[REVIEW] Sự khác nhau giữa HTTPS, SSL và Green Address Bar

Bạn từng vào một trang web và thấy rằng thanh địa chỉ chỉ thị màu xanh lá cây hay chưa? Nếu bạn truy cập một trang web khác, đôi khi lại không có màu xanh. Đối với một số trang web, văn bản có màu xanh lá cây và tên của công ty cũng hiện thị màu xanh lá cây.

Vào cuối tuần trước, tôi bắt đầu nhận ra điều này và muốn tìm hiểu xem tất cả các phiên bản màu xanh lá cây khác nhau trong thanh địa chỉ có ý nghĩa gì.

Green address bar

Như bạn có thể thấy trên hình, duyệt bốn trang web khác nhau thì tôi quan sát thấy bốn loại thanh địa chỉ lại khác nhau, một số có màu xanh lá cây và một số không. Vậy điều này có ý nghĩa gì? Đầu tiên, hiểu một khái niệm đơn giản sẽ giúp việc hiểu các biểu tượng và màu sắc khác nhau sẽ trở nên dễ dàng hơn: nội dung an toàn và không an toàn.

Nội dung an toàn và không an toàn

Đầu tiên, cần hiểu nội dung là an toàn và không an toàn có ý nghĩa gì. Đó là nơi mà HTTPS và SSL phát huy tác dụng. SSL là viết tắt của Lớp cổng bảo mật và nó là công nghệ cơ bản mà giao thức HTTPS sử dụng để bảo mật nội dung HTTP.

Nói một cách đơn giản nhất, HTTPS là HTTP qua SSL. HTTP là lưu lượng HTML không được mã hóa giữa máy khách và máy chủ.

Đó là lý do khi bạn truy cập một trang web như Online Tech Tips, bạn sẽ không thấy bất kỳ văn bản màu xanh lá cây hoặc HTTPS nào trên thanh địa chỉ. Tất cả những gì bạn nhìn thấy trong ảnh chụp màn hình ở trên là một biểu tượng tài liệu màu trắng. Điều đó nghĩa là gì? Có nghĩa là trang web không sử dụng SSL, nghĩa là dữ liệu không được mã hóa.

Nếu bạn nhập bất kỳ thông tin nào vào một biểu mẫu trên trang web của tôi, ví dụ, dữ liệu đó sẽ không được mã hóa qua Internet và do đó có khả năng có thể bị bên thứ ba sao chép và đọc. Trong Google Chrome, nếu bạn nhấp vào biểu tượng tài liệu nhỏ, bạn sẽ nhận được một số thông tin chi tiết như mô tả bên dưới:

Ott secure connection

Có hai tab hiển thị: Permissions và Connection. Hãy bàn về tab Connection. Ở đây bạn sẽ thấy rằng danh tính của trang web chưa được xác minh.

Tất cả điều đó có nghĩa là tôi chưa mua chứng chỉ bảo mật cho trang web của mình từ một nhà xuất bản chứng chỉ đáng tin cậy như Verisign và do đó, Online Tech Tips có thể được sở hữu bởi bất kỳ ai, kể cả người Nga điều mà bạn không thể chắc chắn.

Đó là lý do tại sao bạn không nên gõ bất kỳ thông tin nhạy cảm nào trên một trang web không được mã hóa, hầu hết là tất cả các blog và trang web thông thường.

Thanh địa chỉ màu xanh

Bây giờ bạn đã hiểu lý do bạn không có văn bản màu xanh lá cây trong thanh địa chỉ, hãy giải thích các tình huống khác nhau khi chúng ta làm việc với một kết nối an toàn.

Đầu tiên, hãy nói về một trang web luôn làm tôi bối rối cho đến tận bây giờ: Gmail! Khi bạn tải Gmail lần đầu tiên, địa chỉ của bạn trông như thế này với biểu tượng ổ khóa màu xanh lá cây khá đẹp và văn bản HTTPS màu xanh lá cây.

Gmail secure

Tuy nhiên, sau một thời điểm, đột nhiên biểu tượng sẽ chuyển sang màu xám với hình tam giác màu vàng ở giữa:

Gmail not secure

Điều gì đã xảy ra vậy? Về cơ bản, biểu tượng này có nghĩa là trang web đang sử dụng mã hóa SSL, nhưng một số nội dung trên trang không an toàn (không được mã hóa). Vì vậy, điều này làm cho trang web không an toàn? Ví dụ, trong Gmail, hình ảnh hiển thị trong email không an toàn và do đó không được mã hóa.

Đó là lý do bạn luôn phải nhấp vào liên kết “Always display images from…”. Lần thứ hai bạn nhấp vào liên kết đó, bạn sẽ thấy biểu tượng ổ khóa màu xanh lá cây thay đổi thành hình tam giác màu xám. Vì vậy, Gmail vẫn bảo mật, nhưng một số nội dung trong email đó thì không an toàn.

Secure gmail images

Bạn chỉ nên lo lắng là nếu bạn thấy một ổ khóa có biểu tượng màu đỏ và gạch ngang trên văn bản HTTPS.

high risk

Điều này có thể là chứng chỉ bảo mật của trang web đã hết hạn hoặc khác như Javascript không an toàn trên trang web. Đây được gọi là nội dung không an toàn mang tính rủi ro cao.

Hình ảnh không được xem là nội dung không an toàn mang tính rủi ro cao bởi vì thường không có tương tác với người dùng. Tuy nhiên, nếu Javascript không an toàn, người dùng có thể điền vào biểu mẫu và dữ liệu đó được chuyển sang không an toàn.

Vậy làm thế nào để bạn biết nội dung nào không an toàn trên một trang? Bạn có thể kiểm tra điều đó trên Google Chrome. Nhấp vào biểu tượng Settings ở trên cùng bên phải, sau đó nhấp vào ToolsDeveloper Tools.

Developer tools

Khi đó, nhấp vào tab Console và bạn sẽ nhận được một danh sách tất cả các cảnh báo hoặc lỗi như hiển thị bên dưới.

Insecure content

Như bạn có thể thấy ở trên, email từ AA có một loạt các hình ảnh mà tôi đã hiển thị và những hình ảnh đó là không an toàn. Trong Console, bạn có thể thấy các hình ảnh cụ thể là nguyên nhân làm cho trang không an toàn.

Đây là một cách tuyệt vời để kiểm tra xem liệu thứ gì đó quan trọng là không an toàn hay nếu nó chỉ là hình ảnh và những thứ đó tương tự như vậy.

Cuối cùng, trên một số trang web bạn thấy văn bản và tên công ty màu xanh lá cây giống như trong ảnh chụp màn hình đầu tiên khi đăng nhập vào tài khoản my Apple trực tuyến. Không có sự khác biệt về mức độ mã hóa hay bảo mật, mà chỉ là một chỉ số trực quan của niềm tin.

Các công ty có thể đăng ký chứng chỉ Extended Validation Xác, về cơ bản tốn nhiều tiền hơn và công ty phải xác minh thêm thông tin về trang web và thông tin cá nhân. Tên của công ty hoặc trang web nằm trên chứng chỉ và do đó, nó hiển thị trong một hộp màu xanh lá cây ở bên trái của văn bản HTTPS.

Nếu bạn nhấp vào ổ khóa, bạn sẽ thấy nhiều thông tin bảo mật hơn trong cùng một ảnh chụp màn hình ở trên cho trang web của tôi:

Apple cerfiticate

Như bạn có thể thấy, Apple Inc. đã được xác nhận bằng chứng chỉ VeriSign Class 3 Extended Validation SSL. Bạn cũng có thể thấy số lượng mã hóa (128-bit) và thông tin khác. Các ngân hàng thường có mã hóa 256 bit, điều này rất tốt vì đó là dữ liệu tài chính của bạn chuyển qua Internet.

Bạn cũng có thể tìm hiểu thêm thông tin về các cảnh báo và biểu tượng bảo mật của Chrome tại link dưới đây:

http://support.google.com/chrome/bin/answer.py?hl=en&answer=95617

Hy vọng bài viết này giúp bạn hiểu thêm về cách HTTPS và SSL hoạt động và cách trình duyệt hiển thị thông tin trên thanh địa chỉ. Trên mỗi trình duyệt sẽ có chút khác nhau về các biểu tượng được sử dụng, v.v., nhưng tóm lại, nó có cùng một khái niệm. Trải nghiệm nào!

- Tags: