Tweet
Xin chào bạn,
Khi lướt web, chúng ta thường thấy cái ổ khóa xanh (hoặc biểu tượng an toàn) trên thanh địa chỉ. Đằng sau cái ổ khóa đó là một hệ thống bảo mật cực kỳ tinh vi. Hôm nay mình xin chia sẻ góc nhìn thực tế về bộ ba: PKI, SSL và TLS. 1. SSL và TLS là gì? (Phần mềm & Giao thức)
Nhiều người vẫn gọi chung là "Chứng chỉ SSL", nhưng thực tế chúng ta đang dùng TLS.
Tóm lại: SSL là quá khứ, TLS là hiện tại. Chúng là giao thức để mã hóa dữ liệu truyền đi giữa trình duyệt (Client) và máy chủ (Server), đảm bảo không ai có thể "nghe lén" giữa đường. 2. PKI là gì? (Cơ sở hạ tầng & Con người)
Nếu TLS là "cách thức" giao tiếp, thì PKI (Public Key Infrastructure) chính là "hệ sinh thái" đứng sau để xác thực danh tính.
PKI không phải là một phần mềm duy nhất, mà là một tập hợp bao gồm:
Để dễ hình dung, hãy tưởng tượng việc bạn đi công chứng giấy tờ:
Luồng hoạt động (Handshake):
Kết luận
Không có PKI, TLS sẽ không biết mình đang trò chuyện an toàn với ai (dễ bị tấn công Man-in-the-Middle). Không có TLS, PKI chỉ là một đống giấy tờ xác thực mà không có cách nào để truyền tin bảo mật.
Hy vọng bài viết này giúp anh em phân biệt rõ ràng hơn về các thuật ngữ này khi triển khai hệ thống! Nếu có thắc mắc gì về việc cấu hình trên Nginx hay Apache, anh em cứ comment bên dưới nhé.
Khi lướt web, chúng ta thường thấy cái ổ khóa xanh (hoặc biểu tượng an toàn) trên thanh địa chỉ. Đằng sau cái ổ khóa đó là một hệ thống bảo mật cực kỳ tinh vi. Hôm nay mình xin chia sẻ góc nhìn thực tế về bộ ba: PKI, SSL và TLS. 1. SSL và TLS là gì? (Phần mềm & Giao thức)
Nhiều người vẫn gọi chung là "Chứng chỉ SSL", nhưng thực tế chúng ta đang dùng TLS.
- SSL (Secure Sockets Layer): Là "ông tổ" do Netscape phát triển từ những năm 90. Hiện tại, SSL đã bị khai tử (deprecated) vì chứa nhiều lỗ hổng bảo mật nghiêm trọng (như POODLE).
- TLS (Transport Layer Security): Là phiên bản kế nhiệm, bảo mật hơn và mạnh mẽ hơn của SSL. Bản mới nhất hiện nay là TLS 1.3.
Tóm lại: SSL là quá khứ, TLS là hiện tại. Chúng là giao thức để mã hóa dữ liệu truyền đi giữa trình duyệt (Client) và máy chủ (Server), đảm bảo không ai có thể "nghe lén" giữa đường. 2. PKI là gì? (Cơ sở hạ tầng & Con người)
Nếu TLS là "cách thức" giao tiếp, thì PKI (Public Key Infrastructure) chính là "hệ sinh thái" đứng sau để xác thực danh tính.
PKI không phải là một phần mềm duy nhất, mà là một tập hợp bao gồm:
- Digital Certificates (Chứng chỉ số): Như một "căn cước công dân" cho website.
- CA (Certificate Authority): Đơn vị uy tín cấp phát chứng chỉ (như Let's Encrypt, DigiCert).
- Cặp khóa Public/Private Key: Dùng để mã hóa và giải mã dữ liệu.
Để dễ hình dung, hãy tưởng tượng việc bạn đi công chứng giấy tờ:
- PKI giống như Hệ thống tư pháp và văn phòng công chứng. Nó quy định ai là người có quyền xác nhận bạn là ai (CA) và cấp cho bạn cái dấu mộc (Certificate).
- TLS giống như Quy trình làm việc. Khi bạn gặp đối tác, hai bên thỏa thuận sẽ nói chuyện với nhau bằng mật mã dựa trên cái dấu mộc (Certificate) mà PKI đã cấp.
Luồng hoạt động (Handshake):
- Bước 1: Trình duyệt kết nối đến Server, Server gửi Chứng chỉ số (thuộc hệ thống PKI) cho Trình duyệt.
- Bước 2: Trình duyệt kiểm tra xem chứng chỉ này có được ký bởi một CA uy tín không.
- Bước 3: Nếu ổn, hai bên sử dụng giao thức TLS để tạo ra một "đường ống" mã hóa an toàn nhằm trao đổi dữ liệu.
| Khái niệm | Vai trò chính | Trạng thái hiện tại |
| SSL | Giao thức mã hóa đời đầu | Đã lỗi thời, không nên dùng. |
| TLS | Giao thức mã hóa hiện đại | Tiêu chuẩn bắt buộc cho HTTPS. |
| PKI | Quản lý danh tính, khóa và chứng chỉ | Nền tảng để TLS có thể tin cậy được. |
Không có PKI, TLS sẽ không biết mình đang trò chuyện an toàn với ai (dễ bị tấn công Man-in-the-Middle). Không có TLS, PKI chỉ là một đống giấy tờ xác thực mà không có cách nào để truyền tin bảo mật.
Hy vọng bài viết này giúp anh em phân biệt rõ ràng hơn về các thuật ngữ này khi triển khai hệ thống! Nếu có thắc mắc gì về việc cấu hình trên Nginx hay Apache, anh em cứ comment bên dưới nhé.