Mở đầu

PORT 443 được sử dụng để bảo mật thông tin và dữ liệu được chia sẻ giữa client (máy khách) và server (máy chủ).

Bài viết này mình sẽ chia sẻ tập trung vào PORT HTTPS 443, cách nó hoạt động ra sao, những gì nó bảo vệ và tại sao chúng ta lại cần nó.

Nhưng trước hết, hãy nói qua một chút về PORT nhé.

PORT là gì?

Port có thể được hiểu là điểm cuối của quá trình giao tiếp trong hệ thống mạng máy tính. Còn đối với hệ điều hành xét ở cấp độ phần mềm thì 1 port là 1 cấu trúc logic để xác định 1 process hoặc 1 loại dịch vụ mạng cụ thể. Mỗi giao thức và tổ hợp địa chỉ truyền tải được xác định thông qua port với giao thức 16-bit được gọi là số cổng. Các giao thức phổ biến nhất dùng port là Transmission Control Protocol (TCP) và User Datagram Protocol (UDP).

Có nhiều loại PORT (cổng mạng) khác nhau, như PORT 22, PORT 80, PORT 443, PORT 465, v.v.

Các port này luôn được liên kết với địa chỉ IP của máy chủ cũng như các giao thức sử dụng cho việc giao tiếp trong mạng máy tính với nhau. Mỗi port được đặt tên bằng 1 số thứ tự nhất định và mỗi cổng sẽ phục vụ cho những dịch vụ cụ thể khác nhau nhằm mục đích cho phép các gói tin dễ dàng đến đúng nơi quy định. Bởi vì mục đích này mà các port có số thấp (từ 1024 trở xuống) thường được sử dụng cho các dịch vụ phổ biến. Còn các port có số cao hơn (từ 1024 trở lên) thì lại thường được sử dụng làm cổng tạm cho các dịch vụ ít phổ biến hơn.

PORT 443 là gì?

Hầu hết, khi mọi người vào một trang web sẽ thấy hình ổ khóa màu xám trên thanh địa chỉ. Nó có nghĩa là một trang web kết nối với máy chủ qua PORT 443. Trang web đã kích hoạt chứng chỉ SSL và website được bảo mật.

PORT 443 sẽ cung cấp mã hóa và vận chuyển qua các PORT an toàn. Do đó, dữ liệu bạn truyền qua các kết nối như vậy sẽ không bị gián đoạn và tránh các ảnh hưởng xấu đến từ bên thứ ba.

Hơn nữa, danh tính của máy chủ mà bạn kết nối từ xa có thể được xác thực vì thế sẽ rất an toàn.

Nói tóm gọi lại, bạn có thể hiểu rằng PORT 443 là một cổng duyệt web được sử dụng để bảo mật thông tin liên lạc của trình duyệt web hoặc các dịch vụ HTTPS.

Một trang web bình thường không có SSL sẽ kết nối trên PORT 80. PORT 443 sẽ cho chúng ta biết rằng: trang web đã đủ bảo mật để thực hiện các giao dịch, kết nối trực tuyến mà không phải lo lắng về hành vi trộm cắp trên không gian mạng.

Có hơn 95% trang web được bảo mật sử dụng HTTPS qua cổng 443 để truyền dữ liệu an toàn.

PORT HTTPS 443 sẽ bảo vệ những gì và tại sao chúng ta cần nó?

HTTPS cung cấp bảo mật cho dữ liệu hoặc thông tin nhạy cảm được chia sẻ giữa trình duyệt của bạn và máy chủ. Nó đảm bảo rằng ISP (Internet Service Provider) của bạn (hoặc bất kỳ ai khác trên mạng) không thể đọc hoặc can thiệp vào cuộc trò chuyện bằng cách mã hóa các trao đổi và cấp quyền riêng tư.

Chứng chỉ SSL có biểu tượng hình ổ khóa sẽ xuất hiện trên thanh địa chỉ của bạn khi website đã được thiết lập SSL. Đó là một dấu hiệu cho thấy trang web của bạn an toàn.

Nhưng đừng hiểu lầm về tính năng khóa an toàn này. Mặc dù HTTPS chắc chắn có mã hóa dữ liệu và bảo mật nó, nhưng nó không đảm bảo rằng những kẻ xấu sẽ không tác động lên trang web của bạn và những thông tin dữ liệu vẫn có thể bị lộ.

Các loại thông tin mà vẫn có thể bị tấn công

• Địa chỉ IP và vị trí của người dùng
• Kích thước của dữ liệu
• Trang web được liên kết
• Số lần kết nối được thực hiện

Bây giờ, đến với lý do tại sao PORT HTTPS 443 lại quan trọng, nếu bạn đang chạy một trang web yêu cầu bảo mật như ngân hàng, mua sắm trực tuyến, v.v., bạn sẽ trao đổi thông tin thanh toán trên trang web của mình.

Hãy thử nghĩ xem nếu các thông tin giao dịch của bạn bị lộ, rồi một ngày đẹp trời tiền của bạn trong tài khoản bị bay màu trong một nốt nhạc :))

Vì vậy, mã hóa là rất quan trọng để bảo vệ các thông tin nhạy cảm. Với HTTP thông thường, tất cả thông tin bạn trao đổi giữa máy tính và trang web sẽ có thể bị lộ và đọc được bởi bất kỳ ai vì các thông tin và dữ liệu lúc đó là dưới dạng văn bản thuần túy.

Hơn nữa, nếu đứng trên phương diện bạn là doanh nghiệp, sẽ chẳng có khách hàng nào chấp nhận giao dịch trên nền tảng website của bạn khi bạn không coi trọng việc bảo mật trực tuyến và thể hiện tính xác thực với họ. Trang web của bạn nếu đã thiết kập HTTPS chắc chắn sẽ có thể lấy được lòng tin của khách hàng và họ sẽ rất thoải mái khi thực hiện giao dịch trên website của bạn.

HTTPS hoạt động như thế nào?

HTTPS sử dụng giao thức mã hóa được gọi là Transport Layer Security (TLS) hoặc Secure Sockets Layer (SSL) để mã hóa thông tin liên lạc.

Giao thức này bảo mật thông tin liên lạc bằng cách sử dụng cơ sở hạ tầng khóa công khai bất đối xứng (asymmetric public key infrastructure). Hệ thống bảo mật này thực hiện hai khóa khác nhau để mã hóa thông tin liên lạc giữa hai bên, được gọi là khóa cá nhân (private key) và khóa công khai (public key).

Chủ sở hữu web có quyền kiểm soát khóa riêng tư (private key) và khóa này nằm trên máy chủ web. Chức năng của nó là giải mã thông tin mà khóa công khai (public key) đã mã hóa.

Khóa công khai (public key) có sẵn cho tất cả những ai muốn tương tác với máy chủ một cách an toàn. Khi khóa công khai (public key) mã hóa thông tin, chỉ chủ sở hữu web mới có thể giải mã bằng khóa riêng tư (private key).

Bất cứ khi nào bạn duyệt một trang HTTPS và trình duyệt của bạn kết nối với máy chủ, máy chủ sẽ phản hồi bằng chứng chỉ của nó. Quá trình này được gọi là SSL handshake.

Các mục tiêu là:

• Đảm bảo các kết nối sẽ luôn chính xác giữa máy khách (client) và máy chủ (server).
• Máy khách (client) và máy chủ (server) có sự đồng nhất về một bộ mật mã. Nó bao gồm các thuật toán mã hóa sẽ được sử dụng trong quá trình trao đổi dữ liệu.
• Máy khách (client) và máy chủ (server) có sự đồng nhất về bất kỳ khóa bắt buộc nào cho các thuật toán mã hóa.

Đối tượng chính của quá trình SSL handshake là cung cấp tính toàn vẹn và quyền riêng tư của dữ liệu đối với thông tin được truyền giữa máy khách (client) và máy chủ (server).

Quá trình SSL handshake bao gồm nhiều bước giữa máy khách (client) và máy chủ (server) và tất cả các bước được thực hiện ở chế độ nền (background). Các bước chính xác phụ thuộc vào thuật toán trao đổi khóa và các bộ mật mã được hỗ trợ:

Client: Máy khách bắt đầu quá trình với thông báo “Xin chào” đến máy chủ. Nó bao gồm các bộ mật mã và phiên bản TLS/SSL, chuỗi byte ngẫu nhiên.

Server: Máy chủ gửi lại thông báo “Xin chào”, với chứng chỉ SSL, mật mã được chọn phù hợp với danh sách đã gửi của máy khách và một chuỗi byte ngẫu nhiên.

Authentication: Sau đó máy khách sẽ kiểm tra danh tính của máy chủ bằng chứng chỉ SSL được cung cấp. Nó phải được kiểm tra bằng danh sách khóa công khai có sẵn của tổ chức phát hành chứng chỉ.

Premaster Secret: Khi danh tính của máy chủ và tính xác thực của chứng chỉ SSL được xác nhận, máy khách sẽ gửi một chuỗi byte ngẫu nhiên được mã hóa bằng cách sử dụng khóa công khai của máy chủ. Khóa công khai có sẵn với chứng chỉ SSL. Chuỗi byte ngẫu nhiên này có thể được giải mã bằng khóa riêng của máy chủ. Quá trình gửi một chuỗi byte ngẫu nhiên được mã hóa này được đặt tên là Premaster Secret.

Decryption of Premaster Secret: Máy chủ nhận chuỗi byte ngẫu nhiên được mã hóa và giải mã nó bằng khóa riêng của nó.

Session Key Generation: Giờ đây, cả máy khách và máy chủ đều tạo khóa phiên (Session Key) bằng cách sử dụng máy khách ngẫu nhiên, máy chủ ngẫu nhiên, bộ mật mã và premaster secret.

Client Finished Message: Máy khách gửi một thông báo Kết thúc được mã hóa bằng khóa phiên (Session Key).

Serve Finished Message: Máy chủ sau khi nhận được thông báo từ máy khách, gửi thông báo hoàn thành được mã hóa của chính nó bằng khóa phiên.

Secured Connection laid down: Quá trình SSL handshake hoàn tất và các thông điệp được mã hóa thêm sẽ được trao đổi bằng các khóa phiên (Session Key).

Một số lưu ý: Trong quá trình SSL handshake, cần lưu ý rằng chứng chỉ SSL phải hoạt động và không hết hạn. Chứng chỉ SSL phải được cấp bởi tổ chức phát hành chứng chỉ có uy tín. Người dùng sẽ không phải đối mặt với bất kỳ cảnh báo SSL nào do việc cài đặt chứng chỉ không đúng cách. Lỗi cài đặt bao gồm thiếu chứng chỉ gốc hoặc chứng chỉ trung gian hoặc chứng chỉ gốc và chứng chỉ trung gian đã hết hạn.

HTTPS Everywhere: Bạn có thể bật tiện ích bổ sung HTTPS Everywhere từ Electronic Frontier Foundation (EFF), hiện có sẵn cho Chrome, Safari và Firefox. Ngoài ra, bạn có thể vào phần Tiện ích mở rộng trong trình duyệt Chrome và thêm nó vào trình duyệt chrome.

Kết thúc

Giờ thì bạn đã hiểu về PORT HTTPS 443 hay chưa? Bạn có định chuyển trang web của mình sang HTTPS không? Làm như vậy, bạn sẽ được cải thiện bảo mật và tất cả các lợi ích khác được đề cập trong bài viết, bao gồm cả sự tin tưởng của khách hàng.

Nếu bạn triển khai chứng chỉ SSL/TLS và chạy trang web của mình qua PORT HTTPS 443, thì đây là bước quan trọng bạn có thể thực hiện để bảo mật trang web của mình.

Tài liệu tham khảo:

• https://www.ibm.com/docs/en/ibm-mq/7.5?topic=cspts-secure-sockets-layer-ssl-transport-layer-security-tls-concepts
• https://www.ibm.com/docs/en/ibm-mq/7.5?topic=ssl-overview-tls-handshake
• https://www.clickssl.net/blog/port-443