If you're seeing this message, it means we're having trouble loading external resources on our website.

Nếu bạn đang đứng sau một bộ lọc web, xin vui lòng chắc chắn rằng tên miền *. kastatic.org*. kasandbox.org là không bị chặn.

Nội dung chính

Chứng thư số

Giao thức TLS hoạt động dựa trên mã hóa khóa công khai. Máy tính gửi yêu cầu sẽ sử dụng khóa công khai của máy tính nhận yêu cầu khi mã hóa dữ liệu. Tuy nhiên, trước khi quá trình thiết lập khóa và mã hóa xảy ra, giao thức TLS yêu cầu các máy tính hoàn thành một bước quan trọng để đảm bảo bảo mật, đó là máy tính gửi phải xác minh tính hợp lệ của khóa công khai.
Chứng thư số, hay còn được gọi là chứng thực khóa công khai hay chứng thư nhận dạng, là một chứng thư điện tử dùng để chứng minh quyền sở hữu một khóa nào đó dùng để mã hóa.

Tầm quan trọng của chứng thư

Điều gì sẽ xảy ra nếu giao thức TLS không có bước xác minh chứng thư?
Tin tặc đã nghĩ ra rất nhiều cách để chặn và can thiệp vào yêu cầu được gửi từ máy tính này đến máy tính khác trên mạng Internet, chẳng hạn như thông qua điểm truy cập giả mạo.
Từ đó, chúng có thể triển khai một cuộc "tấn công xen giữa" (tiếng Anh: man-in-the-middle attack - MITM).
Hình thức tấn công này được thực hiện như sau. Đầu tiên, trong quá trình thiết lập kết nối an toàn với giao thức TLS, kẻ tấn công gửi cho máy khách khóa công khai của chúng thay vì khóa công khai của máy chủ.
Minh họa cho cách chặn giao thức TLS qua một điểm truy cập giả mạo. Có một máy chủ ở bên trái và một máy tính xách tay có nhãn "Máy khách" ở bên phải. Khu vực trên cùng có nhãn "Điều mà người dùng nghĩ sẽ xảy ra". Nó chứa một mũi tên có nhãn là khóa mã hóa màu xanh lá cây đi từ máy chủ đến đến điểm truy cập có nhãn "điểm truy cập hợp pháp". Một mũi tên khác có nhãn giống với mũi tên trước và đi từ điểm truy cập hợp pháp đến người dùng. Khu vực dưới cùng có nhãn "Điều thực sự xảy ra". Nó chứa một mũi tên có nhãn là khóa màu xanh lá cây đi từ máy chủ đến kẻ tấn công có nhãn "điểm truy cập giả mạo". Một mũi tên khác có nhãn là khóa màu đỏ đi từ điểm truy cập giả mạo đến người dùng.
Sau đó, khi máy khách mã hóa dữ liệu bằng khóa công khai mà máy khách đã nhận được, thực chất là máy khách đang sử dụng khóa công khai của kẻ tấn công để mã hóa. Do đó, kẻ tấn công có thể giải mã tin nhắn được mã hóa, thay đổi tin nhắn theo cách chúng muốn và mã hóa lại bằng khóa công khai của máy chủ, trước khi gửi dữ liệu đến máy chủ.
Minh họa cho cách chặn giao thức TLS qua một điểm truy cập giả mạo. Ở bên trái, một máy tính xách tay đang mở với trường mật khẩu được điền đầy đủ. Ở bên phải, có một máy chủ. Khu vực trên cùng có nhãn "Điều mà người sử dụng nghĩ có thể xảy ra". Nó chứa một mũi tên có nhãn là khóa mã hóa màu xanh lá cây và "Tài khoản ID: 15" đi từ máy tính xách tay đến điểm truy cập có nhãn "điểm truy cập hợp pháp". Một mũi tên khác có nhãn giống với mũi tên trước và đi từ điểm truy cập hợp pháp đến máy chủ. Khu vực dưới cùng có nhãn "Điều thực sự xảy ra". Nó chứa một mũi tên có nhãn là khóa màu đỏ có nhãn "Tài khoản ID: 25" đi từ máy tính xách tay đến kẻ tấn công có nhãn "điểm truy cập giả mạo". Một mũi tên khác có nhãn là khóa màu xanh lá cây và "Tài khoản ID: 12" đi từ điểm truy cập giả mạo đến máy chủ.
Để ngăn chặn một cuộc tấn công xen giữa, máy khách cần xác minh bên sở hữu khóa công khai. Chứng thư số chính là công cụ giúp xác thực điều này. Tuy nhiên, nếu bất kì ai cũng có thể tạo ra chứng thư số, thì liệu máy khách có thể tin vào tính hợp pháp của chứng thư này hay không? Trong giao thức TLS, máy khách chỉ tin vào những chứng thư được cấp bởi các tổ chức có thẩm quyền.

Cơ quan có thẩm quyền cấp chứng thư

Một máy chủ muốn tạo kết nối an toàn thông qua giao thức TLS cần đăng ký với cơ quan có thẩm quyền để được cấp chứng thư. Cơ quan này sẽ xác minh chủ sở hữu của tên miền, ký xác nhận chứng thư và cấp khóa công khai, sau đó cung cấp lại chứng thư đã ký cho máy chủ.
Chứng chỉ giả mạo khá giống với giấy chứng nhận được trao cho người giành giải thưởng. Ở phía trên cùng có ghi "Chứng chỉ xác thực". Ở phía dưới có ghi "Chứng chỉ xác thực rằng khanacademy.org là chủ sở hữu chính thức của khóa công khai:" và sau đó là một chuỗi hệ thập lục phân. Ở phía dưới cùng là một dòng chữ ký có nhãn "Cơ quan thẩm quyền cấp chứng chỉ" và có chữ ký của "Cơ quan cấp chứng chỉ GoDaddy." Một dòng khác có nhãn "Ngày hiệu lực" từ "10/13/2018 - 11/18/2020".
Khi máy khách xác minh chứng thư, máy khách sẽ thấy rằng cơ quan cấp chứng thư đã xác minh tính xác thực của khóa công khai. Tuy nhiên, máy khách vẫn cần cân nhắc thêm một yếu tố khác, đó là liệu cơ quan cấp chứng thư này có đáng tin không?
Máy khách thường được cung cấp một danh sách các cơ quan cấp chứng thư đáng tin cậy. Ví dụ, đây là danh sách cơ quan cấp chứng thư mà điện thoại iPhone chạy hệ điều hành iOS 10 tin tưởng.
Về phía người sử dụng các sản phẩm và dịch vụ của Apple, họ sẽ cần phải tin tưởng rằng Apple sẽ liên tục theo dõi và cập nhật danh sách đó để đảm bảo rằng mỗi cơ quan cấp chứng thư đều đang xác minh tên miền một cách đúng đắn.
Như vậy, sự tín nhiệm sẽ đi từ người dùng, đến máy khách, cơ quan cấp chứng thư và cuối cùng là máy chủ:
Minh họa về chuỗi chứng chỉ đáng tin cậy. Bắt đầu từ biểu tượng ghi "người dùng" về phía tay trái. Có một mũi tên ghi nhãn "đáng tin cậy" từ biểu tượng người dùng đến biểu tượng điện thoại thông minh "khách hàng" . Một mũi tên khác ghi nhãn "đáng tin cậy" đi từ biểu tượng khách hàng đến biểu tượng máu tính có nhãn "cơ quan cấp chứng thư". Một mũi tên cuối cùng đi từ biểu tượng cơ quan cấp chứng chỉ đến biểu tượng máy tính có nhãn "máy chủ".
Ở mỗi cấp trong chuỗi tín nhiệm này, sự tin cậy đều có khả năng bị phá vỡ. Nếu người dùng không tin tưởng máy khách, họ có thể ghi đè lên danh sách các cơ quan cấp chứng thư đáng tin cậy được cài mặc định trong máy khách. Nếu một máy khách không còn tin tưởng vào cơ quan cấp chứng thư, cơ quan này sẽ bị xóa khỏi danh sách tín nhiệm của máy khách. Tương tự, nếu cơ quan cấp chứng thư nhận thấy hành vi đáng ngờ từ máy chủ, cơ quan này có thể thu hồi chứng thư đã cấp.

Cơ quan cấp chứng thư trung gian

Trong thực tế, các cơ quan cấp chứng thư được phân thành nhiều cấp độ: cơ quan cấp chứng thư nguồn và cơ quan cấp chứng thư trung gian.
Cơ quan cấp chứng thư nguồn không trực tiếp cấp bất kỳ chứng thư số nào cho máy chủ. Cơ quan này chỉ cấp chứng thư số cho cơ quan trung gian thay mặt nó. Sau đó, cơ quan cấp chứng thư trung gian có thể cấp chứng thư số cho một cơ quan trung gian khác hoặc cấp trực tiếp cho máy chủ.
Vậy nên, ta lại có thêm một chuỗi tín nhiệm, đi từ cơ quan cấp chứng thư nguồn, đến các cơ quan trung gian, rồi tới máy chủ:
Minh họa về chuỗi đáng tin cậy của cơ quan cấp chứng chỉ. Bắt đầu là một máy chủ có biểu tượng "CA gốc" ở phía bên trái. Có một mũi tên có nhãn "đáng tin cậy" đi đến một máy chủ khác có nhãn "CA trung gian" . Một mũi tên khác có nhãn "đáng tin cậy" đi đến một máy chủ khác có nhãn "CA trung gian". Một mũi tên cuối cùng đi đến biểu tượng máy chủ có nhãn "máy chủ".
Sự phân cấp của các cơ quan cấp chứng thư giúp tăng tính bảo mật của hệ thống. Nếu cơ quan cấp chứng thư nguồn phát hiện ra cơ quan cấp chứng thư trung gian đã bị kẻ tấn công xâm nhập, thì họ sẽ vô hiệu hóa các chứng thư từ cơ quan trung gian đó, trong khi các chứng thư tới từ cơ quan trung gian khác của họ vẫn sẽ có hiệu lực.
🔍 Bạn có thể thấy sự phân cấp này khi xem chứng thư của một trang web sử dụng kết nối riêng tư trong trình duyệt. Khi bạn nhấp vào hình ổ khóa bên cạnh URL, trình duyệt sẽ hướng dẫn bạn cách kiểm tra chứng thư.
Ảnh chụp màn hình các chứng chỉ cấp cho trang web Khan Academy. Hiển thị danh sách với "GlobalSign Root CA" ở trên cùng, sau đó là "GlobalSign CloudSSL CA", sau đó là "khan.map.fastly.net".
Chuỗi tín nhiệm KhanAcademy.org gồm một cơ quan cấp chứng thư trung gian.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Bạn có câu hỏi nào về chủ đề này không? Chúng tôi rất vui lòng được hỗ trợ bạn — hãy để lại câu hỏi ở mục câu hỏi phía dưới nhé!

Tham gia cuộc thảo luận?

Chưa có bài đăng nào.
Bạn có hiểu Tiếng Anh không? Bấm vào đây để thấy thêm các thảo luận trên trang Khan Academy Tiếng Anh.