Tổng quan về giao thức SSL, TLS -

1. SSL:

Viết tắt của Security Sockets Layer, SSL là một giao thức mật mã giúp truyền thông an toàn qua mạng máy tính. SSL được phát triển bởi Netscape, phiên bản đầu tiên được công bố là SSL 2.0 (năm1995), sau đó là phiên bản 3.0 (năm 1996). Tuy nhiên do có nhiều lỗ hổng nên không được phát triển nữa và ngày nay SSL cũng ít được sử dụng hơn TLS

2. TLS:

Viết tắt của Transport Layer Security, TLS cũng giống như SSL là một giao thức mật mã giúp truyền thông an toàn. TLS 1.0 được IETF phát triển năm 1999, các phiên bản tiếp theo là TLS 1.1, 1.2, 1.3

3. Tác dụng của SSL/TLS:

Khi chúng ta truy cập đến một trang web ví dụ như http://ww.abc.com, trang web này không bảo mật vì có thể đây là trang web giả mạo, hay việc truyền dữ liệu như là username, password trên trang này có nguy cơ bị người khác bắt gói tin và đọc được nội dung bên trong, từ đó dẫn đến việc lộ các thông tin nhạy cảm. Nhưng với https://www.abc.com thì chúng ta có thể yên tâm hơn, đó là do https=http + SSL/TLS, nghĩa là website www.abc.com trên đã mua chứng chỉ SSL/TLS.

Đây là hình ảnh khi chúng ta truy cập một trang web chưa có chứng chỉ SSL/TLS thì sẽ hiện lên thông báo là kết nối không an toàn:

 

Cũng có những trang web sẽ không hiện lên thông báo này, để phân biệt trang web đó chứng chỉ SSL/TLS hay không thì chúng ta sẽ để ý kế bên phần URL có biểu tượng cái khóa hay không, nếu có thì trang web có chứng chỉ SSL/TLS còn hiệu lực:

Đây là hình ảnh khi chúng ta truy cập một trang web chưa có chứng chỉ SSL/TLS thì sẽ hiện lên thông báo là website kết nối an toàn:

 

Đây là trang web đã có chứng chỉ SSL/TLS:

 

Thật ra các chứng chỉ SSL ngày nay đều là chứng chỉ TLS, nhưng vẫn giữ tên là chứng chỉ SSL. Sau khi mua chứng chỉ thì nhớ kiểm tra xem đã tắt tùy chọn hạ cấp xuống SSL 3.0 để tránh hacker khai thác lỗ hổng trang web.

Vậy các lợi ích của chứng chỉ:

• Xác thực server, client
• Đảm bảo tính toàn vẹn của dữ liệu
• Mã hóa dữ liệu đảm bảo tính bí mật
• Nén dữ liệu

4. Các giao thức con:

Gồm 4 giao thức con là:

• SSL Record
• SSL Handshake
• SSL Alert
• SSL Change Cipher Spec

5. SSL Record:

• Dùng để xác định các định dạng được sử dụng khi truyền dữ liệu như trong trường protocol version sẽ cho biết sử dụng SSL 3.0, TLS 1.1, TLS 1.2 hay TLS 1.3, có trường hashing để đảm bảo tính toàn vẹn và xác thực.
• Cách hoạt động:

Phần dữ liệu sẽ được phân thành nhiều mảnh, mỗi mảnh sẽ được nén lại. Tiếp theo là dùng hàm băm như MD5, SHA để băm phần nén được giá trị băm. Sau đógiá trị băm được gắn vào phần nén và lấy đi mã hóa.

6. SSL Handshake:

• Đây là giao thức giúp client và server trao đổi các thông tin để thiết lập kết nối SSL
• Quy trình hoạt động:

1. Client sẽ gửi cho server gói ClientHello, bên trong bao gồm các thông tin như version cao nhất mà client hỗ trợ, danh sách các thuật toán mã hóa client sử dụng, danh sách các hàm băm client sử dụng.
2. Server sẽ gửi trở lại gói ServerHello, bên trong bao gồm version của client đề nghị và version cao nhất server hỗ trợ, thuật toán mã hóa, hàm băm server chọn để sử dụng cho kết nối của server với client này.
3. Server gửi chúng thư số cho client, client kiểm tra tính hợp lệ và chấp nhận khóa công khai của server
4. Client sẽ sinh số ngẫu nhiên(để làm 1 phần của session key) rồi mã hóa bằng khóa công khai của server , nếu bên server giải mã được thì đảm bảo xác thực server.
5. Sau lúc này thì mọi thông tin trao đổi giữa client và server đều được mã hóa bằng thuật toán và session key.

• Về phần xác thực client:

1. Khi server gửi yêu cầu xác thực thì client sẽ gửi chứng thư số của mình cho server, cả hai bên sẽ băm các thông tin trao đổi từ trước đó
2. Client sẽ dùng khóa bí mật để ký lên giá trị băm và gửi cho server.
3. Bên server khi nhận được sẽ dùng khóa công khai của client để giải mã sau đó so sánh 2 giá trị băm với nhau, nếu trùng thì xác thực được client.

7. SSL Change Cipher Spec:

• Sinh ra trạng thái tiếp theo để gắn vào trạng thái hiện tại, và ở trạng thái hiện tại cập nhật lại bộ mã hóa để sử dụng trên kết nối này

8. SSL Alert:

• Được dùng để truyền cảnh báo với liên kết bên kia như không thể thiết lập các thông số bảo mật được đưa ra từ lựa chọn có sẵn, certificate nhận được không hợp lệ, hoặc certificate đã hết hạn đăng ký…