Chứng chỉ SSL/TLS là gì?
Chứng chỉ SSL/TLS là đối tượng kỹ thuật số cho phép các hệ thống xác minh danh tính và sau đó thiết lập kết nối mạng được mã hóa với một hệ thống khác bằng giao thức Lớp cổng bảo mật/Bảo mật lớp truyền tải (SSL/TLS). Các chứng chỉ được sử dụng trong một hệ thống mật mã được gọi là cơ sở hạ tầng khóa công khai (PKI). PKI cung cấp phương thức để một bên thiết lập nhận dạng của một bên khác bằng cách sử dụng các chứng chỉ nếu cả hai đều tin cậy bên thứ ba - được gọi là cơ quan cấp chứng chỉ. Do đó, chứng chỉ SSL/TLS đóng vai trò là thẻ định danh kỹ thuật số để bảo mật hoạt động giao tiếp mạng, thiết lập danh tính của các trang web qua Internet cũng như tài nguyên trên các mạng riêng.
Tại sao chứng chỉ SSL/TLS lại quan trọng?
Chứng chỉ SSL/TLS tạo nên sự tin tưởng giữa người dùng trang web. Các doanh nghiệp cài đặt chứng chỉ SSL/TLS trên các máy chủ web để tạo ra các trang web bảo mật SSL/TLS. Một trang web bảo mật SSL/TLS có các đặc điểm sau:
- Biểu tượng ổ khóa và thanh địa chỉ màu xanh lá cây trên trình duyệt web
- Tiền tố https ở địa chỉ trang web trên trình duyệt
- Chứng chỉ SSL/TLS hợp lệ. Bạn có thể kiểm tra xem chứng chỉ SSL/TLS có hợp lệ hay không bằng cách nhấp và mở rộng biểu tượng ổ khóa trên thanh địa chỉ URL
- Một khi kết nối được mã hóa đã được thiết lập thì chỉ có khách hàng và máy chủ web có thể xem dữ liệu được gửi đi.
Dưới đây là một số lợi ích của chứng chỉ SSL/TLS.
Bảo vệ dữ liệu cá nhân
Trình duyệt xác nhận chứng chỉ SSL/TLS của bất kỳ trang web nào để bắt đầu và duy trì các kết nối an toàn với máy chủ website. Công nghệ SSL/TLS giúp đảm bảo mã hóa tất cả các giao tiếp giữa trình duyệt của bạn và trang web.
Tăng cường sự tự tin của khách hàng
Khách hàng hiểu Internet hiểu tầm quan trọng của quyền riêng tư và muốn tin tưởng vào các trang web mà họ đang truy cập. Một trang web SSL/TLS được bảo vệ có biểu tượng ổ khóa màu xanh lá cây, mà khách hàng cảm nhận là an toàn. Bảo vệ SSL/TLS giúp khách hàng biết rằng dữ liệu của họ đang được bảo vệ khi họ chia sẻ dữ liệu với doanh nghiệp của bạn.
Hỗ trợ việc tuân thủ quy định
Một số doanh nghiệp phải tuân thủ các quy định của ngành về tính bảo mật và bảo vệ dữ liệu. Ví dụ, các doanh nghiệp trong ngành công nghiệp thẻ thanh toán phải tuân thủ PCI DSS. PCI DSS là một yêu cầu trong ngành để cung cấp các giao dịch trực tuyến an toàn, bao gồm bảo mật máy chủ web bằng chứng chỉ SSL/TLS.
Cải thiện SEO
Các công cụ tìm kiếm lớn đã đưa bảo vệ SSL/TLS trở thành một yếu tố xếp hạng để tối ưu hóa công cụ tìm kiếm. Một trang web được bảo đảm SSL/TLS có khả năng sẽ xếp hạng cao hơn trên công cụ tìm kiếm hơn một trang web tương tự mà không có chứng chỉ SSL/TLS. Điều này làm tăng khách truy cập từ các công cụ tìm kiếm đến trang web SSL/TLS bảo vệ.
Công nghệ chứng chỉ SSL/TLS có những nguyên tắc chính gì?
SSL/TLS là viết tắt cho lớp cổng bảo mật và bảo mật lớp truyền tải. Đây là một giao thức hoặc quy tắc giao tiếp cho phép các hệ thống máy tính giao tiếp với nhau trên Internet một cách an toàn. Chứng chỉ SSL/TLS cho phép các trình duyệt web xác định và thiết lập các kết nối mạng được mã hóa cho các trang web sử dụng giao thức SSL/TLS.
Mã hóa
Mã hóa là quá trình xáo trộn thông điệp ban đầu để chỉ người nhận dự kiến mới có thể giải mã. Ví dụ: bạn thay đổi từ cat thành ecv bằng cách đưa tất cả chữ cái về phía trước hai vị trí theo như trong bảng chữ cái. Người nhận nắm được quy tắc (hoặc khóa) và đảo ngược từng chữ cái lùi về hai vị trí để đọc được đúng từ đó. Mã hóa SSL/TLS xây dựng dựa trên khái niệm này bằng cách mã hóa khóa công khai, sử dụng hai khóa khác nhau để mã hóa và giải mã một thông điệp. PKI cung cấp phương thức để một bên thiết lập nhận dạng của một bên khác bằng cách sử dụng các chứng chỉ nếu cả hai đều tin cậy bên thứ ba - được gọi là cơ quan cấp chứng chỉ. Cơ quan cấp chứng chỉ xác minh chứng chỉ và xác thực cả hai bên trước khi giao tiếp bắt đầu.
Hai loại khóa đó là:
Khóa công khai
Trình duyệt và máy chủ web giao tiếp bằng cách mã hóa và giải mã thông tin thông qua các cặp khóa riêng và công khai. Khóa công khai là một khóa mã hóa mà máy chủ web cung cấp cho trình duyệt trong chứng chỉ SSL/TLS. Trình duyệt sử dụng khóa này để mã hóa thông tin trước khi gửi đến máy chủ web.
Khóa riêng
Chỉ máy chủ web mới có khóa riêng. Chỉ có thể dùng khóa công khai để giải mã một tệp dùng khóa riêng để mã hóa và ngược lại. Nếu khóa công khai chỉ có thể giải mã tệp đã được khóa riêng mã hóa, khả năng giải mã được tệp đó sẽ đảm bảo rằng bên gửi và bên nhận dự kiến là đúng người.
Xác thực
Máy chủ sẽ gửi khóa công khai trong chứng chỉ SSL/TLS đến trình duyệt. Trình duyệt này xác minh chứng chỉ từ một bên thứ ba đáng tin cậy. Do đó, trình duyệt này có thể xác minh rằng máy chủ web là đúng máy chủ web dự kiến.
Chữ ký số
Chữ ký số là số độc nhất cho từng chứng chỉ SSL/TLS. Bên nhận tạo và so sánh chữ ký số mới với chữ ký ban đầu để đảm bảo rằng các bên ở ngoài không can thiệp đến chứng chỉ khi chứng chỉ đó đi qua mạng.
Ai xác thực chứng chỉ SSL/TLS?
Cơ quan cấp chứng chỉ (CA) là một tổ chức bán chứng chỉ SSL/TLS cho các chủ sở hữu web, công ty lưu trữ web hoặc doanh nghiệp. CA xác thực thông tin chi tiết về miền và chủ sở hữu trước khi cấp chứng chỉ SSL/TLS. Để trở thành CA, một tổ chức phải đáp ứng các yêu cầu cụ thể được thiết lập bởi hệ điều hành, trình duyệt hoặc công ty thiết bị di động và đăng ký xin được đưa lên danh sách với tư cách là một cơ quan cấp chứng chỉ gốc. Đây là điều quan trọng để có thể tạo sự tin tưởng giữa những người dùng Internet. Ví dụ: Amazon Trust Services là một cơ quan cấp chứng chỉ và có thể cấp chứng chỉ SSL/TLS cho các trang web.
Chứng chỉ SSL/TLS có hiệu lực trong bao lâu?
Chứng chỉ SSL/TLS có hiệu lực tối đa là 13 tháng. Hiệu lực của chứng chỉ SSL/TLS đã giảm dần qua nhiều năm. Điều này nhằm mục đích giảm rủi ro bảo mật ảnh hưởng đến doanh nghiệp và người dùng web. Ví dụ: các bên thứ ba không đáng tin cậy có thể sử dụng chứng chỉ SSL/TLS hợp lệ từ miền hết hạn để tạo một trang web trái phép.
Bằng cách rút ngắn thời hạn hiệu lực, khả năng lạm dụng chứng chỉ SSL/TLS sẽ bị giảm. Khi chứng chỉ SSL/TLS hết hạn, khách truy cập web sẽ nhận được cảnh báo trên trình duyệt cho biết trang web không được bảo mật. Tổ chức thu hồi chứng chỉ SSL/TLS cũ và thay thế bằng chứng chỉ mới đã gia hạn. Cần tiến hành gia hạn trước khi chứng chỉ trước đó hết hạn để tránh sự cố bảo mật.
Chứng chỉ SSL/TLS có những gì?
Chứng chỉ SSL/TLS chứa các thông tin sau.
- Tên miền
- Cơ quan cấp chứng chỉ
- Chữ ký số của cơ quan cấp chứng chỉ
- Ngày cấp
- Ngày hết hạn
- Khóa công khai
- Phiên bản SSL/TLS
TLS là viết tắt của bảo mật lớp truyền tải. Đây là một dịch vụ thay thế và tiếp nối của giao thức SSL/TLS phiên bản 3.0. Giữa SSL/TLS và TLS chỉ có một số khác biệt nhỏ về mặt kỹ thuật. Giống như SSL/TLS, TLS cung cấp một kênh truyền dữ liệu được mã hóa giữa trình duyệt và máy chủ web. Chứng chỉ SSL/TLS hiện đại sử dụng giao thức TLS thay cho SSL/TLS, tuy nhiên SSL/TLS vẫn là một từ viết tắt phổ biến giữa các chuyên gia bảo mật. Dù không hoàn toàn giống nhau nhưng thuật ngữ SSL và TLS thường được sử dụng để chỉ cùng một điều. Hai thuật ngữ này cũng có thể đề cập đến giao thức mã hóa mật mã là SSL/TLS.
Chứng chỉ SSL/TLS hoạt động như thế nào?
Các trình duyệt sử dụng chứng chỉ SSL/TLS để bắt đầu kết nối an toàn với máy chủ web thông qua quá trình xác nhận và giao tiếp SSL/TLS. Quá trình xác nhận và giao tiếp SSL/TLS là một phần của công nghệ giao tiếp bảo mật giao thức truyền siêu văn bản (HTTPS). Đó là sự kết hợp giữa HTTP và SSL/TLS. HTTP là một giao thức được các trình duyệt web sử dụng để gửi thông tin dạng văn bản thuần đến một máy chủ web. HTTP truyền dữ liệu không được mã hóa, tức là các bên thứ ba có thể chặn và đọc thông tin được gửi từ trình duyệt. Các trình duyệt sử dụng HTTP với SSL/TLS, hay HTTPS để giao tiếp bảo mật tuyệt đối.
Bắt tay SSL/TLS
Bắt tay SSL/TLS bao gồm các bước sau:
- Trình duyệt mở một trang web SSL/TLS bảo mật và kết nối với máy chủ web.
- Trình duyệt cố gắng xác minh tính xác thực của máy chủ web bằng cách yêu cầu thông tin nhận dạng.
- Máy chủ web gửi chứng chỉ SSL/TLS có chứa một khóa công khai như một bài trả lời.
- Trình duyệt xác minh chứng chỉ SSL/TLS, đảm bảo rằng chứng chỉ đó là hợp lệ và khớp với tên miền trang web. Một khi trình duyệt hài lòng với chứng chỉ SSL/TLS, nó sử dụng khóa công khai để mã hóa và gửi một tin nhắn có chứa một khóa phiên bí mật.
- Máy chủ web sử dụng khóa riêng của nó để giải mã thư và truy xuất khóa phiên. Sau đó nó sử dụng khóa phiên để mã hóa và gửi một thông báo xác nhận đến trình duyệt.
- Bây giờ, cả trình duyệt và máy chủ web chuyển sang sử dụng khóa phiên tương tự để trao đổi tin nhắn một cách an toàn.
Khóa phiên
Một khóa phiên duy trì giao tiếp được mã hóa giữa trình duyệt và máy chủ web sau khi xác thực SSL/TLS ban đầu được hoàn tất. Khóa phiên là một khóa mật mã cho mật mã đối xứng. Mật mã đối xứng sử dụng cùng một khóa cho cả mã hóa và giải mã. Mật mã bất đối xứng chiếm sức mạnh tính toán khổng lồ. Do đó, máy chủ web chuyển sang mật mã đối xứng đòi hỏi ít tính toán để duy trì kết nối SSL/TLS.
Trình quản lý chứng chỉ của AWS là gì?
Trình quản lý chứng chỉ của AWS (ACM) là dịch vụ cho phép bạn dễ dàng cung cấp, quản lý cũng như triển khai các chứng chỉ SSL/TLS riêng và công khai để sử dụng với các dịch vụ AWS và các tài nguyên kết nối nội bộ của bạn. Dịch vụ này xóa bỏ quy trình mua, tải lên và gia hạn chứng chỉ SSL/TLS thủ công tốn thời gian. Thay vào đó, bạn có thể nhanh chóng yêu cầu một chứng chỉ và triển khai chứng chỉ đó trên các tài nguyên AWS tích hợp ACM, chẳng hạn như các bản phân phối Cân bằng tải linh hoạt, Amazon CloudFront hoặc các API trên Cổng API Amazon, đồng thời cho phép Trình quản lý chứng chỉ của AWS xử lý các yêu cầu gia hạn chứng chỉ. Dịch vụ này còn cho phép bạn tạo các chứng chỉ riêng cho các tài nguyên nội bộ và quản lý vòng đời của chứng chỉ một cách tập trung.
Các tổ chức sử dụng ACM để đơn giản hóa quá trình ứng dụng, triển khai và gia hạn chứng chỉ SSL/TLS. Thay vì áp dụng quy trình tạo và gửi yêu cầu ký chứng chỉ (CSR) thông thường cho cơ quan cấp chứng chỉ, bạn có thể tạo một chứng chỉ SSL/TLS được ACM quản lý chỉ với vài cú nhấp chuột.
Bắt đầu sử dụng Trình quản lý chứng chỉ của AWS bằng cách đăng ký tài khoản AWS ngay hôm nay.
Chứng chỉ SSL/TLS có những loại nào?
Chứng chỉ SSL/TLS sẽ khác nhau tùy theo miền và loại xác thực. Chứng chỉ với các mức xác thực khác nhau được phân loại như sau:
- Chứng chỉ xác thực mở rộng
- Chứng chỉ được tổ chức xác thực
- Chứng chỉ được miền xác thực
Chứng chỉ SSL/TLS hỗ trợ các miền khác nhau gồm có:
- Chứng chỉ miền đơn
- Chứng chỉ ký tự đại diện
- Chứng chỉ đa miền
Chứng chỉ xác thực mở rộng
Chứng chỉ xác thực mở rộng (EV SSL/TLS) là chứng chỉ kỹ thuật số có mức mã hóa, xác thực và độ tin cậy cao nhất. Khi đăng ký xin cấp EV SSL/TLS, tổ chức hoặc chủ sở hữu web phải trải qua quy trình kiểm tra nghiêm ngặt của cơ quan cấp chứng chỉ. Quy trình này bao gồm xác minh địa chỉ doanh nghiệp thực ngoài đời, ứng dụng chứng chỉ phù hợp và các quyền độc quyền sử dụng miền.
Các doanh nghiệp sử dụng EV SSL/TLS để bảo vệ người dùng khỏi bên thứ ba trái phép. Điều này rất quan trọng khi công ty xử lý dữ liệu nhạy cảm trên trang web, chẳng hạn như các giao dịch tài chính và hồ sơ y tế. Chứng chỉ EV SSL/TLS chứa thông tin chi tiết của tổ chức kinh doanh có thể xem trên trình duyệt.
Chứng chỉ xác thực tổ chức
Chứng chỉ xác thực tổ chức (OV SSL/TLS) có mức xác thực và độ tin cậy đứng thứ hai sau EV SSL/TLS. Cũng giống như EV SSL/TLS, các công ty phải trải qua quá trình xác minh khi đăng ký xin cấp OV SSL/TLS. Quy trình kiểm tra sẽ được nới lỏng hơn và người đăng ký phải chứng minh được quyền sở hữu miền cho cơ quan cấp chứng chỉ.
Chứng chỉ OV SSL/TLS chứa thông tin kinh doanh đã xác thực có thể kiểm tra trên trình duyệt. Các doanh nghiệp thương mại và tương tác trực tiếp sử dụng chứng chỉ OV SSL/TLS để xây dựng sự tin tưởng giữa các khách hàng. OV SSL/TLS mang đến khả năng mã hóa mạnh mẽ nhằm bảo vệ quyền riêng tư của khách hàng khi duyệt web.
Chứng chỉ xác thực miền
Chứng chỉ xác thực miền (DV SSL/TLS) là chứng chỉ kỹ thuật số có mức xác thực thấp nhất. Đăng ký xin cấp chứng chỉ này cũng ít tốn kém nhất. Không giống như EV SLL và OV SSL/TLS, người đăng ký xin cấp chứng chỉ DV trải qua một quy trình kiểm tra nới lỏng hơn. Người đăng ký chứng minh quyền sở hữu miền bằng cách trả lời email xác thực hoặc cuộc gọi qua điện thoại.
Chứng chỉ DV không chứa đầy đủ thông tin về tổ chức hoặc doanh nghiệp của người đăng ký. Do đó, chứng chỉ này không mang lại khả năng đảm bảo cao cho người dùng. Chứng chỉ DV phù hợp với các trang web cung cấp thông tin, chẳng hạn như blog. Loại chứng chỉ này không phù hợp với các doanh nghiệp chăm sóc sức khỏe, cổng thanh toán hoặc trang web khác chuyên xử lý dữ liệu nhạy cảm.
Chứng chỉ SSL/TLS miền đơn
Chứng chỉ SSL/TLS miền đơn là chứng chỉ SSL/TLS chỉ bảo vệ một miền hoặc miền phụ. Miền là địa chỉ hoặc URL chính của một trang web, chẳng hạn như amazon.com. Miền phụ là địa chỉ web có phần văn bản mở rộng trước miền chính, chẳng hạn như aws.amazon.com.
Ví dụ: bạn có thể dùng chứng chỉ SSL/TLS miền đơn trên http://example.com. Tuy nhiên, bạn không thể đồng thời dùng chứng chỉ cho http://example.com và sub.example.com.
Chứng chỉ SSL/TLS ký tự đại diện
Chứng chỉ SSL/TLS ký tự đại diện là chứng chỉ SSL/TLS bảo vệ miền và tất cả miền phụ của miền đó. Ví dụ: bạn có thể dùng chứng chỉ SSL/TLS ký tự đại diện để bảo vệ http://example.com, blog.example.com và shop.example.com.
Chứng chỉ SSL/TLS đa miền
Chứng chỉ đa miền còn được gọi là chứng chỉ giao tiếp hợp nhất. Chứng chỉ SSL/TLS đa miền bảo vệ SSL/TLS cho nhiều tên miền được lưu trữ trên cùng một hoặc nhiều máy chủ khác nhau cùng một quyền sở hữu. Ví dụ: bạn mua một chứng chỉ đa miền cho http://example1.com, domain2.co.uk, shop.business3.com và chat.message.au.
Các bước tiếp theo để sở hữu Chứng chỉ SSL với AWS
Bắt đầu xây dựng với đám mây lai AWS trên Bảng điều khiển quản lý AWS.