phản hồi bằng cách gửi một yêu cầu SSL/TLS (Secure Sockets Layer/Transport
    Layer Security) tới trình duyệt web.
    - Chuyển đổi sang chế độ mã hóa: Sau khi trình duyệt nhận yêu cầu SSL/TLS
    từ máy chủ web, nó sẽ tiến hành chuyển đổi sang chế độ mã hóa. Điều này có

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    nghĩa là dữ liệu truyền tải giữa trình duyệt và máy chủ web sẽ được mã hóa, không
    thể đọc được trong trạng thái ban đầu.
    - Xác thực máy chủ: Trình duyệt web sẽ yêu cầu máy chủ web cung cấp chứng
    chỉ SSL/TLS của nó để xác thực danh tính của máy chủ. Chứng chỉ này thường
    được cấp phát bởi một tổ chức chứng thực đáng tin cậy và đảm bảo rằng máy chủ
    là chính xác và không phải là một máy chủ giả mạo.
    - Phản hồi SSL/TLS: Sau khi xác thực máy chủ thành công, máy chủ web sẽ
    phản hồi với một yêu cầu SSL/TLS được ký và được mã hóa.
    - Bắt đầu truyền tải dữ liệu mã hóa: Khi đã thiết lập kết nối bảo mật và xác
    thực máy chủ thành công, trình duyệt và máy chủ web sẽ bắt đầu truyền tải dữ liệu
    giữa hai bên. Dữ liệu này sẽ được mã hóa trong quá trình truyền tải và chỉ có thể
    được giải mã bởi máy chủ web.
    - Truyền tải dữ liệu và kết thúc kết nối: Trình duyệt và máy chủ web tiếp tục
    truyền tải dữ liệu cho đến khi kết thúc truy vấn hoặc tải xong trang web. Sau đó,
    kết nối sẽ bị đóng.
    1.1.2. Mục đích và lý do cần sử dụng HTTPS
    Mục đích chính của việc sử dụng HTTPS (Hypertext Transfer Protocol Secure) là bảo
    vệ thông tin truyền tải giữa trình duyệt web của người dùng và máy chủ web. Thông
    thường trước đây HTTPS chỉ được sử dụng cho nhiều trang web của ngân hàng, thương
    mại điện tử, tài chính để có thể bảo mật toàn bộ thông tin trong quá trình thanh toán
    online. Tuy nhiên hiện nay thì HTTPS đã trở thành một trong những tiêu chuẩn bảo mật
    cần thiết của đa dạng các website mà doanh nghiệp, công ty cần phải đáp ứng. Điều này
    được hình thành bởi HTTPS đem đến nhiều lợi ích cho người sử dụng.
     HTTPS Bảo Mật Cực Tốt
    Giao thức HTTPS đã đảm bảo toàn bộ thông tin trao đổi giữa máy khách cùng với
    máy chủ. Chính vì vậy nó sẽ không bị bên thứ ba đọc được nhờ những phương thức mã
    hóa. Nếu như bạn đã tiến hành truy cập một trang web được cài đặt HTTPS thì lúc này
    người dùng sẽ có thể bị tấn công sniffing. Ngoài ra, người đánh cắp thông tin lúc này có
    thể chen ngang vào kết nối giữa máy chủ cùng với máy khách. Mục đích để có thể lấy lại
    toàn bộ dữ liệu từ thẻ tín dụng, email, password hoặc các thông tin đã có sẵn trên website.
    Bên cạnh đó, những thao tác trên trang web lúc này của người sử dụng cũng có thể
    bị ghi lại mà bạn không hay biết. Khi sử dụng giao thức HTTPS thì người dùng hoàn toàn
    có thể tin tưởng các thông điệp chuyển tải luôn ở trong trạng thái nguyên vẹn. Đồng thời
    lúc này nó sẽ không bị chỉnh sửa, sai lệch thông tin với dữ liệu ban đầu
     Tránh Tình Trạng Lừa Đảo
    Trên thực tế thì bất cứ server nào cũng có thể được biết là server của bạn mục đích
    để có thể đánh cắp được thông tin cho người dùng. Nếu như sử dụng giao thức HTTPS,
    trình duyệt trên máy của khách hàng lúc này sẽ được yêu cầu kiểm tra các chứng chỉ SSL
    đến từ máy chủ. Điều này được xảy ra trước khi dữ liệu giữa máy chủ và máy khách lúc
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    này đã được mã hóa để có thể trao đổi thuận tiện. Đặc biệt, chứng chỉ SSL/TLS lúc này
    sẽ giúp website của bạn được xác minh là chính chủ thật sự. Từ đó, có được như vậy bạn
    mới có thể tránh được tình trạng lừa đảo không đáng có. Đặc biệt điều này có khả năng
    cao trong việc đảm bảo an toàn cho bạn khỏi những kẻ xấu.
     Tăng Độ Uy Tín
    Tiếp theo, HTTPS giúp tăng độ uy tín của trang web đối với người dùng. Những
    trình duyệt trang web phổ biến hiện nay chắc chắn sẽ xuất hiện những cảnh bảo đến
    người sử dụng về đa dạng các trang web không được bảo mật. Việc này sẽ giúp thông tin
    của người sử dụng được bảo mật an toàn tuyệt đối khi lướt web. Trong đó bảo gồm đa
    dạng các thông tin từ thẻ ngân hàng, thông tin cá nhân hoặc đa dạng những dữ liệu quan
    trọng khác.
    Một trang web sẽ không thể hoạt động thường xuyên và phát triển nếu như thiếu
    người dùng. Chính vì vậy, việc bảo vệ người dùng cũng chính là bảo vệ an toàn trang
    web của bạn. Nếu như người dùng cảm thấy thiếu an toàn khi sử dụng website này thì
    chắc chắn bạn sẽ bị mất một lượng lớn user sẵn có của mình. Chính vì vậy, chúng ta cần
    có HTTPS để có thể tăng độ uy tín cho khách hàng, đây cũng là cách để giữ chân khách
    hàng cũng như thu hút khách hàng đến với doanh nghiệp của mình.
     Mang Hiệu Quả Tuyệt Vời Với SEO
    Thực tế thì Google đã thông báo sẽ đẩy nhanh chóng các quá trình xếp hạng tìm
    kiếm với đa dạng các website sử dụng giao thức HTTPS. Điều này cũng đồng nghĩa với
    việc cá trang web chưa chuyển đổi lúc này sẽ bị hạn chế lợi thế cạnh tranh so với những
    website HTTPS khác. Chính vì vậy, nếu như doanh nghiệp hoặc tổ chức của bạn đang
    tiến hành SEO thông qua Google thì bạn đừng quên chuyển đổi sang HTTPS ngay từ bây
    giờ nhé!
    1.1.3. Sự phổ biến và tầm quan trọng của HTTPS trên Internet
    Sự phổ biến và tầm quan trọng của HTTPS trên Internet ngày nay là không thể bàn
    cãi. Từ lâu việc sử dụng HTTPS trên Internet đã trở thành tiêu chuẩn và rất phổ biến bởi
    những lợi ích to lớn mà nó mang lại. HTTPS đang ngày càng chứng tỏ được vai trò to lớn
    của mình trong lĩnh vực Internet nói chung và công nghệ Web nói riêng:
     Tỉ lệ sử dụng tăng cao: Hầu hết các trang web lớn và dịch vụ trực tuyến lớn
    đều sử dụng HTTPS. Điều này bao gồm các dịch vụ như Google, Facebook,
    YouTube, Amazon và nhiều trang web khác.
     Yêu cầu của các công ty công nghệ lớn: Công ty công nghệ hàng đầu như
    Google và Mozilla đã khuyến khích và thậm chí ép buộc việc sử dụng HTTPS
    bằng cách cảnh báo hoặc hiển thị thông báo không an toàn trên trình duyệt.
     Ưu tiên trong các chuẩn mực và quy định: Các chuẩn mực và quy định như
    GDPR (Nghị định về bảo vệ dữ liệu chung châu Âu) yêu cầu sử dụng HTTPS để
    đảm bảo tính bảo mật và bảo vệ thông tin cá nhân của người dùng.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
     Thúc đẩy bởi các sự kiện bảo mật lớn: Các cuộc tấn công mạng lớn và việc
    tiết lộ thông tin cá nhân đã thúc đẩy việc triển khai HTTPS rộng rãi hơn, do đó
    người dùng trở nên nhạy cảm hơn về việc bảo vệ thông tin của mình.
     Công cụ tìm kiếm ưa thích trang web HTTPS: Các công cụ tìm kiếm như
    Google có xu hướng ưu tiên các trang web sử dụng HTTPS trong kết quả tìm
    kiếm. Điều này thúc đẩy việc sử dụng HTTPS bởi các chủ sở hữu trang web để
    cải thiện SEO của họ.
    Tóm lại, HTTPS không chỉ cung cấp tính bảo mật tăng cao mà còn đã trở thành một
    tiêu chuẩn cần thiết trên Internet ngày nay. Việc sử dụng HTTPS đảm bảo rằng thông tin
    cá nhân của người dùng được bảo vệ và giúp xây dựng niềm tin với người dùng.

    1.2. Mã hóa dữ liệu trong HTTPS


    1.2.1. SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? Các
    kiểu tấn công tích cực
    a, SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì?
    SSL (Secure Sockets Layers) là giao thức mã hóa được sử dụng để xác thực các kết
    nối internet và cho phép mã hóa và giải mã dữ liệu cho hoạt động liên lạc trên
    mạng . Được Netscape phát triển lần đầu tiên vào giữa những năm 1990, SSL đã khắc
    phục các lỗi bảo mật ban đầu bằng việc phát hành SSL 3.0 vào năm 1996, được coi là
    tiêu chuẩn thực tế cho truyền thông internet an toàn trong vài năm. Khi các lỗ hổng bảo
    mật khác trở nên rõ ràng, giao thức Lớp cổng bảo mật đã được thay thế bằng TLS
    (Transport Layer Security) , giao thức này được xác định lần đầu vào năm 1999
    và được cập nhật lên TLS 1.3 vào tháng 8 năm 2018. Tất cả các bản phát hành SSL đều
    không còn được dùng nữa và hầu hết các trình duyệt hiện đại không còn hỗ trợ giao thức
    này nữa, mặc dù các chứng chỉ tương tự có thể được sử dụng với cả TLS và SSL.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    Mặc dù chúng khác nhau về các chi tiết cụ thể như thuật toán mã hóa mà chúng sử
    dụng và các cổng chúng hỗ trợ, nhưng các giao thức Bảo mật Lớp cổng bảo mật và Lớp
    vận chuyển hoạt động về cơ bản giống nhau. Giống như TLS, Lớp cổng bảo mật thực
    hiện mã hóa SSL và giải mã SSL bằng cách sử dụng một bộ gồm hai khóa , một khóa
    công khai và khóa còn lại chỉ người nhận mới biết. Khi trình duyệt cố gắng kết nối với
    một trang web được bảo mật bằng SSL (hoặc TLS), được biểu thị bằng HTTPS trong
    URL của nó, máy chủ web sẽ phản hồi yêu cầu nhận dạng của nó bằng một bản sao
    chứng chỉ khóa công khai. Nếu chứng chỉ được tin cậy—hoặc được xác nhận bởi cơ quan
    cấp chứng chỉ - trình duyệt và máy chủ sẽ bắt đầu một phiên được mã hóa. Tất cả dữ liệu
    truyền giữa chúng sẽ được bảo mật hoàn toàn và riêng tư, khiến các bên bên ngoài không
    thể hiểu được và được bảo vệ khỏi bị tấn công.
    Cho đến thời điểm ngày nay thì SSL và TLS đã được đánh giá là tiêu chuẩn đạt chất
    lượng bảo mật website an toàn hàng đầu trên toàn thế giới. Chúng lúc này đều được ứng
    dụng hạ tầng cơ sở khóa công khai không đối xứng với PKI. Bên cạnh đó, đặc điểm nổi
    bật của hệ thống này chính là sử dụng 2 khóa mã hóa thông tin liên lạc đó chính là khóa
    công khai và khóa bí mật. Đây là hai khóa phổ biến hiện nay
    .
    b, Các kiểu tấn công tích cực
    Các kiểu tấn công tích cực (Active Attacks) là các hành động nhằm vào hệ thống,
    mạng hoặc dịch vụ để gây hại, thay đổi hoặc ảnh hưởng tiêu cực đến chúng. Mặc dù
    HTTPS được thiết kế để bảo vệ thông tin truyền tải trên Internet, nhưng vẫn có một số
    kiểu tấn công tích cực có thể ảnh hưởng đến tính bảo mật của kết nối HTTPS. Dưới đây
    là một số ví dụ:
     Tấn công Man-in-the-Middle (MitM): Kẻ tấn công cố gắng đặt mình ở giữa
    truyền thông giữa người dùng và máy chủ. Như vậy, họ có thể nghe trộm, thay đổi
    hoặc chặn lại dữ liệu đang truyền qua kết nối HTTPS.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
     Phân giải DNS giả mạo (DNS Spoofing): Kẻ tấn công có thể thay đổi các bản ghi
    DNS để điều hướng người dùng đến các trang web giả mạo. Điều này có thể dẫn
    đến việc sử dụng HTTPS trên trang web giả mạo, giả lập một kết nối an toàn
    nhưng thực tế lại không phải.
     Tấn công SSL Stripping: Kẻ tấn công có thể cố gắng buộc kết nối về HTTP thay
    vì HTTPS, từ đó có thể thu thập thông tin không mã hóa từ truyền thông.
     XSS (Cross-Site Scripting): Kẻ tấn công có thể chèn mã JavaScript hoặc mã độc
    vào các trang web đã được truyền tải qua kết nối HTTPS. Điều này có thể dẫn đến
    các hành động độc hại.
     Session Hijacking: Kẻ tấn công có thể cố gắng thu thập thông tin phiên đăng nhập
    hoặc lấy lại phiên đăng nhập của người dùng đã được mã hóa qua kết nối HTTPS.
     Tấn công phía máy chủ: Nếu máy chủ sử dụng một phiên bản cũ hoặc yếu của
    SSL/TLS, nó có thể trở thành điểm yếu mà kẻ tấn công có thể tận dụng.
    Các tấn công tích cực đều nguy hiểm và có thể gây hại nghiêm trọng cho hệ thống,
    dịch vụ và thông tin người dùng. Việc triển khai biện pháp bảo vệ phù hợp là rất quan
    trọng để ngăn ngừa và đối phó với các loại tấn công này bao gồm việc cập nhật phiên bản
    của SSL/TLS, sử dụng các giao thức bảo mật mạnh và giám sát hoạt động kết nối HTTPS
    để phát hiện các hành vi bất thường.

    1.2.2. Quy trình mã hóa và giải mã dữ liệu trong HTTPS. Tấn công phát lại
    a, Quy trình mã hóa và giải mã dữ liệu trong HTTPS
    HTTPS (Hypertext Transfer Protocol Secure) sử dụng giao thức SSL/TLS (Secure
    Sockets Layer/Transport Layer Security) để bảo vệ dữ liệu truyền tải giữa máy khách
    (client) và máy chủ (server). Dữ liệu truyền đi phải trải qua 4 giai đoạn như sau:
     Mã hóa (Encryption):
    1. Client Hello:
    +) Máy khách (trình duyệt web) bắt đầu kết nối bằng cách gửi một tin nhắn ‘
    Client Hello ’ tới máy chủ.
    +) Tin nhắn này chứa các thông tin như phiên bản SSL/TLS mà máy khách
    hỗ trợ và các thông số mã hóa mà nó ưa thích.
    2. Sever Hello:
    +) Máy chủ nhận tin nhắn ‘ Client Hello ‘ và phản hồi với một tin nhắn ‘
    Server Hello ‘.
    +) Server Hello chứa phiên bản SSL/TLS được chọn và thông tin về chứng
    chỉ SSL (nếu cần).
    3. Chứng chỉ (Certificate): Máy chủ gửi các chứng chỉ SSL của mình cho máy
    khách. Chứng chỉ này chứa thông tin về máy chủ và công khai của khóa
    công cộng của máy chủ.
    4. Key Exchange (Diffie-Hellman hoặc Elliptic Curve Diffie-Hellman):
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    +) Nếu máy chủ sử dụng các thuật toán trao đổi khóa đối xứng, quá trình này
    xảy ra ở đây.
    +) Mục tiêu là để thỏa thuận về một khóa chung mà cả hai máy khách và
    máy chủ biết, mà không cần phải chia sẻ khóa mật.
    5. Session Key Generation: Sử dụng thông tin từ bước trên, cả hai máy khách
    và máy chủ tạo ra một "session key" sử dụng để mã hóa và giải mã dữ liệu.
    6. Finished Messages: Cả hai máy khách và máy chủ gửi thông điệp ’ Finished
    ‘ để xác nhận rằng việc thiết lập kết nối đã hoàn tất.
     Truyền tải dữ liệu an toàn:
    1. Mã hóa dữ liệu: Dữ liệu được chia thành các gói nhỏ và sau đó được mã hóa
    sử dụng session key đã tạo ra.
    2. Gửi đi dữ liệu mã hóa: Gói dữ liệu đã được mã hóa được gửi từ máy khách
    tới máy chủ thông qua giao thức HTTPS.
     Giải mã (Decryption):
    1. Nhận và Giải mã Dữ liệu: Máy chủ nhận các gói dữ liệu đã mã hóa. Sau đó
    Nó sử dụng session key để giải mã dữ liệu.
    2. Xử lý dữ liệu: Máy chủ xử lý dữ liệu, thực hiện các yêu cầu của máy khách
    (ví dụ: gửi trang web, truy vấn cơ sở dữ liệu,…).
     Kết thúc kết nối: Khi kết thúc phiên truyền thông, cả hai máy khách và máy
    chủ có thể chọn ngừng sử dụng session key hoặc tạo một key mới cho phiên tiếp
    theo. Điều này đảm bảo rằng dữ liệu truyền tải giữa máy khách và máy chủ
    được mã hóa và chỉ có thể được giải mã bởi các bên cung cấp key tương ứng.
    b, Tấn công phát lại
    Cùng với sự phát triển của khoa học công nghệ và xu hướng bùng nổ mạnh mẽ của
    không gian crypto, số lượng các vụ hack cũng tăng lên chóng mặt dưới những hình thức
    tinh vi hơn. Một trong các loại hình tấn công phổ biến có thể kể đến là replay attack (tấn
    công phát lại).

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    Hình 1.2.2. Bitcoin Cash

    Replay attack (tấn công phát lại) là loại hình tấn công nhắm vào một mạng lưới nhất
    định, trong đó các dữ liệu sẽ bị chặn lại hoặc truyền tải chậm do tác động từ các ứng dụng
    độc hại. Điều này dẫn đến việc lặp lại liên tục các thông tin nhiều lần trên toàn hệ thống.
    Trong replay attack, hacker có thể chiếm lấy quyền truy cập thông tin lưu trữ trên
    mạng lưới thông qua việc chuyển tiếp dữ liệu với hình thức hợp lệ. Bên cạnh đó, những
    kẻ tấn công cũng dùng loại hình hack này để đánh lừa các tổ chức tài chính nhằm sao
    chép nhiều giao dịch khác nhau, từ đó tạo ra lỗ hổng để dễ dàng chiếm đoạt tài sản của
    nạn nhân.
    Hơn nữa, trong một số trường hợp, chúng còn có thể cài đặt nhiều thông tin có
    chứa mã độc vào quá trình truyền tải trên toàn bộ mạng lưới, khiến hệ thống sẽ bị nhiễm
    độc. Mặc dù sự cố này không gây ra thiệt hại nghiêm trọng ngay lập tức, nhưng về lâu dài
    hacker có thể thường xuyên tấn công mạng lưới bởi các lỗ hổng đã được phát hiện trước
    đó.
    Ví dụ điển hình nhất phải kể đến đó là Bitcoin Cash khi được tạo ra từ blockchain
    của Bitcoin vào ngày 1 tháng 8 năm 2017. Chẳng hạn nếu tấn công phát lại xuất hiện
    trong quá trình hard fork diễn ra trên mạng lưới này thì replay attack sẽ hoạt động theo cả
    hai chiều, tức là có thể xảy ra khi nạn nhân chi tiêu BCH trong ví của họ. Đồng thời nếu
    một node BTC nhận giao dịch BTC thì số lượng BCH có thể cũng sẽ biến mất vì bị
    hacker đánh cắp thông qua việc xâm nhập dữ liệu về giao dịch của các block và lặp lại
    chúng.
    Trong HTTPS, có một số biện pháp để ngăn chặn tấn công phát lại:
     Sử dụng Nonce (Number Used Once): Nonce là một giá trị số ngẫu nhiên được
    tạo ra và sử dụng chỉ một lần. Nó được bao gồm trong các thông điệp và đảm
    bảo rằng mỗi thông điệp là duy nhất.
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
     Sử dụng Time Stamp: Sử dụng thời gian thực (time stamp) để đảm bảo rằng
    thông điệp không bị sử dụng lại trong một khoảng thời gian cụ thể.
     Sử dụng Sequence Numbers: Mỗi thông điệp được gán một số thứ tự duy nhất.
    Khi thông điệp đến, máy chủ kiểm tra xem số thứ tự có tăng dần không. Nếu
    không, thông điệp bị từ chối.
     Sử dụng Các Token One-Time (OTP): Các mã thông báo một lần được sử
    dụng duy nhất trong mỗi phiên truy cập. Mỗi lần gửi yêu cầu mới, mã thông báo
    cũng phải được cung cấp.
     Kiểm tra Time-to-Live (TTL): Đối với một số ứng dụng, kiểm tra thời gian
    sống (TTL) của thông điệp cũng có thể hữu ích để ngăn chặn tấn công phát lại.
     Logging và Monitoring: Theo dõi lưu lượng truy cập và kiểm tra các yêu cầu
    trùng lặp có thể cung cấp chỉ báo về các tấn công phát lại.
    Tuy nhiên, không có giải pháp duy nhất nào có thể ngăn chặn mọi loại tấn công. Thay
    vào đó, việc kết hợp nhiều biện pháp bảo mật khác nhau sẽ tăng cường tính bảo mật và
    khó khăn hơn đối với các tấn công phát lại.
    1.2.3. Tính bảo mật của dữ liệu trên đường truyền. Tấn công từ chối dịch vụ
    a, Tính bảo mật của dữ liệu trên đường truyền
    Sự tăng trưởng nhanh chóng về quy mô và độ phức tạp của mạng và các thiết bị
    Internet vạn vật (IoT) mang đến những cơ hội mới – cụ thể là sự tương tác giữa con
    người và thiết bị trên phạm vi toàn cầu. Nhưng đồng thời, nó cũng gia tăng các rủi ro vi
    phạm an ninh và các cuộc tấn công độc hại khác, đặc biệt là trong quá trình truyền dữ
    liệu.
    Hiện nay HTTPS đã trở thành một trong những giao thức được sử dụng rộng rãi phổ
    biến. Nó thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao. Chính vì
    vậy vấn đề bảo mật dữ liệu trong HTTPS đang được quan tâm hơn bao giờ hết. Giao thức
    HTTPS sử dụng port 443, giúp đảm bảo các tính chất sau của thông tin:
    - Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo rằng các
    thông điệp được trao đổi giữa client và server không bị kẻ thứ ba đọc được.
    - Integrity: sử dụng phương thức hashing để cả người dùng (client) và máy chủ
    (server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị
    mất mát hay chỉnh sửa.
    - Authenticity: sử dụng chứng chỉ số (digital certificate) để giúp client có thể tin
    tưởng rằng server/website mà họ đang truy cập thực sự là server/website mà họ
    mong muốn vào, chứ không phải bị giả mạo.
    Nói một cách đơn giản, HTTPS bảo vệ tất cả thông tin (thậm chí là một phần của
    URL) bạn gửi và nhận từ trang web, bắt đầu từ lúc mở trang web đến khi đóng nó.
    Các thành phần quan trọng của việc bảo mật dữ liệu trên đường truyền trong HTTPS
    có thể được kể đến như sau:
     Mã hóa Dữ liệu:
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    - HTTPS sử dụng SSL/TLS (Secure Sockets Layer/Transport Layer
    Security) để mã hóa dữ liệu trên đường truyền giữa máy khách (client)
    và máy chủ (server).
    - Quá trình mã hóa đảm bảo rằng người ngoài không thể đọc được thông
    tin gửi đi.
     Chứng chỉ SSL/TLS (SSL/TLS Certificates):
    - Chứng chỉ SSL/TLS xác nhận danh tính của máy chủ. Nó được cấp bởi
    một cơ quan chứng thực đáng tin cậy.
    - Khi máy khách kết nối đến một trang web sử dụng HTTPS, máy chủ sẽ
    gửi chứng chỉ SSL/TLS để xác thực.
     Kiểm chứng Độ tin cậy (Certificate Authority Verification):
    - Máy khách kiểm tra xem chứng chỉ SSL/TLS có được ký bởi một cơ
    quan chứng thực đáng tin cậy hay không.
    - Nếu chứng chỉ không hợp lệ hoặc không tin cậy, trình duyệt sẽ cảnh báo
    người dùng.
     Máy Chủ và Máy Khách Xác Thực (Server and Client Authentication):
    SSL/TLS cung cấp cơ chế cho cả máy khách và máy chủ xác thực lẫn nhau.
    Điều này đảm bảo rằng cả hai bên đang nói chuyện với đúng đối tác mà họ
    mong đợi.
     Tính Bí Mật Của Dữ Liệu: Dữ liệu trên đường truyền trong HTTPS không chỉ
    được mã hóa, mà còn được giữ bí mật giữa máy khách và máy chủ. Nó bảo vệ
    khỏi các tấn công như theo dõi mạng (network sniffing).
     Chống Man-in-the-Middle Attacks: HTTPS ngăn chặn tấn công người đứng
    giữa (man-in-the-middle) bằng cách sử dụng mã hóa để bảo vệ dữ liệu trên
    đường truyền.
     Cập Nhật Chứng Chỉ SSL/TLS: Các chứng chỉ SSL/TLS cần phải được cập
    nhật định kỳ để đảm bảo tính bảo mật.
    Tóm lại, HTTPS cung cấp một môi trường truyền tải dữ liệu an toàn và đáng tin
    cậy trên Internet. Tuy nhiên, việc triển khai và cấu hình chính xác của HTTPS là
    quan trọng để đảm bảo tính bảo mật tối đa.
    b, Tấn công từ chối dịch vụ
    DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch
    vụ. Tấn công từ chối dịch vụ DoS là hình thức tấn công với mục đích làm gián đoạn
    dịch vụ của một trang web hoặc một hệ thống bằng nhiều phương thức khác nhau. Kẻ
    tấn công bằng một cách nào đó sẽ cố gắng ngăn cản không cho người dùng truy xuất
    thông tin, tài nguyên từ một dịch vụ hay một trang web nào bằng cách làm cho hệ thống
    gián đoạn, quá tải hoặc chậm đi.
    Một trong những cách tấn công DOS thường gặp nhất là một kẻ tấn công sẽ tìm
    cách làm quá tải hệ thống bằng cách đưa một số lượng lớn client ảo truy cập cùng lúc.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    Khi đó, bạn truy cập vào dịch vụ sẽ bị gián đoạn do máy chủ không thể xử lý được yêu
    cầu (request) của bạn. Tương tự với cơ chế này, kẻ tấn công có thể gửi hàng loạt email
    rác đến email của bạn cho đến khi đạt giới hạn của mỗi dịch vụ mail, email của bạn có
    khả năng sẽ bị “lụt” và không thể tiếp nhận những email khác.
    DDOS (Distributed Denial of Service) - Tấn công từ chối dịch vụ phân tán - là
    một hình thức tấn công DOS phổ biến do mức độ và phạm vi ảnh hưởng rộng. Bằng một
    cách nào đó, hacker sẽ chiếm được quyền điều khiển toàn bộ hệ thống của bạn để trở
    thành 1 phần trong hệ thống công cụ tấn công. Máy tính của bạn sẽ trở thành 1 phần của
    BOTNET (mạng máy tính ma) để thực hiện tấn công vào các dịch vụ như dịch vụ ngân
    hàng, gửi email rác, tấn công làm tràn bộ nhớ máy chủ… Do sử dụng nhiều máy tính
    cùng lúc, vì vậy đây được gọi là hình thức tấn công từ chối dịch vụ phân tán.
    Vậy câu hỏi đặt ra là làm cách nào có thẻ ngăn chặn và phòng chống các cuộc tấn
    công từ chối dịch vụ trên không gian mạng nói chung và trong môi trường HTTPS nói
    riêng. Ngày nay, các chuyên gia an ninh mạng đã thực hiện rất nhiều nghiên cứu và đã
    tìm ra khá nhiều phương pháp để ngăn chặn các cuộc tấn công dịch vụ. Nổi bật trong số
    đó có thể kể đến một số phương pháp sau:
     Sử dụng Dịch vụ Bảo vệ DDoS (DDoS Protection Service): Cung cấp bởi
    nhiều nhà cung cấp dịch vụ và nhà cung cấp hệ thống quản lý nội dung, các
    dịch vụ này giúp bảo vệ trang web khỏi tấn công DDoS bằng cách chuyển
    hướng lưu lượng truy cập qua các hệ thống bộ lọc.
     Sử dụng CDN (Content Delivery Network): CDN giúp phân tán nội dung
    trên nhiều máy chủ ở nhiều vị trí địa lý khác nhau. Điều này giúp giảm áp
    lực lên máy chủ gốc và cung cấp bảo vệ tự nhiên chống lại một số loại tấn
    công DDoS.
     Cân bằng tải (Load Balancing): Sử dụng cân bằng tải để phân phối công
    việc giữa nhiều máy chủ. Nếu một máy chủ bị quá tải do tấn công DDoS,
    các yêu cầu có thể được chuyển hướng đến các máy chủ khác vẫn hoạt động
    bình thường.
     TLS Termination: Sử dụng các thiết bị hoặc dịch vụ cung cấp giải mã
    SSL/TLS (TLS termination) để giảm tải cho máy chủ web chính.
     Firewall và Bộ Lọc IP: Sử dụng bộ tường lửa mạng và các bộ lọc IP để
    ngăn chặn lưu lượng không mong muốn hoặc lưu lượng từ các nguồn không
    đáng tin cậy.
     Đối phó với Tấn Công Một Cách Kịp Thời: Đáp ứng nhanh chóng với tấn
    công DDoS bằng cách cô lập và chặn lưu lượng đến từ nguồn tấn công.
    Trên đây là một số phương pháp có thể giúp bạn ngăn chặn và phòng chống tấn
    công dịch vụ một cách khá hiệu quả. Nhớ rằng không có biện pháp nào là hoàn hảo hoàn
    toàn, nhưng kết hợp nhiều biện pháp này có thể tạo ra một môi trường an toàn hơn để
    phòng chống tấn công DDoS trong môi trường HTTPS.
    1.3 Chứng thực máy chủ và chứng chỉ SSL/TLS

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    1.3.1 Mục đích của chứng thực máy chủ và Điều khiển truy cập:
     Chứng thực (Authentication)
    • Là một hành động nhằm thiết lập hoặc chứng thực một cái gì đó (hoặc một
    người nào đó) đáng tin cậy, có nghĩa là, những lời khai báo do người đó đưa ra
    hoặc về vật đó là sự thật.
    • Một quy trình dùng để xác minh sự nhận dạng của một người dùng, hoặc
    thông điệp/dữ liệu
    • Phải cung cấp một nhân tố nào đó để chứng thực

    Ví dụ: Web Application Authentication


    - Nhận dạng bạn là ai
    - Bạn được quyền sử dụng/ truy xuất thông tin dữ liệu nào

    Mobile Connect Authentication

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

     Mục đích của chứng thực máy chủ là xác minh danh tính của máy chủ trước khi
    cho phép truy cập từ các thiết bị hoặc ứng dụng khác. Điều này đảm bảo rằng
    người dùng kết nối đến máy chủ thực sự là máy chủ mà họ mong đợi, không phải
    là máy chủ giả mạo hoặc độc hại.

     Chứng thực máy chủ cũng giúp kiểm soát truy cập bằng cách quyết định liệu một
    máy chủ cụ thể có quyền truy cập tài liệu, dịch vụ hoặc thông tin cụ thể hay
    không.

    1.3.2 Chứng chỉ SSL/TLS là gì?

     Chứng chỉ SSL/TLS (Secure Sockets Layer/Transport Layer Security) là một loại
    tài liệu điện tử chứng nhận rằng một máy chủ hoặc một trang web cụ thể đã được
    kiểm tra và xác minh về danh tính và khả năng bảo mật của nó.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

     Chứng chỉ này được sử dụng để thiết lập kết nối an toàn và bảo vệ thông tin truyền
    qua mạng giữa máy chủ và máy khách.

    Tại sao chứng chỉ SSL/TLS lại quan trọng?

    Chứng chỉ SSL/TLS tạo nên sự tin tưởng giữa người dùng trang web. Các doanh nghiệp
    cài đặt chứng chỉ SSL/TLS trên các máy chủ web để tạo ra các trang web bảo mật
    SSL/TLS. Một trang web bảo mật SSL/TLS có các đặc điểm sau:

     Biểu tượng ổ khóa và thanh địa chỉ màu xanh lá cây trên trình duyệt web
     Tiền tố https ở địa chỉ trang web trên trình duyệt
     Chứng chỉ SSL/TLS hợp lệ. Bạn có thể kiểm tra xem chứng chỉ SSL/TLS có hợp
    lệ hay không bằng cách nhấp và mở rộng biểu tượng ổ khóa trên thanh địa chỉ
    URL
     Một khi kết nối được mã hóa đã được thiết lập thì chỉ có khách hàng và máy chủ
    web có thể xem dữ liệu được gửi đi.

    Dưới đây là một số lợi ích của chứng chỉ SSL/TLS.

     Bảo vệ dữ liệu cá nhân

    Trình duyệt xác nhận chứng chỉ SSL/TLS của bất kỳ trang web nào để bắt đầu và duy trì
    các kết nối an toàn với máy chủ website. Công nghệ SSL/TLS giúp đảm bảo mã hóa tất
    cả các giao tiếp giữa trình duyệt của bạn và trang web.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
     Tăng cường sự tự tin của khách hàng

    Khách hàng hiểu Internet hiểu tầm quan trọng của quyền riêng tư và muốn tin tưởng vào
    các trang web mà họ đang truy cập. Một trang web SSL/TLS được bảo vệ có biểu tượng
    ổ khóa màu xanh lá cây, mà khách hàng cảm nhận là an toàn. Bảo vệ SSL/TLS giúp
    khách hàng biết rằng dữ liệu của họ đang được bảo vệ khi họ chia sẻ dữ liệu với doanh
    nghiệp của bạn.

     Hỗ trợ việc tuân thủ quy định

    Một số doanh nghiệp phải tuân thủ các quy định của ngành về tính bảo mật và bảo vệ dữ
    liệu. Ví dụ, các doanh nghiệp trong ngành công nghiệp thẻ thanh toán phải tuân thủ PCI
    DSS. PCI DSS là một yêu cầu trong ngành để cung cấp các giao dịch trực tuyến an toàn,
    bao gồm bảo mật máy chủ web bằng chứng chỉ SSL/TLS.

     Cải thiện SEO

    Các công cụ tìm kiếm lớn đã đưa bảo vệ SSL/TLS trở thành một yếu tố xếp hạng để tối
    ưu hóa công cụ tìm kiếm. Một trang web được bảo đảm SSL/TLS có khả năng sẽ xếp
    hạng cao hơn trên công cụ tìm kiếm hơn một trang web tương tự mà không có chứng chỉ
    SSL/TLS. Điều này làm tăng khách truy cập từ các công cụ tìm kiếm đến trang web
    SSL/TLS bảo vệ.

    1.3.3 Cơ cấu của chứng chỉ SSL/TLS và cách chúng hoạt động:

    Chứng chỉ SSL/TLS bao gồm các thông tin sau:


     Tên máy chủ (Common Name - CN): Xác định tên máy chủ hoặc tên miền của
    trang web được chứng thực.
     Khóa công khai của máy chủ: Được sử dụng để mã hóa dữ liệu truyền qua
    mạng.
     Chữ ký số của tổ chức phát hành chứng chỉ: Xác minh tính hợp pháp của chứng
    chỉ.
     Thời gian hiệu lực của chứng chỉ: Xác định khoảng thời gian mà chứng chỉ là
    hợp lệ.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    Cách chúng hoạt động: Khi máy khách (người dùng trình duyệt) kết nối đến máy chủ,
    máy chủ sẽ gửi chứng chỉ SSL/TLS của mình kèm theo khóa công khai. Máy khách sẽ sử
    dụng khóa công khai này để mã hóa thông tin gửi đến máy chủ. Chỉ máy chủ có khóa
    riêng tư tương ứng mới có thể giải mã thông tin này.

    1.3.4 Hậu quả của không chứng thực được máy chủ:

    Nếu máy chủ không được chứng thực hoặc sử dụng chứng chỉ SSL/TLS không hợp lệ, có
    thể xảy ra các hậu quả sau:
     Rủi ro bảo mật: Kẻ tấn công có thể giả mạo máy chủ và đánh cắp thông tin cá
    nhân hoặc dữ liệu quan trọng của người dùng.
     Mất uy tín: Sự thiếu tin tưởng trong tính bảo mật của trang web hoặc dịch vụ có
    thể dẫn đến mất khách hàng và uy tín của tổ chức.
     Sự cản trở truy cập: Trình duyệt web có thể cảnh báo người dùng về sự không
    chắc chắn của trang web và từ chối truy cập đến nó.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    1.4 Biểu tượng khóa an toàn và đánh dấu trang web bảo mật
    1.4.1 Biểu tượng khóa an toàn trong trình duyệt:

    Biểu tượng khóa an toàn trong trình duyệt là một biểu tượng hoặc biểu đồ thường xuất
    hiện bên cạnh địa chỉ URL hoặc trong thanh công cụ của trình duyệt web khi bạn truy cập
    một trang web bảo mật Một số thông tin chi tiết hơn về biểu tượng này:

     Biểu tượng và hình dạng:


    Biểu tượng khóa an toàn thường được hiển thị bên cạnh địa chỉ web (URL) của trang web
    bạn đang truy cập.
    Nó có thể xuất hiện dưới dạng biểu tượng khóa màu xanh hoặc khóa màu xanh đậm.
    Trong một số trường hợp, biểu tượng khóa có thể kết hợp với biểu tượng khác như một

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    biểu tượng mạnh, biểu tượng máy chủ, hoặc biểu tượng khóa màu xanh với một vòng
    tròn xanh xung quanh.
     Dấu hiệu của trang web bảo mật:

    Biểu tượng khóa an toàn là một dấu hiệu rõ ràng cho thấy rằng trang web bạn đang truy
    cập là một trang web bảo mật và thông tin bạn truyền đi và nhận được trên trang web đó
    được mã hóa để bảo vệ khỏi nguy cơ đánh cắp thông tin.

     Kết nối bảo mật:

    Khi bạn thấy biểu tượng khóa an toàn, nó chỉ ra rằng kết nối giữa trình duyệt của bạn và
    máy chủ của trang web đã được thiết lập bằng cách sử dụng giao thức bảo mật SSL/TLS
    (Secure Sockets Layer/Transport Layer Security). Điều này đảm bảo rằng thông tin
    truyền qua mạng là được mã hóa và bảo mật.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

     Xác thực máy chủ:

    Ngoài tính bảo mật, biểu tượng khóa an toàn còn liên quan đến việc xác thực danh tính
    của máy chủ. Nó cho biết rằng máy chủ đã được chứng thực và được cấp chứng chỉ
    SSL/TLS bởi một tổ chức đáng tin cậy. Điều này đảm bảo rằng bạn đang kết nối đến
    trang web chính thống và không phải là trang web giả mạo.
     Điều khiển truy cập:

    Biểu tượng khóa an toàn không chỉ cho thấy tính bảo mật mà còn có thể đi kèm với các
    chức năng liên quan đến điều khiển truy cập. Ví dụ, bạn có thể nhấp vào biểu tượng này
    để xem thông tin chi tiết về chứng chỉ SSL/TLS của trang web hoặc kiểm tra xem trang
    web có đúng chứng chỉ hay không.

    1.4.2 Thanh địa chỉ và thông điệp bảo mật:

    Thanh địa chỉ và thông điệp bảo mật là các yếu tố quan trọng trong trình duyệt web để
    người dùng có thể xác định tính bảo mật của trang web mà họ đang truy cập :

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    1. Thanh địa chỉ (URL):

    Thanh địa chỉ, thường được gọi là thanh URL hoặc thanh địa chỉ trình duyệt, là phần trên
    cùng của trình duyệt web chứa địa chỉ của trang web bạn đang truy cập. Đây là nơi bạn
    nhập URL hoặc tìm kiếm trang web cụ thể.

    2. Thông điệp bảo mật:

    Thông điệp bảo mật xuất hiện bên cạnh thanh địa chỉ trong trình duyệt và thường có một
    số biểu tượng và thông báo để người dùng biết về mức độ bảo mật của trang web.

    1.4.3 Ý nghĩa của các biểu tượng và thông điệp bảo mật:

    Mức độ bảo mật của trang web thường được biểu thị bằng một số biểu tượng và thông
    điệp khác nhau. Ví dụ:

    a. "https://": Khi địa chỉ URL của trang web bắt đầu bằng "https://", nó cho thấy rằng
    trang web đang sử dụng giao thức bảo mật SSL/TLS. Thông điệp này cũng thường đi
    kèm với một biểu tượng khóa.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    b. Biểu tượng khóa an toàn: Biểu tượng khóa màu xanh hoặc màu xanh đậm bên cạnh
    thanh địa chỉ cho thấy rằng kết nối giữa bạn và máy chủ của trang web đã được mã hóa
    và bảo mật bằng SSL/TLS.

    c. Biểu tượng máy chủ an toàn: Một biểu tượng máy chủ có thể xuất hiện bên cạnh biểu
    tượng khóa và cung cấp thông tin về máy chủ của trang web và tổ chức chứng thực.

    d. Thông điệp bảo mật cụ thể: Trình duyệt có thể hiển thị thông điệp cụ thể về tính bảo
    mật của trang web, chẳng hạn như "An toàn" hoặc "Kết nối bảo mật được thiết lập."
    Thông điệp này có thể khác nhau tùy theo trình duyệt và cấp độ bảo mật của trang web.

    e. Biểu tượng mạnh: Một số trình duyệt có thể sử dụng biểu tượng mạnh để chỉ ra tính
    bảo mật của trang web. Biểu tượng này thường là một biểu tượng khóa màu xanh với một
    vòng tròn xanh xung quanh nó.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông

    1.5 Cổng mặc định và hiệu suất của HTTPS:

    1.5.1 Cổng mặc định của HTTPS:

    -Tất cả các truy cập HTTPS (HyperText Transfer Protocol Secure) thông qua giao thức
    TLS/SSL (Transport Layer Security/Secure Sockets Layer) sử dụng cổng mặc định là
    cổng 443.
    -Khi bạn truy cập một trang web bằng HTTPS, trình duyệt web của bạn sẽ tự động kết
    nối đến máy chủ web của trang đó trên cổng 443. Giao tiếp qua cổng này sử dụng mã hóa
    để đảm bảo tính bảo mật của thông tin truyền tải giữa máy tính của bạn và máy chủ web.
    -Việc sử dụng cổng 443 làm cổng mặc định cho HTTPS giúp đảm bảo tính tương thích,
    dễ dàng cho việc trình bày và truyền tải dữ liệu an toàn qua mạng.

    1.5.2 Ảnh hưởng của mã hóa dữ liệu đến hiệu suất:

    - Sử dụng CPU và Bộ nhớ tăng lên: Quá trình mã hóa và giải mã dữ liệu đòi hỏi nhiều
    tài nguyên CPU và bộ nhớ hơn so với việc truyền tải dữ liệu không mã hóa. Điều này có
    thể dẫn đến việc sử dụng tài nguyên hệ thống cao hơn cả ở phía máy chủ và phía máy
    tính cá nhân.
    - Thời gian Phản hồi Tăng lên: Quá trình mã hóa và giải mã dữ liệu mất thời gian, do
    đó, thời gian phản hồi từ máy chủ có thể tăng lên một chút so với việc truyền tải dữ liệu
    không mã hóa. Tuy nhiên, sự tăng này thường không đáng kể, đặc biệt là trên phần cứng
    và thuật toán mã hóa đã được tối ưu hóa.
    - Kích thước Dữ liệu Tăng lên: Dữ liệu đã được mã hóa thường có kích thước lớn hơn
    so với dữ liệu gốc chưa mã hóa. Tuy nhiên, sự tăng về kích thước này thường không đáng
    kể đối với các tệp tin nhỏ hoặc kết nối ngắn.
    - Hiệu suất Phụ thuộc vào Cấu hình Máy chủ và Trình duyệt: Tác động đối với hiệu
    suất của HTTPS có thể khác nhau tùy thuộc vào cấu hình của máy chủ web và khả năng
    của trình duyệt của người dùng. Triển khai mã hóa phần cứng và phần mềm hiệu quả có
    thể giúp giảm tác động đối với hiệu suất.
    - Tác động không Đáng kể đối với Truyền tải Dữ liệu Lớn: Đối với việc truyền tải dữ
    liệu lớn, tác động đối với hiệu suất của mã hóa thường không đáng kể, vì các yếu tố khác
    như băng thông mạng thường là yếu tố quyết định chính về tốc độ.

    1.5.3 Các biện pháp tối ưu hóa để giảm thiểu ảnh hưởng đến hiệu suất:

    - Sử dụng TLS/SSL Thế hệ Mới: Sử dụng các phiên bản mới nhất của giao thức TLS
    hoặc SSL để tận dụng cải tiến về hiệu suất và bảo mật.
    - Sử dụng Content Delivery Network (CDN): Sử dụng CDN để phân phối tài nguyên
    tĩnh từ các máy chủ gần người dùng, giúp giảm độ trễ và tăng tốc độ tải trang.

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    - Sử dụng HTTP/2 hoặc HTTP/3: Cập nhật giao thức truyền tải dữ liệu lên HTTP/2
    hoặc HTTP/3 để tận dụng tối ưu hóa việc truyền tải và quản lý tài nguyên.
    -Tối ưu hóa Ảnh và Phương tiện đa phương tiện: Tối ưu hóa hình ảnh và tập tin đa
    phương tiện để giảm kích thước dữ liệu trang web và tăng tốc độ tải trang.
    -Sử dụng Caching: Sử dụng caching để lưu trữ tài nguyên đã tải trên máy khách và giảm
    việc tải lại chúng từ máy chủ.
    -Hạn chế Số yêu cầu: Giảm số lượng yêu cầu HTTP bằng cách sử dụng kỹ thuật kết hợp
    tài nguyên (resource bundling) và sprite hình ảnh để kết hợp nhiều yêu cầu thành một.
    -Sử dụng HSTS: Sử dụng HTTP Strict Transport Security (HSTS) để đảm bảo rằng trình
    duyệt của khách hàng luôn sử dụng HTTPS.
    -Tối ưu hóa Mã hóa và Giải mã: Sử dụng thuật toán mã hóa hiệu quả và cài đặt phần
    cứng được tối ưu hóa để giảm tác động đối với hiệu suất.
    -Chọn Một Chứng chỉ SSL/TLS Tối Thiểu: Chọn một chứng chỉ có kích thước tối
    thiểu để giảm kích thước của chứng chỉ và thời gian tải.

    1.6 Tầm quan trọng của HTTPS trong SEO:

    1.6.1 Liên kết giữa HTTPS và xếp hạng trang web trên các thanh công cụ tìm
    kiếm:

    -Độ tin cậy và bảo mật: HTTPS giúp tăng độ tin cậy của trang web bằng cách bảo vệ
    thông tin cá nhân của người dùng và ngăn chặn các cuộc tấn công như đánh cắp dữ liệu.
    Các công cụ tìm kiếm như Google, Bing và Yahoo đánh giá tính bảo mật và độ tin cậy
    của trang web khi xác định xếp hạng.
    -Ưu tiên HTTPS: Các công cụ tìm kiếm, đặc biệt là Google, đã công bố rằng họ ưu tiên
    trang web sử dụng HTTPS trong việc xếp hạng. Điều này có nghĩa là nếu bạn có một
    trang web sử dụng HTTPS và trang web cùng cấp với bạn sử dụng HTTP, thì trang web
    của bạn có thể được xếp hạng cao hơn trong kết quả tìm kiếm.
    -Công cụ tìm kiếm cảnh báo về trang web không an toàn: Nếu trang web của bạn
    không sử dụng HTTPS, các công cụ tìm kiếm có thể hiển thị cảnh báo cho người dùng
    khi họ truy cập trang web của bạn. Điều này có thể ảnh hưởng đến độ tin cậy của trang
    web và làm giảm lượng truy cập.
    -Tốc độ tải trang: HTTPS có thể tạo ra một chút chi phí về hiệu suất do mã hóa và giải
    mã dữ liệu, nhưng hiện nay, các ưu điểm về bảo mật và độ tin cậy thường quan trọng
    hơn. Nếu bạn tối ưu hóa cấu hình HTTPS của mình đúng cách, bạn vẫn có thể đảm bảo
    tốc độ tải trang web nhanh chóng.

    1.6.2 Ưu điểm của triển khai HTTPS đối với tối ưu hóa tìm kiếm và tương tác
    trang web:

    -Tăng xếp hạng trang web trên công cụ tìm kiếm: Các công cụ tìm kiếm, đặc biệt là

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    Google, đã thể hiện ưu tiên cho các trang web sử dụng HTTPS trong việc xếp hạng. Điều
    này có nghĩa là trang web của bạn có thể đứng cao hơn trong kết quả tìm kiếm so với các
    trang web cùng lĩnh vực sử dụng HTTP.
    -Tạo niềm tin và độ tin cậy: Một trang web sử dụng HTTPS truyền tải thông điệp cho
    người dùng rằng trang web này quan tâm đến bảo mật và bảo vệ thông tin của họ. Điều
    này có thể làm tăng độ tin cậy của trang web và tạo ấn tượng tích cực đối với khách hàng.
    -Cải thiện tương tác và giữ chân người dùng: Một trang web an toàn và bảo mật hơn
    có thể tạo cơ hội tốt hơn để tương tác với khách hàng và giữ chân họ. Người dùng sẽ có
    xu hướng cảm thấy thoải mái hơn khi cung cấp thông tin cá nhân và thực hiện giao dịch
    trên trang web của bạn.
    -Ngăn chặn cảnh báo trình duyệt không an toàn: Nếu trang web của bạn không sử
    dụng HTTPS, các trình duyệt hiện đại có thể hiển thị cảnh báo cho người dùng khi họ
    truy cập trang web của bạn, đặc biệt là khi họ phải nhập thông tin cá nhân. Điều này có
    thể gây lo ngại và làm giảm tương tác trang web.
    -Giảm nguy cơ tấn công Man-in-the-Middle (MITM): HTTPS giảm khả năng bị tấn
    công MITM bằng cách mã hóa dữ liệu trong quá trình truyền tải, làm cho việc đánh cắp
    thông tin trở nên khó khăn đối với kẻ tấn công. Điều này giúp bảo vệ dữ liệu quan trọng
    của bạn và đảm bảo rằng người dùng không gặp nguy cơ mất thông tin cá nhân.
    -Tối ưu hóa tốc độ tải trang: Mặc dù việc mã hóa dữ liệu trong quá trình truyền tải có
    thể tạo ra một chút chi phí về hiệu suất, nhưng nó có thể được tối ưu hóa để đảm bảo tốc
    độ tải trang web vẫn nhanh chóng. Sử dụng HTTP/2 và HTTP/3 cũng có thể giúp cải
    thiện hiệu suất trang web.

    1.7 Kết Luận

    1.7.1 Tóm tắt lại ý nghĩa và lợi ích của HTTPS.

    1.7.1.1 Tóm tắt ý nghĩa.


    Nói tóm lại thì HTTPS là Giao thức HTTP nhưng được mà hóa dữ liệu bởi SSL/TLS.
    Là 1 giao thức truyền tải siêu văn bản được sử dụng trong www. Nó là nền tảng của
    bất kỳ sự trao đổi dữ liệu nào trên Web và cũng là giao thức giữa client (thường là
    các trình duyệt hay bất kỳ loại thiết bị, chương trình nào) và server (thường là các
    máy tính trên đám mây). 1 doc hoàn chỉnh được tái tạo từ các doc con khác nhau
    được fetch – tìm nạp, chẳng hạn như văn bản, mô tả layout, hình ảnh, video, script
    v..v..

    1.7.1.2 Lợi ích của HTTPS


    1. Xét về tốc độ thì HTTPS thì kém không đáng kể so với HTTP bởi các lý do sau
    đây :
    - Cải tiến giao thức TLS: TLS (Transport Layer Security), phiên bản sau của SSL
    (Secure Sockets Layer), đã trải qua nhiều phiên bản cải tiến. Các phiên bản TLS

    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    mới hơn đã cải thiện cách mã hóa và bảo mật dữ liệu mà không làm tăng đáng kể độ
    trễ hoặc tốc độ.

    - Hiệu suất của máy chủ và trình duyệt: Cả trình duyệt và máy chủ web hiện đại đã
    trở nên mạnh mẽ hơn và được tối ưu hóa tốt hơn để xử lý việc sử dụng HTTPS.
    Điều này giúp giảm thiểu độ trễ trong quá trình thiết lập kết nối an toàn.

    - HTTP/2: HTTP/2 là phiên bản mới hơn của giao thức HTTP và nó hỗ trợ tải trang
    web nhanh hơn bằng cách sử dụng nhiều kết nối đồng thời. HTTPS thường hoạt
    động tốt với HTTP/2 và thậm chí có thể nâng cao hiệu suất.

    - Các dịch vụ tối ưu hóa CDN: Nhiều trang web và ứng dụng web sử dụng dịch vụ
    CDN (Content Delivery Network) để tối ưu hóa tải trang. CDN giúp tăng tốc độ
    truy cập bằng cách lưu trữ tài nguyên trang web tại các máy chủ gần người dùng.
    CDN thường hỗ trợ HTTPS mạnh mẽ, giúp tăng tốc độ trang web.

    - Cải tiến phần cứng: Máy chủ web và cơ sở hạ tầng mạng đã trải qua nhiều cải tiến
    về hiệu suất và bảo mật, cho phép sử dụng HTTPS mà không làm chậm tốc độ.

    2. Bảo mật dữ liệu: HTTPS mã hóa dữ liệu truyền qua mạng, giúp ngăn chặn người
    khác đọc hoặc thay đổi thông tin trong quá trình truyền tải nên vậy HTTPS giúp
    chúng ta đảm bảo quyền riêng tư , tính toàn vẹn và nhận dạng.
    3. Xác thực đáng tin cậy: Các chứng chỉ số học kỹ thuật số được cấp bởi các cơ quan
    cấp chứng chỉ (CA) giúp xác minh danh tính của trang web. Điều này giúp người
    dùng biết họ đang kết nối với trang web chính xác mà họ muốn truy cập.
    4. Cải thiện SEO: Các công cụ tìm kiếm như Google đã bắt đầu ưa thích các trang
    web sử dụng HTTPS. Do đó, việc sử dụng HTTPS có thể cải thiện thứ hạng tìm
    kiếm của bạn và tạo lợi ích cho SEO.
    5. Tạo niềm tin và uy tín: Sử dụng HTTPS có thể tạo niềm tin và uy tín cho người
    dùng. Khi họ thấy biểu tượng khóa màu xanh hoặc "An toàn" trong trình duyệt, họ
    cảm thấy yên tâm hơn khi thực hiện giao dịch hoặc chia sẻ thông tin cá nhân.
    6. Chống đánh cắp dữ liệu và tấn công hacker: HTTPS giúp bảo vệ khỏi các cuộc
    tấn công đối với dữ liệu truyền qua mạng, đảm bảo rằng thông tin của bạn không bị
    đánh cắp.

    1.7.2Tầm quan trọng của việc sử dụng HTTPS để bảo vệ thông tin cá nhân
    và dữ liệu trực tuyến.

    Hiện nay sự phát triển của internet ngày càng gia tăng và phủ rộng toàn cầu, kéo theo đó
    là các nhu cầu hàng ngày ngày càng được công nghệ hóa. Do vậy chúng ta sẽ trao
    đổi rất nhiều thông tin thông qua mạng internet , lưu trữ thông tin trên mạng internet
    cũng như là lưu trữ tài sản thông qua internet(cổ phiếu , trái nhiếu , ngân hàng …)
    do vậy để bảo mật các thông tin trên là vô cùng quan trọng nên vậy các nhà phát
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    triển đã tạo ra giao thức HTTPS để bảo mật các thông tin nói trên và rất nhiều các
    thông tin khác trên mạng internet. Dưới đây là 1 số lý do mà bạn nên sử dụng
    HTTPS :

    1. Bảo mật thông tin cá nhân: HTTPS giúp mã hóa dữ liệu truyền tải giữa máy tính
    cá nhân và máy chủ web. Điều này đảm bảo rằng thông tin cá nhân, chẳng hạn như
    tên người dùng, mật khẩu, thẻ tín dụng và thông tin địa chỉ không thể bị đánh cắp
    bởi kẻ tấn công trong quá trình truyền tải qua mạng.

    2. Tạo sự tin tưởng của người dùng: Khi người dùng thấy biểu tượng khóa màu xanh
    và "https://" trong thanh địa chỉ của trình duyệt, họ cảm thấy an tâm hơn khi thực
    hiện giao dịch trực tuyến hoặc chia sẻ thông tin cá nhân. Điều này giúp tạo sự tin
    tưởng và tạo điều kiện thuận lợi cho hoạt động kinh doanh trực tuyến.

    3. Bảo vệ dữ liệu của người dùng: Dữ liệu cá nhân của người dùng, chẳng hạn như
    email, văn bản, hình ảnh và video, đều được bảo vệ khỏi nguy cơ đánh cắp hoặc
    ngăn chặn bởi các bên thứ ba. Điều này đặc biệt quan trọng khi sử dụng dịch vụ lưu
    trữ đám mây hoặc khi truy cập dữ liệu từ xa.

    4. Phòng ngừa tấn công man-in-the-middle: HTTPS giúp ngăn chặn tấn công man-
    in-the-middle, trong đó một kẻ tấn công cố gắng theo dõi và can thiệp vào giao tiếp
    giữa máy tính cá nhân và máy chủ web. Bằng cách mã hóa dữ liệu, HTTPS làm cho
    việc này trở nên khó khăn hơn.

    5. Tuân thủ quy định và luật pháp: Trong nhiều quốc gia, việc bảo vệ thông tin cá
    nhân của người dùng trở thành luật pháp. Sử dụng HTTPS là một cách để tuân thủ
    các quy định về bảo mật dữ liệu và tránh các hình phạt liên quan đến việc vi phạm
    quy định này.

    6. Ngăn chặn truy cập trái phép: HTTPS có thể giúp ngăn chặn truy cập trái phép
    vào các trang web hoặc dịch vụ trực tuyến bằng cách mã hóa thông tin truyền tải và
    xác thực máy chủ. Điều này làm cho việc truy cập trái phép trở nên khó khăn hơn.

    2 Ứng Dụng Thức Tiễn

    2.7 Bảo mật thông tin cá nhân: Khi bạn thực hiện giao dịch tài chính trực tuyến, đăng
    nhập vào tài khoản email, mạng xã hội, hay thậm chí mua hàng trực tuyến, HTTPS
    giúp bảo vệ thông tin cá nhân của bạn khỏi thiết bị đánh cắp.
    2.8 Xác minh danh tính của trang web: Một chứng chỉ SSL/TLS (chứng chỉ số) cung
    cấp thông tin về danh tính của trang web. Điều này giúp người dùng xác nhận rằng
    Nhóm 5
    ` Tiểu Luận MÔN: An Toàn mạng truyền thông
    họ đang kết nối với trang chính của trang web chứ không phải một trang web giả
    mạo.
    2.9 Cải thiện SEO: Google và các công cụ tìm kiếm khác ưu tiên các trang web sử
    dụng HTTPS. Điều này có thể cải thiện vị trí của trang web trong quá trình tìm kiếm
    kết quả.
    2.10 Phân quyền và bảo mật: HTTPS hỗ trợ người dùng xác định và xác thực, giúp
    hạn chế quyền truy cập đối với các phần định nghĩa nhất của trang web.
    2.11 Thiết lập kết nối toàn bộ cho ứng dụng di động: Ứng dụng di động cũng có thể
    sử dụng HTTPS để đảm bảo rằng dữ liệu được truyền đi giữa ứng dụng và máy chủ
    an toàn.
    2.12 Cung cấp ý tưởng cho người dùng: Khi người dùng tìm thấy biểu tượng khóa
    hoặc một trang web sử dụng "https://" thay vì "http://", họ cảm thấy tự động hơn về
    việc trao đổi thông tin trên trang web đó.

    Nhóm 5

    You might also like