Bài viết sẽ phân tích một khía cạnh HTTPS và chìa khóa bảo mật màu xanh trên thanh URL của website.
Càng ngày thì số lượng website đang chuyển dần từ giao thức HTTP sang HTTPS càng nhiều và có thể đây là một dấu hiệu tốt cho bảo mật trên internet. Tuy nhiên thì có cột mốc kéo theo: gần một nửa số trang web lừa đảo hiện đang sử dụng HTTPS .
Và mặc dù điều này là không thể tránh khỏi, vì thực tế là HTTPS đã trở thành tiêu chuẩn mới, nó vẫn tạo ra ánh sáng cho một vấn đề sắp xảy ra cho ngành này cho đến khi chúng tôi bắt đầu có một cuộc thảo luận thẳng thắn về HTTPS:
An toàn ≠ An toàn.
Nếu bạn là một người đọc thường xuyên của ssl.vn thì đây có thể là một vấn đề không phải quá mới khi đã có một bài viết về việc này. Và bài viết này sẽ viết chi tiết hơn về việc này. Chúng ta sẽ nói về HTTPS, nhận thức sai lầm của mọi người về nó và những gì chúng ta cần làm tốt hơn như một ngành công nghiệp để sửa những nhận thức sai lầm đó.
Hãy cùng phân tích về nó
Gần một nửa số trang web lừa đảo hiện sử dụng HTTPS
Các website lừa đảo cài đặt HTTPS đã tăng lên theo cấp số nhân trong vài năm qua. Tính đến mùa thu năm ngoái, hơn 1,4 triệu trang web lừa đảo mới được tao ra mỗi tháng . Trong năm ngoái, số lượng trang web lừa đảo có cài đặt HTTPS chỉ khoảng 25% – một phần tư – nhưng đã tăng gần gấp đôi đến 49% kể từ quý 3 năm 2018.
Đó là một sự gia tăng đáng kể. Gần hai năm trước, vào đầu năm 2017, có một bài báo nghiên cứu cho thấy sự phổ biến của chứng chỉ SSL Encrypt SSL miễn phí trên các trang web lừa đảo tài khoản PayPal giả mạo .
HTTPS không còn là vấn đề nữa nhỏ nữa, nó đã tăng lên rất nhanh chóng . Và điều đó cho thấy không có dấu hiệu giảm bớt sự phổ biến của chứng nhận SSL / TLS được chứng nhận cho tên miền miễn phí và sự thúc đẩy trong toàn ngành đối với HTTPS.
Và chúng tôi muốn được ghi lại ở đây: hoàn toàn không có gì sai với chứng chỉ SSL miễn phí. Việc cấp phát miễn phí một chứng chỉ cần thiết như SSL là cần thiết. Vấn đề là làm sao để người dùng hiểu rõ SSL là gì, HTTPS là gì?
Hầu hết mọi người không biết HTTPS thực sự làm gì
Người dùng hiện nay thường không để tâm quá nhiều đến những thứ mà đối với họ nó không cần thiết lắm. Người dùng nhiều khi chỉ đơn giản biết cách bật máy tính lên, gõ trang web mình cần hoặc google và nhấp vào. Với họ họ chỉ cần như thế và cũng chả quan tâm nhiều đến tại cách hoạt động. Điện thoại di động cũng tương tự vậy.
Điều đó kéo theo những kiến thức về bảo mật của họ cũng không được cung cấp đầy đủ.
Ổ khóa màu xanh lá cây đồng nghĩa với việc kết nối mà thiết bị của bạn đang thực hiện với hosting trang web hoặc ứng dụng bạn đang truy cập sẽ được mã hóa và bảo mật. Vì vậy, bất kỳ dữ liệu nào bạn và bên ở đầu kia của trao đổi kết nối đó sẽ được an toàn khỏi bất kỳ kẻ tấn công hoặc bên thứ ba nào có thể đang cố gắng nghe trộm kết nối nói trên.
Tuy nhiên, nếu không có chứng chỉ SSL xác thực tổ chức, bạn không có bất cứ một đảm bảo gì về người bên kia ở đầu kia của kết nối đó. Và những kẻ xấu cũng có thể sử dụng HTTPS. Vì vậy, trong khi ổ khóa màu xanh lá cây có nghĩa là kết nối của bạn sẽ được bảo mật, nhưng nó không đảm bảo về sự an toàn của bạn trên trang web đó hoặc những gì mà bên kia kết nối có thể thực hiện với dữ liệu bạn gửi. HTTPS chỉ đảm bảo dữ liệu bạn gửi đi an toàn trên đường đi đến website của người quản trị nó.
Hầu hết mọi người không biết điều đó. Đây là kết quả từ một cuộc khảo sát mà Phish Labs đã làm năm ngoái .
Chúng ta có thể phân loại lại một chút để nó làm cho quan điểm của chúng ta rõ ràng hơn một chút.
Điều đó có nghĩa là một số lượng đáng kinh ngạc có thể dễ dàng bị lừa bởi biểu tượng ổ khóa màu xanh lá cây nhỏ đó. Và tội phạm mạng nắm bắt rất nhanh nhận thức sâu sắc về thực tế này. Tội phạm mạng đã kiếm đến 1,5 nghìn tỷ đô la vào năm 2017 , và điều đó đã không xảy ra một cách tình cờ. Những tên tội phạm này biết cách để moi được tiền của bạn. Họ sẽ tìm mọi cách để đưa bạn tới những website lừa đảo.
Và tất nhiên thì chứng chỉ SSL không thể giúp bạn bảo mật được những thông tin bạn đã cung cấp cho website bạn truy cập. Có những chứng chỉ SSL có thể giúp bạn xác thực được website bạn đang truy cập, và có những chứng chỉ thì không. Nhưng khi chỉ quan tâm đến những ổ khóa màu xanh thì có thể bạn sẽ đang truy cập vào một website lừa đảo.
Google, bạn có thể không trợ giúp…
Google đang tiên phong trong việc phổ biến HTTPS ra toàn cầu. Với thị phần của mình, phần lớn nhờ vào hệ điều hành Android và trình duyệt Chrome dành cho máy tính để bàn, Google nên tích hợp cả việc giúp người dùng hiểu HTTPS thực sự là gì.
Và chính Google đã thúc đẩy các trang web di chuyển sang HTTPS trong nhiều năm, thực tế đã ủy thác nó trong tháng 7 vừa qua .
Mặc dù đã hoàn tất khóa học và xóa chỉ báo tích cực , trong khoảng một năm Chrome đã hiển thị huy hiệu cho biết, “Bảo mật” trên các trang web đã cài đặt chứng chỉ SSL / TLS và được định cấu hình đúng cho HTTPS. Đó là một ý tưởng khủng khiếp, điều này khiến người dùng hoàn toàn tin tưởng vào một website.
Google hiện đã hoàn toàn đảo ngược khóa học, loại bỏ giao thức (https: //) ở đầu URL, với ý định loại bỏ biểu tượng móc khóa màu xanh lá cây có truyền thống đi kèm với nó.
Tất cả những gì sẽ vẫn là một chỉ báo tiêu cực cho các trang web vẫn đang được phục vụ thông qua HTTP.
Đó chắc chắn là một bước đi đúng hướng, nhưng nó không thực sự giải quyết được vấn đề ở trung tâm của vấn đề này: mọi người không hiểu HTTPS thực sự là gì hoặc những gì ổ khóa màu xanh lá cây thực sự có ý nghĩa gì.
Google đã dành rất nhiều thời gian nghiên cứu cách xử lý các chỉ báo trực quan này về bảo mật kết nối . Cá nhân, tôi chỉ nghĩ rằng Google đã không phân tích đầy đủ mọi khía cạnh của vấn đề này. Không phải bất cứ người dùng nào cũng có những kĩ năng của người am hiểu về kĩ thuật. Và tất nhiên thì Google cũng không phải đối xử với người dùng internet như thể họ thể tiếp thu được những kĩ năng mới.
Trong trường hợp của Google, họ đã nghiên cứu cách mọi người phản ứng với một loạt các chỉ số khác nhau và sau đó chọn những thứ ít hoàn hảo nhất. Tôi không phải là nhà tâm lý học, cũng không phải kĩ sư phần mềm nhưng tôi nghĩ lựa chọn đó đặt ra câu hỏi: chúng ta có thể cố gắng giáo dục mọi người về HTTPS và bảo mật kết nối nhiều hơn một chút, thay vì chỉ dựa vào những gì họ hiểu lầm ít nhất?
Chúng ta cần có một cuộc trò chuyện khác về HTTPS
Điểm mấu chốt không phải là triết học về các lựa chọn thiết kế trình duyệt, nó chỉ ra rằng chúng ta – là một ngành – cần phải làm nhiều hơn nữa để giáo dục mọi người về HTTPS là gì và HTTPS là gì.
Đã quá muộn để đưa kem đánh răng trở lại vào ống. Với chứng chỉ SSL / TLS được cung cấp miễn phí từ một số nhà cung cấp, chúng tôi không thể thấy sự sụt giảm về các website lừa đảo có cài đặt HTTPS. Những gì cần phải xảy ra là chúng ta cần phải có một cuộc thảo luận về ổ khóa màu xanh lá cây đó. Cụ thể với người dùng internet trung bình về ý nghĩa thực sự của nó.
Và sau đó chúng tôi cần phải làm việc trên một cách để xác nhận tốt hơn nhận dạng trang web.
Cho dù điều đó được thực hiện bằng cách cải thiện các quy trình xác thực hiện tại đã được tích hợp vào hệ sinh thái chứng chỉ số hiện tại của chúng tôi, hoặc tách hai và đưa ra một cái gì đó hoàn toàn mới – nguyên trạng hiện không hoạt động nữa. Như mọi khi, hãy để lại bất kỳ nhận xét hoặc câu hỏi nào bên dưới…