HTTPS và HSTS :D

Nói chung nhờ có mấy cái tool và hình ảnh cụ thể, nên mình nghĩ ai đọc bài này cũng dễ hình dung lắm 😀
Thật ra cái này nó liên quan tới bảo mật nhiều hơn là speed, có điều em nghịch speed nó lại đá sang thì cũng lỡ rồi vại ^_^
Nói sơ lược, thì cài HTTPS là viết tắt của “Hypertext Transfer Protocol Secure”, nó là một sự kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet. Giao thức HTTPS thường được dùng trong các giao dịch cần tính bảo mật cao, lý thuyết thì 100% các trang thương mại điện tử, shop online này nọ bắt buộc phải cài vào để bảo mật thông tin (ờ, lý thuyết suông thôi hé, chứ cài vào mà ngon thì thiên hạ thái bình rồi)

OK, tiếp theo là HSTS, cái này êm cũng mới biết nó là gì lun, nó bắt nguồn từ thói quen sử dụng, bình thường ta gõ vào trình duyệt địa chỉ một trang web, thông thường hay là domain xong .com .net gì đó, hay kiểu mình thì là gõ domain xong Ctrl + Enter để nó tự thêm www đằng trước và .com đằng sau 😛 ờ, chứ chẳng ai ngồi gõ https://www.domain.com cả  …. vấn đề này thì phía setup hosting và code họ sẽ tự làm, để khi khách gõ http://domain.com nó sẽ tự chuyển về https://domain.com

Vấn đề tiếp theo nảy sinh, là chẳng thèng quản trị hosting hay code nào dám khẳng định 100% là tất cả các lần khách gõ http://domain.com nó sẽ tự chuyển về https://domain.com cả, thế là HSTS ra đời, HSTS là viết tắt của (HTTP Strict Transport Security), một chính sách bảo mật cần thiết để bảo vệ các trang web HTTPS chống lại các cuộc tấn công hạ cấp. HSTS đảm bảo rằng tất cả kết nối tới một website phải được mã hóa bằng giao thức HTTPS, và không bao giờ sử dụng giao thức HTTP 😀

Để làm được chuyện này, thì bạn phải cài SSL và setup thêm header( ‘Strict-Transport-Security: max-age=63072000; includeSubDomains; preload) xong thì yêu cầu hstspreload.org cấp phép, sau này gõ vào trình duyệt cái domain đó, nó sẽ nhớ là đã được yêu cầu là bắt buộc phải chạy bằng HTTPS (thời gian nhớ hiện tại là tối thiểu …. 1 năm) và nó cưỡng bức phải chạy HTTPS luôn 😛 và hiện tại thì 99% các trình duyệt đều đã được hỗ trợ preload rồi

Một ví dụ minh họa là trang paypal.com, một trang đã được hstspreload.org cấp phép
Hành trình bạn truy cập vào paypal.com cũng lắm, nó sẽ từ http://paypal.com -> https://paypal.com -> https://www.paypal.com 😀

Để ý chỗ này nhé, vì cái này mà mình lạc lối sang thèng HSTS đấy, đó là do domain paypal.com khi gõ vào trình duyệt, nó mặc định là phải chuyển sang https nên nó chỉ mất có 91 ms là chuyển qua, thèng https://paypal.com nó phải dùng 301 redirect để chuyển sang trang https://www.paypal.com nên mất tới 269 ms 😀 nghĩa là mất hơn gấp đôi thời gian á 😀

Ờ, nói chung là bách con mẹ nó bựa 😀 người ta sinh ra HSTS là để tăng tính bảo mật mà công dụng chính với mềnh là để load web nhanh thêm được cỡ 100 ms (nói dễ hiểu là 0.1s á) :))
Câu chuyện chỉ có thế thôi và êm cũng mới nộp đơn, chờ hstspreload.org nó cấp phép thôi ^_^

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *