HTTPS và HTTP – sự khác biệt là gì? Bài viết tổng hợp tới các bạn các giao thức trên nền tảng web hiện nay giúp các bạn hiểu rõ hơn trong làm seo hoặc tư vấn thiết kế web ban đầu. Bài viết tham khảo từ wikipedia, vnreview .v.v và một số nguồn khác.
Nội dung chính:
Định nghĩa về HTTP và HTTPS
HTTP là gì?
HTTP ( là viết tắt của cụm từ Tiếng Anh: HyperText Transfer Protocol – Giao thức truyền tải siêu văn bản) là một trong năm giao thức chuẩn của mạng Internet, được dùng để liên hệ thông tin giữa Máy cung cấp dịch vụ (Web server) và Máy sử dụng dịch vụ (Web client) trong mô hình Client/Server dùng cho World Wide Web-WWW, HTTP là một giao thức ứng dụng của bộ giao thức TCP/IP (các giao thức nền tảng cho Internet)………
HTTP cùng với HTML là phát kiến của Tim Berners-Lee ở CERN vào năm 1989 đứng sau là các tổ chức lớn (IETF) và World Wide Web Consortium (W3C), và đỉnh cao là việc công bố ra hàng loạt các bản RFC(Request for Comments).
Phiên bản đầu tiên của HTTP là HTTP V0.9 (1991). Năm 1995, David Ragger lãnh đạo nhóm HTTP Working Group (viết tắt HTTP WG) muốn mở rộng giao thức này đa dạng hơn như: thẻ meta-rich decription, và bảo mật hơn bằng cách thêm các phương thức khác và các trường header.
HTTPS là gì?
Còn HTTPS là viết tắt của từ HyperText Transfer Protocol Secure và chính là giao thức HTTP có sử dụng thêm các chứng chỉ SSL (secure Sockets Layer) giúp mã hóa dữ liệu truyền tải nhằm gia bảo mật giữa Web sever đến các trình duyệt web. Nói cách khác HTTPS là phiên bản HTTP nhưng an toàn hơn, bảo mật hơn. Giao thức HTTPS thường được dùng trong các giao dịch nhạy cảm cần tính bảo mật cao.
Giao thức HTTPS sử dụng port 443, giúp đảm bảo các tính chất sau của thông tin:
- Confidentiality: sử dụng phương thức mã hóa (encryption) để đảm bảo rằng các thông điệp được trao đổi giữa client và server không bị kẻ thứ ba đọc được.
- Integrity: sử dụng phương thức hashing để cả người dùng (client) và máy chủ (server) đều có thể tin tưởng rằng thông điệp mà chúng nhận được có không bị mất mát hay chỉnh sửa.
- Authenticity: sử dụng chứng chỉ số (digital certificate) để giúp client có thể tin tưởng rằng server/website mà họ đang truy cập thực sự là server/website mà họ mong muốn vào, chứ không phải bị giả mạo.
Việc nhờ đến bên thứ 3 (thường là CA) để xác thực danh tính của website cộng thêm sự chú ý của người dùng rằng website đó có sử dụng HTTPS và SSL certificate của nó còn hiệu lực sẽ giúp loại bỏ hoàn toàn nguy cơ bị lừa đảo.
Với nhận thức như hiện nay, việc bảo mật thông tin riêng tư, cá nhân là rất quan trọng. Do đó có rất nhiều website đã sử dụng HTTPS thay HTTP. Các trình duyệt web như Firefox, Chrome và IE như hiện nay đều hiển thị biểu tượng ổ khóa ở thanh địa chỉ để cho biết giao thức HTTPS có hoạt động trên trang web bạn truy cập vào hay không.
HTTP và HTTPS hoạt động trên trình duyệt khác nhau thế nào?
HTTP hoạt động trên mô hình Client (máy khách) –Server (máy chủ). Các máy khách sẽ gửi yêu cầu đến máy chủ và chờ sự hồi đáp của máy chủ. Để có thể trao đổi thông tin được với nhau, các mảy chủ và máy khách phải thực hiện trên một giao thức thống nhất, đó chính là HTTP.
Nói dễ hiểu hơn khi bạn nhập một địa chỉ web và ấn Enter, một lệnh HTTP sẽ được gửi lên máy chủ để yêu cầu tìm website bạn đã nhập. Sau khi máy chủ nhận được yêu cầu , nó sẽ trả lại tìm đến website được yêu cầu đó, và trả lại kết quả cho bạn bằng việc hiển thị website đó lên trình duyệt web của bạn. Quá trình này diễn ra nhanh hay chậm tùy thuộc vào tốc độ Internet của bạn.
HTTPS hoạt động tương tự như HTTP nhưng được bổ sung thêm SSL và giao thức TSL. Các giao thức này đảm bảo rằng không ai khác ngoài các máy khách và máy chủ có thể hack thông tin, dữ liệu ra ngoài. Cho dù bạn sử dụng máy tính cá nhân hay công cộng đi chăng nữa, các chứng chỉ SSL vẫn đảm bảo thông tin liên lạc của máy khách với máy chủ luôn được an toàn và chống bị dòm ngó.
Port trên HTTP và HTTPS
Định nghĩa đơn giản Port chính là một cổng để xác định thông tin nhận được trên máy khách sau đó phân loại gửi đến máy chủ. Mỗi một Port có số hiệu riêng với chức năng riêng biệt. Ví dụ như để gửi và nhận email được thực hiện qua Port 25, giao thức truyền tải file thực hiện qua Port 21. Còn HTTP sử dụng Port 80 trong khi HTTPS là Port 443.
Mã hóa trên HTTP và HTTPS
Như đã nói ở trên khi HTTPS được mã hóa thông tin, sử dụng SSL/ TSL tiêu chuẩn công nghệ bảo mật, truyền thông mã hóa giữa máy chủ Web server và trình duyệt. Với HTTP thì hoàn toàn không.
Mức độ bảo mật HTTP vs HTTPS
HTTPS hỗ trợ việc xác thực tính đích danh của website mà máy khách truy cập thông qua việc kiểm tra xác thực bảo mật (Security Certificate). Các xác thực bảo mật này được cung cấp và xác minh bởi các CA (Certificate Authority) uy tín. Khi được xác thực từ CA người dùng sẽ biết được mình đang truy cập vào đúng website cần tìm thay vì một web mạo danh nào đó. Việc bảo mật HTTPS không phải là 100% an toàn nhưng tốt hơn HTTP rất nhiều. Tất nhiên với HTTP không được mã hóa thông tin nên rất dễ bị Hacker tấn công.
Sử dụng HTTPS như thế nào
Trước hết, muốn áp dụng HTTPS thì trong quá trình cấu hình Webserver, bạn có thể dễ dàng tự tạo ra một SSL certificate dành riêng cho website của mình và nó được gọi là self-signed SSL certificate.
SSL certificate tự cấp này vẫn mang lại tính Confidentiality và Integrity cho quá trình truyền thông giữa server và client. Nhưng rõ ràng là không đạt được tính Authenticity bởi vì không có bên thứ 3 đáng tin cậy nào đứng ra kiểm chứng sự tính xác thực của certificate tự gán này. Điều này cũng giống như việc một người tự làm chứng minh nhân dân (CMND) cho mình rồi tự họ ký tên, đóng dấu luôn vậy!
Vì vậy, đối với các website quan trọng như E-Commerce, Online Payment, Web Mail,… thì họ sẽ mua một SSL certificate từ một Trusted Root CA nào đó như VeriSign, Comodo, GoDaddy,… Ở đây, các CA có nhiệm vụ chính là cấp phát và quản lý các certificate.
Https của Comodo |
Thực chất thì SSL certificate cũng là một loại digitial certificate (một loại file trên máy tính). Vì HTTPS có dính tới giao thức SSL nên người ta mới đặt tên cho nó là SSL certificate để phân biệt với các loại digital certificate khác như Personal Certificate, Server Certificate, Software Publisher Certificate, Certificate Authority Certificate.
HTTPS tác động đến Seo: Google nói Lợi thế khi chuyển sang HTTPS
Google tuyên bố rằng các trang web sử dụng HTTPS sẽ có một tín hiệu xếp hạng nhỏ vì những khía cạnh bảo mật này.
Tuy nhiên, các trang web HTTPS sẽ chỉ có nhận được một yếu tố và là “tín hiệu rất nhẹ” trong thuật toán xếp hạng tổng thể, mang ít trọng lượng hơn các tín hiệu khác như nội dung chất lượng cao.
Theo bảng các yếu tố tác động tới seo SEO thì thấy: dựa trên các thử nghiệm trước đó, tín hiệu HTTPS cho thấy “kết quả tích cực” về mức độ liên quan và xếp hạng trong kết quả tìm kiếm của Google. Các trang top 1 hiện nay hầu hết là https. Ngay cả báo lớn nhất nước Mỹ là CNN cũng đã chuyển toàn bộ hệ thống của mình sang HTTPS sau một thời gian dài nói không vs HTTPS.
Điều tương tự cũng dự đoán rằng điều này có thể thay đổi và Google có thể quyết định tăng cường tín hiệu hoặc cung cấp nhiều lợi ích hơn cho các trang web HTTPS bởi vì họ muốn giữ an toàn cho người dùng trực tuyến. Google trong những bài đăng trên blog gần đây đã xác nhận đây là một yếu tố để tăng hạng các trang web có HTTPS. Giống như hầu hết các tín hiệu xếp hạng khác, rất khó xác định được tỷ trọng trong các vấn đề xếp hạng. Về mặt tích cực, giá trị chuyển đổi sang HTTPS rất có thể sẽ tăng theo thời gian.
Kết luận : HTTPS và HTTP – sự khác biệt là gì?
HTTPS hiển nhiên là an toàn hơn so với HTTP rất nhiều trong việc mã hóa dữ liệu, bảo mật thông tin cá nhân. Tuy nhiên ưu điểm của HTTP là tốc độ phản hồi của website truy cập nhanh hơn HTTPS rất nhiều và được sử dụng cho các trang tin tức cần thông tin nhanh, còn phải nhập dữ liệu như tài khỏa ngân hàng, email cá nhân thì nên sử dụng HTTPS. Ngoài ra chúng ta cũng dễ dàng nhận biết với biểu tượng khóa ở thanh địa chỉ để phân biệt website đó có sử dụng HTTPs hay không.