Ngày nay, bạn sẽ thấy nhiều website có đường link bắt đầu từ https thay vì http như ngày xưa. Việc có thêm chữ s chứng tỏ website này đang sử dụng chứng chỉ Certificate để mã hóa dữ liệu khi gửi và nhận để đảm bảo an toàn cho người dùng khi duyệt web. Việc mã hóa này sẽ trải qua các công đoạn do Chuỗi chứng chỉ (Certificate chains) thực hiện. Trong bài viết này chúng ta sẽ tìm hiểu Cách thức hoạt động của chuỗi chứng chỉ nhé.
Chuỗi chứng chỉ (Certificate chains) chỉ được sử dụng để xác minh chứng chỉ người dùng cuối dựa trên danh sách trung gian và quyền root. Nghe có vẻ khó hiểu nhỉ? Khó hiểu thì đọc tiếp thôi.
Hiện nay có nhiều CA (cơ quan cấp chứng chỉ) thương mại mà người dùng phải trả phí khi sử dụng dịch vụ. Các tổ chức và chính phủ cũng có thể có những CA của riêng họ. Bên cạnh đó cũng có những CA cung cấp dịch vụ miễn phí.
Cơ quan cấp chứng chỉ
Để chứng chỉ SSL được tin cậy, chứng chỉ đó phải được cấp bởi cơ quan chứng nhận (CA). Nếu chứng chỉ không được cấp bởi một CA đáng tin cậy, thì thiết bị kết nối sẽ kiểm tra xem chứng chỉ của CA phát hành có được cung cấp bởi một CA đáng tin hay không. Do CA đóng vai trò là bên thứ ba (được cả hai bên tin tưởng) để hỗ trợ cho quá trình trao đổi thông tin an toàn.
Cơ quan cấp chứng chỉ chung
Các cơ quan cấp chứng chỉ thường được sử dụng, như Verisign, DigiCert và Entrust, đều được hầu hết các trình duyệt tự động chấp nhận. Tuy nhiên, nếu bạn tự tạo chứng chỉ riêng cho nội bộ để sử dụng, thì chứng chỉ đó khi ra Internet sẽ không đáng tin cậy, bạn sẽ bị trình duyệt của mình ngăn chặn khi bạn cố gắng kết nối.
Dưới đây là ví dụ về chứng chỉ SSL không đáng tin cậy. Nếu bạn vì một vài lý do nào đó mà muốn truy cập vào trang web bị tình trạng giống ví dụ dưới đây thì có thể tham khảo bài viết Hướng dẫn sửa lỗi “Your connection is not private” trên Windows 7 triệt để.
.
Vì khi CA có thể bị xâm nhập thì an toàn của hệ thống sẽ bị phá vỡ. Nếu kẻ tấn công (Mallory) có thể can thiệp để tạo ra một chứng thực giả được gắn khóa công khai của kẻ tấn công với định danh của người dùng khác (Alice) thì mọi giao dịch của người khác với Alice có thể bị Mallory can thiệp.
Chuỗi chứng chỉ hoạt động như thế nào
Giả dụ bạn quyết định mua chứng chỉ cho tên miền google.com từ một nhà cung cấp chứng chỉ có tên là certificates.ca. Điều quan trọng là certificates.ca không phải root nên CA này không đáng tin cậy.
Mội chuỗi chứng chỉ đáng tin phải được xây dựng bởi certificates.ca và tất cả chuỗi chứng chỉ bao gồm cả chứng chỉ trung gian đều phải là root.
Dưới đây là 5 ví dụ về chuỗi chứng chỉ:
- google.com – được cấp bởi certificates.ca (chứng chỉ người dùng cuối)
- Chứng chỉ trung giang – được cấp cho certificates.ca, bởi some-intermediate-1.ca
- Chứng chỉ trung giang – được cấp cho some-intermediate-1.ca, bởi some-intermediate-2.ca
- Chứng chỉ trung giang – được cấp cho some-intermediate-2.ca, bởi digicert.ca
- Chứng chỉ root – được cấp cho digicert.ca, bởi digicert.ca
-----BEGIN RSA PRIVATE KEY-----
(Your Private Key: your_domain_name.key)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
(Your Primary SSL certificate: your_domain_name.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Intermediate certificate: DigiCertCA.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Root certificate: TrustedRoot.crt)
-----END CERTIFICATE----- Cài đặt chứng chỉ
Khi bạn cài đặt chứng chỉ người dùng cuối, chẳng hạn như chứng chỉ trong ví dụ trên được mua từ certificates.ca, bạn phải gom các chứng chỉ trung gian lại và cài đặt chúng.
Chuỗi chứng chỉ này cho phép người nhận xác định rằng người gửi và tất cả các chứng chỉ trong chuỗi đều đáng tin cậy, nhưng nếu chuỗi chứng chỉ SSL không hợp lệ hoặc bị hỏng, chứng chỉ của bạn sẽ được tin cập bởi một số thiết bị.
Danh sách các CA
Dưới đây là danh sách một số CA được nhiều người biết đến. Khi sử dụng bất kỳ CA nào thì người sử dụng cũng phải tin vào CA đó. Trong trường hợp trình duyệt web đã nhận thấy chứng chỉ của trang web sắp truy cập đáng tin cậy thì trình duyệt đó sẽ cho người dùng truy cập vào. Còn trong trường hợp ngược lại thì người dùng sẽ đưa ra quyết định có tin vào CA đó hay không. Một số CA tự nhận rằng đã được 99% trình duyệt tin tưởng.
