Https liệu có an toàn tuyệt đối?

HTTPS, trong đó sử dụng lớp bảo mật SSL (Secure Sockets Layer) cung cấp chuẩn an ninh và xác minh định danh để bạn biết bạn đã truy cập chính xác một trang web mà ở đó không ai có thể nghe trộm hoặc theo dõi. Đó là lý thuyết, nhưng trên thực tế SSL trên web vẫn còn là một mớ hỗn độn.

Điều này không có nghĩa là một trang web có giao thức HTTPS là không có giá trị, chúng chắc chắn tốt hơn so với các kết nối qua giao thức thông thường HTTP. Bài này đề cập một số vấn đề bảo mật mà HTTPS và SSL phải đối mặt và cần giải quyết mới mong mang lại độ tin cậy cao hơn cho người dùng.

"Lúa và cỏ lùng" lẫn lộn

Trình duyệt của bạn có một danh sách các trang web được xây dựng và cung cấp bởi các nhà cung cấp chứng chỉ số đáng tin cậy - Certificate Authority (CA). Trình duyệt chỉ "tin tưởng" chứng chỉ do CA chứng nhận. Ví dụ, nếu bạn truy cập vào trang https://example.com, máy chủ web tại example.com sẽ trình bày một chứng chỉ SSL cho trình duyệt, trình duyệt của bạn sẽ kiểm tra để chắc chắn rằng chứng chỉ SSL của trang web đã được ban hành cho example.com bởi một CA đáng tin cậy. Nếu giấy chứng nhận được cấp cho một tên miền khác hoặc nếu nó không được phát hành bởi một CA đáng tin cậy, bạn sẽ thấy một cảnh báo nghiêm trọng trên trình duyệt của bạn.

Một vấn đề lớn là có rất nhiều CA cấp chứng nhận số, vì vậy khi một CA có vấn đề, chứng nhận của nó có thể ảnh hưởng đến nhiều người, thậm chí đến mọi người dùng có liên quan đến chứng chỉ đó. Ví dụ, bạn có thể nhận được một chứng chỉ SSL cho tên miền của bạn từ VeriSign (nhà cung cấp chứng chỉ số), nhưng một người nào đó cũng có thể làm tổn hại hoặc lừa một CA khác để được cấp một giấy chứng nhận với cùng tên miền của bạn.

Giấy phép không phải luôn luôn đáng tin cậy

Nghiên cứu cho thấy, một số CA đã thất bại, bao gồm thiếu cẩn thận trong việc kiểm tra và cấp giấy chứng nhận. Họ đã cấp giấy chứng nhận SSL cho các loại địa chỉ mà đúng ra không cần phải có, chẳng hạn như "localhost" (địa chỉ đại diện cho máy tính cục bộ). Năm 2011, tổ chức Bảo vệ quyền lợi kỹ thuật số (EFF) đã tìm thấy hơn 2.000 giấy chứng nhận cho "localhost" được CA xác nhận là địa chỉ tin cậy, và được cấp hợp pháp.

Nếu CA đã cấp nhiều giấy chứng nhận mà không cần xác minh các địa chỉ thì bạn hãy tự hỏi còn những sai lầm gì khác mà họ đã thực hiện? Có lẽ họ đã cấp giấy chứng nhận cho không ít trang web được phép theo dõi người khác?

Các CA có thể bị buộc cấp chứng chỉ giả

Bởi vì có rất nhiều CA, họ ở khắp các quốc gia trên thế giới, và bất kỳ giấy chứng nhận nào được cấp cho một trang web, các chính phủ có thể buộc một CA cấp giấy chứng nhận cho một trang web mà họ muốn mạo danh.

Điều này đã xảy ra gần đây ở Pháp, nơi mà Google phát hiện ra một giấy chứng nhận giả mạo cho trang google.com đã được cấp bởi một CA ANSSI của Pháp. CA tại Pháp có thể cho phép Chính phủ Pháp hoặc ai đó mạo danh trang web của Google để thực hiện các mục đích riêng. ANSSI sau đó tuyên bố, giấy chứng nhận này chỉ sử dụng trên một cá nhân để theo dõi một số người sử dụng trên đó, chứ không phải bởi Chính phủ Pháp. Nhưng nếu điều này là sự thật, thì nó cũng vi phạm chính sách của ANSSI khi cấp giấy chứng nhận.

Perfect Forward Secrecy chưa được sử dụng rộng rãi

Nhiều trang web không sử dụng kỹ thuật "Perfect Forward Secrecy", một kỹ thuật mã hóa hoàn toàn từng phiên giao dịch nhằm gây khó khăn cho các trường hợp bẻ khóa. Nếu không có kỹ thuật này, một tin tặc có thể nắm bắt một lượng lớn dữ liệu được mã hóa và giải mã tất cả với một khóa bí mật duy nhất. Chúng ta biết rằng Cơ quan An ninh Quốc gia Mỹ (NSA) đã thu thập dữ liệu và giải mã theo cách này. Nếu họ phát hiện khóa mã hóa được sử dụng cho một trang web, họ có thể sử dụng nó để giải mã tất cả dữ liệu mà họ thu thập được sau đó giữa các trang web với tất cả những ai truy cập vào nó.

Kỹ thuật Perfect Forward Secrecy giúp bảo vệ chống lại các hoạt động theo dõi bằng cách tạo ra một khóa (key) cho mỗi phiên truy cập. Nói cách khác, mỗi phiên được mã hóa với một khóa bí mật khác nhau, vì vậy tất cả chúng không thể được mở khóa bởi một khóa duy nhất. Điều này ngăn cản một người nào đó cùng một lúc có thể giải mã một số lượng lớn dữ liệu bị mã hóa. Vì rất ít các trang web sử dụng kỹ thuật bảo mật này, và như vậy trong tương lai không chỉ NSA mà khả năng nhiều cá nhân và các tổ chức bất chính khác cũng có thể sử dụng kẽ hở từ các trang web để thu thập thông tin và theo dõi người dùng.

Hoàng Thy