1.1.

Giới thiệu về giao thức HTTPS

1.1.1. Định nghĩa cơ bản về HTTPS
HTTPS là viết tắt của chữ (Hypertext Transfer Protocol Secure) có nghĩa là giao thức
truyền tải siêu văn bản an toàn. bạn có thể hiểu nôm na đây là một xác minh độ an toàn
của website đối với người đọc. Thực chất, đây chính là giao thức HTTP nhưng tích hợp
thêm chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảo
mật. Có thể hiểu, HTTPS là phiên bản HTTP an toàn, bảo mật hơn.

Một thành phần quan trọng của HTTPS là việc sử dụng chứng chỉ SSL/TLS (Secure
Socket Layer/Transport Layer Security). Các chứng chỉ này được cấp phát bởi các cơ quan
chứng thực đáng tin cậy và đảm bảo tính xác thực của máy chủ web.
Cách thức hoạt động của HTTPS:
- Yêu cầu kết nối bảo mật: Khi người dùng cố gắng truy cập một trang web bằng
HTTPS (bắt đầu bằng “https://” thay vì “http://”), trình duyệt web sẽ yêu cầu máy
chủ web thiết lập kết nối bảo mật.
- Gửi yêu cầu SSL/TLS: Sau khi yêu cầu kết nối bảo mật được gửi, máy chủ web sẽ
phản hồi bằng cách gửi một yêu cầu SSL/TLS (Secure Sockets Layer/Transport
Layer Security) tới trình duyệt web.
- Chuyển đổi sang chế độ mã hóa: Sau khi trình duyệt nhận yêu cầu SSL/TLS từ
máy chủ web, nó sẽ tiến hành chuyển đổi sang chế độ mã hóa. Điều này có nghĩa
 là dữ liệu truyền tải giữa trình duyệt và máy chủ web sẽ được mã hóa, không thể
đọc được trong trạng thái ban đầu.
- Xác thực máy chủ: Trình duyệt web sẽ yêu cầu máy chủ web cung cấp chứng chỉ
SSL/TLS của nó để xác thực danh tính của máy chủ. Chứng chỉ này thường được
cấp phát bởi một tổ chức chứng thực đáng tin cậy và đảm bảo rằng máy chủ là
chính xác và không phải là một máy chủ giả mạo.
- Phản hồi SSL/TLS: Sau khi xác thực máy chủ thành công, máy chủ web sẽ phản
hồi với một yêu cầu SSL/TLS được ký và được mã hóa.
- Bắt đầu truyền tải dữ liệu mã hóa: Khi đã thiết lập kết nối bảo mật và xác thực
máy chủ thành công, trình duyệt và máy chủ web sẽ bắt đầu truyền tải dữ liệu
giữa hai bên. Dữ liệu này sẽ được mã hóa trong quá trình truyền tải và chỉ có thể
được giải mã bởi máy chủ web.
- Truyền tải dữ liệu và kết thúc kết nối: Trình duyệt và máy chủ web tiếp tục truyền
tải dữ liệu cho đến khi kết thúc truy vấn hoặc tải xong trang web. Sau đó, kết nối
sẽ bị đóng.
1.1.2. Mục đích và lý do cần sử dụng HTTPS
Mục đích chính của việc sử dụng HTTPS (Hypertext Transfer Protocol Secure) là bảo vệ
thông tin truyền tải giữa trình duyệt web của người dùng và máy chủ web. Thông
thường trước đây HTTPS chỉ được sử dụng cho nhiều trang web của ngân hàng, thương
mại điện tử, tài chính để có thể bảo mật toàn bộ thông tin trong quá trình thanh toán
online. Tuy nhiên hiện nay thì HTTPS đã trở thành một trong những tiêu chuẩn bảo mật
cần thiết của đa dạng các website mà doanh nghiệp, công ty cần phải đáp ứng. Điều này
được hình thành bởi HTTPS đem đến nhiều lợi ích cho người sử dụng.
 HTTPS Bảo Mật Cực Tốt
Giao thức HTTPS đã đảm bảo toàn bộ thông tin trao đổi giữa máy khách cùng với
máy chủ. Chính vì vậy nó sẽ không bị bên thứ ba đọc được nhờ những phương thức mã
hóa. Nếu như bạn đã tiến hành truy cập một trang web được cài đặt HTTPS thì lúc này
người dùng sẽ có thể bị tấn công sniffing. Ngoài ra, người đánh cắp thông tin lúc này có
thể chen ngang vào kết nối giữa máy chủ cùng với máy khách. Mục đích để có thể lấy lại
toàn bộ dữ liệu từ thẻ tín dụng, email, password hoặc các thông tin đã có sẵn trên
website.
Bên cạnh đó, những thao tác trên trang web lúc này của người sử dụng cũng có thể
bị ghi lại mà bạn không hay biết. Khi sử dụng giao thức HTTPS thì người dùng hoàn toàn
có thể tin tưởng các thông điệp chuyển tải luôn ở trong trạng thái nguyên vẹn. Đồng
thời lúc này nó sẽ không bị chỉnh sửa, sai lệch thông tin với dữ liệu ban đầu
  Tránh Tình Trạng Lừa Đảo
Trên thực tế thì bất cứ server nào cũng có thể được biết là server của bạn mục đích
để có thể đánh cắp được thông tin cho người dùng. Nếu như sử dụng giao thức HTTPS,
trình duyệt trên máy của khách hàng lúc này sẽ được yêu cầu kiểm tra các chứng chỉ SSL
đến từ máy chủ. Điều này được xảy ra trước khi dữ liệu giữa máy chủ và máy khách lúc
này đã được mã hóa để có thể trao đổi thuận tiện. Đặc biệt, chứng chỉ SSL/TLS lúc này sẽ
giúp website của bạn được xác minh là chính chủ thật sự. Từ đó, có được như vậy bạn
mới có thể tránh được tình trạng lừa đảo không đáng có. Đặc biệt điều này có khả năng
cao trong việc đảm bảo an toàn cho bạn khỏi những kẻ xấu.
 Tăng Độ Uy Tín
Tiếp theo, HTTPS giúp tăng độ uy tín của trang web đối với người dùng. Những
trình duyệt trang web phổ biến hiện nay chắc chắn sẽ xuất hiện những cảnh bảo đến
người sử dụng về đa dạng các trang web không được bảo mật. Việc này sẽ giúp thông tin
của người sử dụng được bảo mật an toàn tuyệt đối khi lướt web. Trong đó bảo gồm đa
dạng các thông tin từ thẻ ngân hàng, thông tin cá nhân hoặc đa dạng những dữ liệu
quan trọng khác.
Một trang web sẽ không thể hoạt động thường xuyên và phát triển nếu như thiếu
người dùng. Chính vì vậy, việc bảo vệ người dùng cũng chính là bảo vệ an toàn trang web
của bạn. Nếu như người dùng cảm thấy thiếu an toàn khi sử dụng website này thì chắc
chắn bạn sẽ bị mất một lượng lớn user sẵn có của mình. Chính vì vậy, chúng ta cần có
HTTPS để có thể tăng độ uy tín cho khách hàng, đây cũng là cách để giữ chân khách hàng
cũng như thu hút khách hàng đến với doanh nghiệp của mình.
 Mang Hiệu Quả Tuyệt Vời Với SEO
Thực tế thì Google đã thông báo sẽ đẩy nhanh chóng các quá trình xếp hạng tìm
kiếm với đa dạng các website sử dụng giao thức HTTPS. Điều này cũng đồng nghĩa với
việc cá trang web chưa chuyển đổi lúc này sẽ bị hạn chế lợi thế cạnh tranh so với những
website HTTPS khác. Chính vì vậy, nếu như doanh nghiệp hoặc tổ chức của bạn đang tiến
hành SEO thông qua Google thì bạn đừng quên chuyển đổi sang HTTPS ngay từ bây giờ
nhé!

1.1.3. Sự phổ biến và tầm quan trọng của HTTPS trên Internet
Sự phổ biến và tầm quan trọng của HTTPS trên Internet ngày nay là không thể bàn
cãi. Từ lâu việc sử dụng HTTPS trên Internet đã trở thành tiêu chuẩn và rất phổ biến bởi
những lợi ích to lớn mà nó mang lại. HTTPS đang ngày càng chứng tỏ được vai trò to lớn
của mình trong lĩnh vực Internet nói chung và công nghệ Web nói riêng:
  Tỉ lệ sử dụng tăng cao: Hầu hết các trang web lớn và dịch vụ trực tuyến lớn đều
sử dụng HTTPS. Điều này bao gồm các dịch vụ như Google, Facebook, YouTube,
Amazon và nhiều trang web khác.
 Yêu cầu của các công ty công nghệ lớn: Công ty công nghệ hàng đầu như
Google và Mozilla đã khuyến khích và thậm chí ép buộc việc sử dụng HTTPS
bằng cách cảnh báo hoặc hiển thị thông báo không an toàn trên trình duyệt.
 Ưu tiên trong các chuẩn mực và quy định: Các chuẩn mực và quy định như
GDPR (Nghị định về bảo vệ dữ liệu chung châu Âu) yêu cầu sử dụng HTTPS để
đảm bảo tính bảo mật và bảo vệ thông tin cá nhân của người dùng.
 Thúc đẩy bởi các sự kiện bảo mật lớn: Các cuộc tấn công mạng lớn và việc tiết
lộ thông tin cá nhân đã thúc đẩy việc triển khai HTTPS rộng rãi hơn, do đó
người dùng trở nên nhạy cảm hơn về việc bảo vệ thông tin của mình.
 Công cụ tìm kiếm ưa thích trang web HTTPS: Các công cụ tìm kiếm như Google
có xu hướng ưu tiên các trang web sử dụng HTTPS trong kết quả tìm kiếm. Điều
này thúc đẩy việc sử dụng HTTPS bởi các chủ sở hữu trang web để cải thiện SEO
của họ.
Tóm lại, HTTPS không chỉ cung cấp tính bảo mật tăng cao mà còn đã trở thành một
tiêu chuẩn cần thiết trên Internet ngày nay. Việc sử dụng HTTPS đảm bảo rằng thông tin
cá nhân của người dùng được bảo vệ và giúp xây dựng niềm tin với người dùng.

1.2. Mã hóa dữ liệu trong HTTPS

1.2.1. SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì? Các kiểu tấn
công tích cực
a, SSL/TLS (Secure Sockets Layer/Transport Layer Security) là gì?
SSL (Secure Sockets Layers) là giao thức mã hóa được sử dụng để xác thực các kết nối
internet và cho phép mã hóa và giải mã dữ liệu cho hoạt động liên lạc trên mạng . Được
Netscape phát triển lần đầu tiên vào giữa những năm 1990, SSL đã khắc phục các lỗi bảo
mật ban đầu bằng việc phát hành SSL 3.0 vào năm 1996, được coi là tiêu chuẩn thực tế
cho truyền thông internet an toàn trong vài năm. Khi các lỗ hổng bảo mật khác trở nên
rõ ràng, giao thức Lớp cổng bảo mật đã được thay thế bằng TLS (Transport Layer
Security) , giao thức này được xác định lần đầu vào năm 1999 và được cập nhật lên TLS
1.3 vào tháng 8 năm 2018. Tất cả các bản phát hành SSL đều không còn được dùng nữa
và hầu hết các trình duyệt hiện đại không còn hỗ trợ giao thức này nữa, mặc dù các
chứng chỉ tương tự có thể được sử dụng với cả TLS và SSL.
 Mặc dù chúng khác nhau về các chi tiết cụ thể như thuật toán mã hóa mà chúng sử
dụng và các cổng chúng hỗ trợ, nhưng các giao thức Bảo mật Lớp cổng bảo mật và Lớp
vận chuyển hoạt động về cơ bản giống nhau. Giống như TLS, Lớp cổng bảo mật thực
hiện mã hóa SSL và giải mã SSL bằng cách sử dụng một bộ gồm hai khóa , một khóa công
khai và khóa còn lại chỉ người nhận mới biết. Khi trình duyệt cố gắng kết nối với một
trang web được bảo mật bằng SSL (hoặc TLS), được biểu thị bằng HTTPS trong URL của
nó, máy chủ web sẽ phản hồi yêu cầu nhận dạng của nó bằng một bản sao chứng chỉ
khóa công khai. Nếu chứng chỉ được tin cậy—hoặc được xác nhận bởi cơ quan cấp
chứng chỉ - trình duyệt và máy chủ sẽ bắt đầu một phiên được mã hóa. Tất cả dữ liệu
truyền giữa chúng sẽ được bảo mật hoàn toàn và riêng tư, khiến các bên bên ngoài
không thể hiểu được và được bảo vệ khỏi bị tấn công.
Cho đến thời điểm ngày nay thì SSL và TLS đã được đánh giá là tiêu chuẩn đạt chất
lượng bảo mật website an toàn hàng đầu trên toàn thế giới. Chúng lúc này đều được
ứng dụng hạ tầng cơ sở khóa công khai không đối xứng với PKI. Bên cạnh đó, đặc điểm
nổi bật của hệ thống này chính là sử dụng 2 khóa mã hóa thông tin liên lạc đó chính là
khóa công khai và khóa bí mật. Đây là hai khóa phổ biến hiện nay.
b, Các kiểu tấn công tích cực
Các kiểu tấn công tích cực (Active Attacks) là các hành động nhằm vào hệ thống,
mạng hoặc dịch vụ để gây hại, thay đổi hoặc ảnh hưởng tiêu cực đến chúng. Mặc dù
HTTPS được thiết kế để bảo vệ thông tin truyền tải trên Internet, nhưng vẫn có một số
kiểu tấn công tích cực có thể ảnh hưởng đến tính bảo mật của kết nối HTTPS. Dưới đây
là một số ví dụ:
 Tấn công Man-in-the-Middle (MitM): Kẻ tấn công cố gắng đặt mình ở giữa truyền
thông giữa người dùng và máy chủ. Như vậy, họ có thể nghe trộm, thay đổi hoặc
chặn lại dữ liệu đang truyền qua kết nối HTTPS.
 Phân giải DNS giả mạo (DNS Spoofing): Kẻ tấn công có thể thay đổi các bản ghi
DNS để điều hướng người dùng đến các trang web giả mạo. Điều này có thể dẫn
đến việc sử dụng HTTPS trên trang web giả mạo, giả lập một kết nối an toàn
nhưng thực tế lại không phải.
 Tấn công SSL Stripping: Kẻ tấn công có thể cố gắng buộc kết nối về HTTP thay vì
HTTPS, từ đó có thể thu thập thông tin không mã hóa từ truyền thông.
 XSS (Cross-Site Scripting): Kẻ tấn công có thể chèn mã JavaScript hoặc mã độc
vào các trang web đã được truyền tải qua kết nối HTTPS. Điều này có thể dẫn đến
các hành động độc hại.
 Session Hijacking: Kẻ tấn công có thể cố gắng thu thập thông tin phiên đăng nhập
hoặc lấy lại phiên đăng nhập của người dùng đã được mã hóa qua kết nối HTTPS.
 Tấn công phía máy chủ: Nếu máy chủ sử dụng một phiên bản cũ hoặc yếu của
SSL/TLS, nó có thể trở thành điểm yếu mà kẻ tấn công có thể tận dụng.
Các tấn công tích cực đều nguy hiểm và có thể gây hại nghiêm trọng cho hệ thống,
dịch vụ và thông tin người dùng. Việc triển khai biện pháp bảo vệ phù hợp là rất quan
trọng để ngăn ngừa và đối phó với các loại tấn công này bao gồm việc cập nhật phiên
bản của SSL/TLS, sử dụng các giao thức bảo mật mạnh và giám sát hoạt động kết nối
HTTPS để phát hiện các hành vi bất thường.

1.2.2. Quy trình mã hóa và giải mã dữ liệu trong HTTPS. Tấn công phát lại
a, Quy trình mã hóa và giải mã dữ liệu trong HTTPS
HTTPS (Hypertext Transfer Protocol Secure) sử dụng giao thức SSL/TLS (Secure
Sockets Layer/Transport Layer Security) để bảo vệ dữ liệu truyền tải giữa máy khách
(client) và máy chủ (server). Dữ liệu truyền đi phải trải qua 4 giai đoạn như sau:
 Mã hóa (Encryption):
1. Client Hello:
+) Máy khách (trình duyệt web) bắt đầu kết nối bằng cách gửi một tin nhắn ‘
Client Hello ’ tới máy chủ.
 +) Tin nhắn này chứa các thông tin như phiên bản SSL/TLS mà máy khách
hỗ trợ và các thông số mã hóa mà nó ưa thích.
2. Sever Hello:
+) Máy chủ nhận tin nhắn ‘ Client Hello ‘ và phản hồi với một tin nhắn ‘
Server Hello ‘.
+) Server Hello chứa phiên bản SSL/TLS được chọn và thông tin về chứng
chỉ SSL (nếu cần).
3. Chứng chỉ (Certificate): Máy chủ gửi các chứng chỉ SSL của mình cho máy
khách. Chứng chỉ này chứa thông tin về máy chủ và công khai của khóa công
cộng của máy chủ.
4. Key Exchange (Diffie-Hellman hoặc Elliptic Curve Diffie-Hellman):
+) Nếu máy chủ sử dụng các thuật toán trao đổi khóa đối xứng, quá trình
này xảy ra ở đây.
+) Mục tiêu là để thỏa thuận về một khóa chung mà cả hai máy khách và
máy chủ biết, mà không cần phải chia sẻ khóa mật.
5. Session Key Generation: Sử dụng thông tin từ bước trên, cả hai máy khách
và máy chủ tạo ra một "session key" sử dụng để mã hóa và giải mã dữ liệu.
6. Finished Messages: Cả hai máy khách và máy chủ gửi thông điệp ’ Finished ‘
để xác nhận rằng việc thiết lập kết nối đã hoàn tất.
 Truyền tải dữ liệu an toàn:
1. Mã hóa dữ liệu: Dữ liệu được chia thành các gói nhỏ và sau đó được mã
hóa sử dụng session key đã tạo ra.
2. Gửi đi dữ liệu mã hóa: Gói dữ liệu đã được mã hóa được gửi từ máy khách
tới máy chủ thông qua giao thức HTTPS.
 Giải mã (Decryption):
1. Nhận và Giải mã Dữ liệu: Máy chủ nhận các gói dữ liệu đã mã hóa. Sau đó
Nó sử dụng session key để giải mã dữ liệu.
2. Xử lý dữ liệu: Máy chủ xử lý dữ liệu, thực hiện các yêu cầu của máy khách
(ví dụ: gửi trang web, truy vấn cơ sở dữ liệu,…).
 Kết thúc kết nối: Khi kết thúc phiên truyền thông, cả hai máy khách và máy chủ
có thể chọn ngừng sử dụng session key hoặc tạo một key mới cho phiên tiếp
theo. Điều này đảm bảo rằng dữ liệu truyền tải giữa máy khách và máy chủ
được mã hóa và chỉ có thể được giải mã bởi các bên cung cấp key tương ứng.
b, Tấn công phát lại
Cùng với sự phát triển của khoa học công nghệ và xu hướng bùng nổ mạnh mẽ của
không gian crypto, số lượng các vụ hack cũng tăng lên chóng mặt dưới những hình thức
tinh vi hơn. Một trong các loại hình tấn công phổ biến có thể kể đến là replay attack (tấn
công phát lại).

Replay attack (tấn công phát lại) là loại hình tấn công nhắm vào một mạng lưới nhất
định, trong đó các dữ liệu sẽ bị chặn lại hoặc truyền tải chậm do tác động từ các ứng
dụng độc hại. Điều này dẫn đến việc lặp lại liên tục các thông tin nhiều lần trên toàn hệ
thống.
Trong replay attack, hacker có thể chiếm lấy quyền truy cập thông tin lưu trữ trên
mạng lưới thông qua việc chuyển tiếp dữ liệu với hình thức hợp lệ. Bên cạnh đó, những
kẻ tấn công cũng dùng loại hình hack này để đánh lừa các tổ chức tài chính nhằm sao
chép nhiều giao dịch khác nhau, từ đó tạo ra lỗ hổng để dễ dàng chiếm đoạt tài sản của
nạn nhân.
Hơn nữa, trong một số trường hợp, chúng còn có thể cài đặt nhiều thông tin có
chứa mã độc vào quá trình truyền tải trên toàn bộ mạng lưới, khiến hệ thống sẽ bị
nhiễm độc. Mặc dù sự cố này không gây ra thiệt hại nghiêm trọng ngay lập tức, nhưng về
lâu dài hacker có thể thường xuyên tấn công mạng lưới bởi các lỗ hổng đã được phát
hiện trước đó.
Ví dụ điển hình nhất phải kể đến đó là Bitcoin Cash khi được tạo ra từ blockchain
của Bitcoin vào ngày 1 tháng 8 năm 2017. Chẳng hạn nếu tấn công phát lại xuất hiện
trong quá trình hard fork diễn ra trên mạng lưới này thì replay attack sẽ hoạt động theo
cả hai chiều, tức là có thể xảy ra khi nạn nhân chi tiêu BCH trong ví của họ. Đồng thời
nếu một node BTC nhận giao dịch BTC thì số lượng BCH có thể cũng sẽ biến mất vì bị
hacker đánh cắp thông qua việc xâm nhập dữ liệu về giao dịch của các block và lặp lại
chúng.
Trong HTTPS, có một số biện pháp để ngăn chặn tấn công phát lại:
 Sử dụng Nonce (Number Used Once): Nonce là một giá trị số ngẫu nhiên được
tạo ra và sử dụng chỉ một lần. Nó được bao gồm trong các thông điệp và đảm
bảo rằng mỗi thông điệp là duy nhất.
 Sử dụng Time Stamp: Sử dụng thời gian thực (time stamp) để đảm bảo rằng
thông điệp không bị sử dụng lại trong một khoảng thời gian cụ thể.
 Sử dụng Sequence Numbers: Mỗi thông điệp được gán một số thứ tự duy nhất.
Khi thông điệp đến, máy chủ kiểm tra xem số thứ tự có tăng dần không. Nếu
không, thông điệp bị từ chối.
 Sử dụng Các Token One-Time (OTP): Các mã thông báo một lần được sử dụng
duy nhất trong mỗi phiên truy cập. Mỗi lần gửi yêu cầu mới, mã thông báo cũng
phải được cung cấp.
 Kiểm tra Time-to-Live (TTL): Đối với một số ứng dụng, kiểm tra thời gian sống
(TTL) của thông điệp cũng có thể hữu ích để ngăn chặn tấn công phát lại.
 Logging và Monitoring: Theo dõi lưu lượng truy cập và kiểm tra các yêu cầu
trùng lặp có thể cung cấp chỉ báo về các tấn công phát lại.
Tuy nhiên, không có giải pháp duy nhất nào có thể ngăn chặn mọi loại tấn công. Thay
vào đó, việc kết hợp nhiều biện pháp bảo mật khác nhau sẽ tăng cường tính bảo mật và
khó khăn hơn đối với các tấn công phát lại.
1.2.3. Tính bảo mật của dữ liệu trên đường truyền. Tấn công từ chối dịch vụ
a, Tính bảo mật của dữ liệu trên đường truyền
Sự tăng trưởng nhanh chóng về quy mô và độ phức tạp của mạng và các thiết bị
Internet vạn vật (IoT) mang đến những cơ hội mới – cụ thể là sự tương tác giữa con
người và thiết bị trên phạm vi toàn cầu. Nhưng đồng thời, nó cũng gia tăng các rủi ro vi
phạm an ninh và các cuộc tấn công độc hại khác, đặc biệt là trong quá trình truyền dữ
liệu.
Hiện nay HTTPS đã trở thành một trong những giao thức được sử dụng rộng rãi phổ
biến. Nó thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao. Chính vì
vậy vấn đề bảo mật dữ liệu trong HTTPS đang được quan tâm hơn bao giờ hết. Giao
thức HTTPS sử dụng port 443, giúp đảm bảo các tính chất sau của thông tin:
- Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo rằng các
thông điệp được trao đổi giữa client và server không bị kẻ thứ ba đọc được.
 - Integrity: sử dụng phương thức hashing để cả người dùng (client) và máy chủ
(server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị
mất mát hay chỉnh sửa.
- Authenticity: sử dụng chứng chỉ số (digital certificate) để giúp client có thể tin
tưởng rằng server/website mà họ đang truy cập thực sự là server/website mà họ
mong muốn vào, chứ không phải bị giả mạo.
Nói một cách đơn giản, HTTPS bảo vệ tất cả thông tin (thậm chí là một phần của
URL) bạn gửi và nhận từ trang web, bắt đầu từ lúc mở trang web đến khi đóng nó.
Các thành phần quan trọng của việc bảo mật dữ liệu trên đường truyền trong HTTPS
có thể được kể đến như sau:
 Mã hóa Dữ liệu:
- HTTPS sử dụng SSL/TLS (Secure Sockets Layer/Transport Layer Security)
để mã hóa dữ liệu trên đường truyền giữa máy khách (client) và máy
chủ (server).
- Quá trình mã hóa đảm bảo rằng người ngoài không thể đọc được thông
tin gửi đi.
 Chứng chỉ SSL/TLS (SSL/TLS Certificates):
- Chứng chỉ SSL/TLS xác nhận danh tính của máy chủ. Nó được cấp bởi
một cơ quan chứng thực đáng tin cậy.
- Khi máy khách kết nối đến một trang web sử dụng HTTPS, máy chủ sẽ
gửi chứng chỉ SSL/TLS để xác thực.
 Kiểm chứng Độ tin cậy (Certificate Authority Verification):
- Máy khách kiểm tra xem chứng chỉ SSL/TLS có được ký bởi một cơ quan
chứng thực đáng tin cậy hay không.
- Nếu chứng chỉ không hợp lệ hoặc không tin cậy, trình duyệt sẽ cảnh báo
người dùng.
 Máy Chủ và Máy Khách Xác Thực (Server and Client Authentication): SSL/TLS
cung cấp cơ chế cho cả máy khách và máy chủ xác thực lẫn nhau. Điều này
đảm bảo rằng cả hai bên đang nói chuyện với đúng đối tác mà họ mong đợi.
 Tính Bí Mật Của Dữ Liệu: Dữ liệu trên đường truyền trong HTTPS không chỉ
được mã hóa, mà còn được giữ bí mật giữa máy khách và máy chủ. Nó bảo vệ
khỏi các tấn công như theo dõi mạng (network sniffing).
 Chống Man-in-the-Middle Attacks: HTTPS ngăn chặn tấn công người đứng
giữa (man-in-the-middle) bằng cách sử dụng mã hóa để bảo vệ dữ liệu trên
đường truyền.
  Cập Nhật Chứng Chỉ SSL/TLS: Các chứng chỉ SSL/TLS cần phải được cập nhật
định kỳ để đảm bảo tính bảo mật.
Tóm lại, HTTPS cung cấp một môi trường truyền tải dữ liệu an toàn và đáng tin cậy
trên Internet. Tuy nhiên, việc triển khai và cấu hình chính xác của HTTPS là quan
trọng để đảm bảo tính bảo mật tối đa.
b, Tấn công từ chối dịch vụ
DoS tên đầy đủ tiếng Anh là Denial of Service, dịch ra tiếng Việt là từ chối dịch vụ.
Tấn công từ chối dịch vụ DoS là hình thức tấn công với mục đích làm gián đoạn dịch vụ
của một trang web hoặc một hệ thống bằng nhiều phương thức khác nhau. Kẻ tấn công
bằng một cách nào đó sẽ cố gắng ngăn cản không cho người dùng truy xuất thông tin, tài
nguyên từ một dịch vụ hay một trang web nào bằng cách làm cho hệ thống gián đoạn,
quá tải hoặc chậm đi.
Một trong những cách tấn công DOS thường gặp nhất là một kẻ tấn công sẽ tìm
cách làm quá tải hệ thống bằng cách đưa một số lượng lớn client ảo truy cập cùng lúc.
Khi đó, bạn truy cập vào dịch vụ sẽ bị gián đoạn do máy chủ không thể xử lý được yêu
cầu (request) của bạn. Tương tự với cơ chế này, kẻ tấn công có thể gửi hàng loạt email
rác đến email của bạn cho đến khi đạt giới hạn của mỗi dịch vụ mail, email của bạn có
khả năng sẽ bị “lụt” và không thể tiếp nhận những email khác.
DDOS (Distributed Denial of Service) - Tấn công từ chối dịch vụ phân tán - là một
hình thức tấn công DOS phổ biến do mức độ và phạm vi ảnh hưởng rộng. Bằng một cách
nào đó, hacker sẽ chiếm được quyền điều khiển toàn bộ hệ thống của bạn để trở thành
1 phần trong hệ thống công cụ tấn công. Máy tính của bạn sẽ trở thành 1 phần của
BOTNET (mạng máy tính ma) để thực hiện tấn công vào các dịch vụ như dịch vụ ngân
hàng, gửi email rác, tấn công làm tràn bộ nhớ máy chủ… Do sử dụng nhiều máy tính
cùng lúc, vì vậy đây được gọi là hình thức tấn công từ chối dịch vụ phân tán.
Vậy câu hỏi đặt ra là làm cách nào có thẻ ngăn chặn và phòng chống các cuộc tấn
công từ chối dịch vụ trên không gian mạng nói chung và trong môi trường HTTPS nói
riêng. Ngày nay, các chuyên gia an ninh mạng đã thực hiện rất nhiều nghiên cứu và đã
tìm ra khá nhiều phương pháp để ngăn chặn các cuộc tấn công dịch vụ. Nổi bật trong số
đó có thể kể đến một số phương pháp sau:
 Sử dụng Dịch vụ Bảo vệ DDoS (DDoS Protection Service): Cung cấp bởi
nhiều nhà cung cấp dịch vụ và nhà cung cấp hệ thống quản lý nội dung, các
dịch vụ này giúp bảo vệ trang web khỏi tấn công DDoS bằng cách chuyển
hướng lưu lượng truy cập qua các hệ thống bộ lọc.
  Sử dụng CDN (Content Delivery Network): CDN giúp phân tán nội dung
trên nhiều máy chủ ở nhiều vị trí địa lý khác nhau. Điều này giúp giảm áp
lực lên máy chủ gốc và cung cấp bảo vệ tự nhiên chống lại một số loại tấn
công DDoS.
 Cân bằng tải (Load Balancing): Sử dụng cân bằng tải để phân phối công
việc giữa nhiều máy chủ. Nếu một máy chủ bị quá tải do tấn công DDoS, các
yêu cầu có thể được chuyển hướng đến các máy chủ khác vẫn hoạt động
bình thường.
 TLS Termination: Sử dụng các thiết bị hoặc dịch vụ cung cấp giải mã SSL/TLS
(TLS termination) để giảm tải cho máy chủ web chính.
 Firewall và Bộ Lọc IP: Sử dụng bộ tường lửa mạng và các bộ lọc IP để ngăn
chặn lưu lượng không mong muốn hoặc lưu lượng từ các nguồn không
đáng tin cậy.
 Đối phó với Tấn Công Một Cách Kịp Thời: Đáp ứng nhanh chóng với tấn
công DDoS bằng cách cô lập và chặn lưu lượng đến từ nguồn tấn công.
Trên đây là một số phương pháp có thể giúp bạn ngăn chặn và phòng chống tấn
công dịch vụ một cách khá hiệu quả. Nhớ rằng không có biện pháp nào là hoàn hảo hoàn
toàn, nhưng kết hợp nhiều biện pháp này có thể tạo ra một môi trường an toàn hơn để
phòng chống tấn công DDoS trong môi trường HTTPS.