Làm thế nào để mã hóa toàn bộ Web một cách tự do

How to Encrypt the Entire Web for Free

By Micah Lee, @micahflee, 11/21/2014

Theo: https://firstlook.org/theintercept/2014/11/20/non-profit-plans-encrypt-entire-web-free/

Bài được đưa lên Internet ngày: 21/11/2014

Lời người dịch: Bạn là ISP, bạn cung cấp dịch vụ hosting các website cho các khách hàng? Thế thì BẠN NHẤT ĐỊNH PHẢI ĐỌC BÀI NÀY TỚI CÙNG, vì nó sẽ giúp bạn bảo vệ các khách hàng của bạn, những người đóng tiền hàng tháng để nuôi sống bạn đấy. Micah Lee, tác giả của bài viết này, chính là tác giả của cuốn sách “Mã hóa làm việc. Làm thế nào để bảo vệ tính riêng tư của bạn trong kỷ nguyên giám sát của NSA” sẽ nói cho bạn biết, bạn có thể tiết kiệm tiền và bảo vệ những khách hàng của bạn bằng cách mã hóa toàn bộ web như thế nào với HTTPS ngay từ bây giờ.

Nếu chúng ta học được một điều gì đó từ các tiết lộ của Snowden, đó là những gì có thể bị gián điệp thì vẫn sẽ bị gián điệp. Vì sự hiện diện của những gì được sử dụng được biết như là World Wide Web, vấn đề khá là đơn giản đối với những kẻ tấn công mạng - bất kể là NSA, tình báo Trung Quốc, ông chủ của bạn, đại học của bạn, các đối tác lạm dụng hoặc những kẻ tấn công vị thành niên vào cùng y hệt mạng Wifi công cộng như bạn - để gián điệp hầu hết mọi điều bạn làm trên trực tuyến.

HTTPS, công nghệ mà mã hóa giao thông giữa các trình duyệt và các website, sửa lỗi này - bất kỳ ai đang nghe dòng dữ liệu đó giữa bạn và, ví dụ, cửa số Gmail của bạn hoặc website ngân hàng của bạn có thể không lấy được gì ngoài các ký tự ngẫu nhiên vô dụng - nhưng được sử dụng ít tới mức đáng thương. Dự án phi lợi nhuận mới đầy tham vọng Hãy Mã hóa (Let’s Encrypt) nhằm làm cho quá trình triển khai HTTPS không chỉ nhanh, đơn giản, và tự do, mà còn hoàn toàn tự động. Nếu nó thành công, dự án đó sẽ làm cho các vùng khổng lồ của Internet trở thành không nhìn thấy được đối với các con mắt săm soi.

Vì sao nếu web được mã hóa lại là tâm điểm?

Những lợi ích của việc sử dụng HTTPS là rõ ràng khi bạn nghĩ về việc bảo vệ các thông tin bí mật mà bạn gửi qua Internet, giống như các mật khẩu và các số thẻ tín dụng. Nó cũng giúp bảo vệ thông tin giống những gì bạn tìm kiếm trên Google, những bài báo bạn đọc, những đơn thuốc bạn lấy, và các thông điệp bạn gửi cho các đồng nghiệp, bạn bè, và gia đình khỏi bị các tin tặc hoặc các nhà chức trách giám sát.

Nhưng cũng có ít lợi ích rõ ràng hơn. Các website mà không sử dụng HTTPS có khả năng bị tổn thương đối với “việc đột nhập phiên”, nơi mà những kẻ tấn công có thể chiếm lấy tài khoản của bạn thậm chí nếu chúng không biết mật khẩu của bạn. Khi bạn tải về phần mềm không mã hóa, những kẻ tấn công tinh vi phức tạp có thể bí mật thay thế bản tải về đó bằng phần mềm độc hại mà đột nhập vào máy tính của bạn ngay khi bạn cố cài đặt nó.

Mã hóa cũng ngăn chặn những kẻ tấn công khỏi việc giả mạo hoặc thủ vai các website hợp pháp. Ví dụ, Chính phủ Trung Quốc kiểm duyệt các trang đặc biệt trên Wikipedia, FBI đã thủ vai The Seattle Times để có được sự hoài nghi nháy vào một liên kết độc hại, và Verizon và AT&T đã tiêm vào các thẻ token theo dõi trong giao thông di động mà không có sự đồng ý của người sử dụng. HTTPS đi theo cùng trong việc ngăn chặn các dạng tấn công đó.

Và tất nhiên là NSA, cơ quan dựa vào sự áp dụng hạn chế của HTTPS để tiếp tục gián điệp toàn bộ Internet mà không bị trừng phạt. Nếu các công ty muốn làm một điều để bảo vệ một cách có ý nghĩa các khách hàng của họ khỏi sự giám sát, thì công ty nên thực hiện mã hóa trên các website của họ một cách mặc định.

Thế thì vì sao tất cả các website còn chưa sử dụng HTTPS?

Việc thiết lập HTTPS trên một website là phức tạp và dễ bị lỗi, đòi hỏi làm việc với các cơ quan chứng thực - các công ty mà sẽ chứng thực số cho các khóa mã hóa của bạn sao cho trình duyệt của bạn biết được những website nào là hợp pháp - và có thể là đắt giá, bất kể thực tế là công nghệ mà HTTPS dựa vào là nguồn mở và có sẵn tự do cho bất kỳ ai.

Nhiều công ty đặt chỗ hosting web lấy quá nhiều tiền mỗi tháng để sử dụng HTTPS, và một vài công ty không hỗ trợ nó hoàn toàn. Hơn nữa, các website mà sử dụng HTTPS không thể nhúng nội dung từ các website mà không dùng HTTPS. Điều này có nghĩa là các site dựa vào các mạng quảng cáo cũ trước kia mà không hỗ trợ mã hóa cần phải chuyển các mạng quảng cáo trước khi bản thân họ có thể bắt đầu sử dụng mã hóa.

Intercept là một trong số ít các site tin tức sử dụng mặc định HTTPS. Nhưng mọi điều đang thay đổi. Tờ New York Times đã đưa ra một thách thức cho các website tin tức bạn bè để chuyển sang mặc định HTTPS vào cuối năm 2015.

Vậy Let's Encript làm gì khác?

Xem Video: https://www.youtube.com/watch?feature=player_embedded&v=Gas_sSB-5SU

Let’s Encrypt, nó đã được công bố vào tuần này nhưng sẽ còn chưa sẵn sàng để sử dụng cho tới quý 2 năm 2015, mô tả bản thân nó như là “một cơ quan chứng thực - CA (Certificate Authority) tự do, tự động và mở, chạy vì lợi ích của công chúng”. Đây là sản phẩm của nhiều năm làm việc từ các kỹ sư ở Mozilla, Cisco, Akamai, Electronic Frontier Foundation, IdenTrust, và các nhà nghiên cứu ở Đại học Michigan. (Hé mở: Tôi đã sử dụng để làm việc cho Quỹ Biên giới Điện tử - EFF, và tôi nhận thức được về Let's Encrypt khi nó còn đang được phát triển).

Nếu Let’s Encrypt làm việc như được quảng cáo, thì việc triển khai HTTPS đúng và việc sử dụng tất cả các thực tiễn tốt nhất sẽ là một trong nhưng phần đơn giản nhất của việc quản lý một website. Tất cả điều sẽ phải thực hiện là chạy một lệnh. Hiện hành, HTTPS đòi hỏi việc nhảy qua một loạt các bước nhảy lò cò phức tạp mà các cơ quan chứng thực khăng khăng để chứng minh quyền sở hữu các tên miền. Let’s Encrypt tự động hóa tác vụ này trong vài giây, không đòi hỏi bất kỳ sự can thiệp nào của con người, và không có chi phí nào.

Sự chuyển dịch sang một web được mã hóa hoàn toàn sẽ không là ngay lập tức. Sau khi Let's Encrypt sẵn sàng ra công khai vào năm 2015, từng website sẽ phải thực sự sử dụng nó để chuyển qua. Và các công ty đặt chỗ hosting web chủ chốt cũng cần nhảy lò cò lên đó vì các khách hàng của họ để có khả năng có ưu thế về nó. Nếu các công ty đặt chỗ hosting bắt đầu làm việc bây giờ để tích hợp Let's Encrypt vào các dịch vụ của họ, thì họ có thể chào việc đặt chỗ hosting HTTPS một cách mặc định và không có chi phí thêm nào cho tất cả các khách hàng của họ vào thời điểm nó ra đời.

Điều quan trọng để nhận thức rằng mục tiêu của Let's Encript là để lan truyền sự hỗ trợ HTTPS ra khắp web vốn dĩ không an toàn, nhưng không nhất thiết phải sửa tất cả các vấn đề với cách mà HTTPS hiện đang làm việc.

Hệ thống hiện hành dựa vào một danh sách lớn các tổ chức được tin cậy mà đưa ra các chứng thực để chứng thực cho sự xác thực của các website. Nếu một trong số họ bị đột nhập - điều đã từng xảy ra - hoặc nếu một chính phủ nào đó ép họ phải chứng thực cho các website độc hại, thì nó có thể làm xói mòn an toàn của HTTPS. Điều này luôn là một vấn đề với giao thức này.

Vì thế một web được mã hóa đầy đủ có thể sẽ không là hết sức rõ ràng chống lại được các cuộc tấn công. Nhưng có thể nghiêm túc đặt sự giám sát Internet khỏi làm việc, ép các cơ quan gián điệp phải ngắm vào các website đặc biệt cho cuộc tấn công (và rủi ro bị bắt) thay vì âm thầm thu thập nó tất tật mà không có ai có bất kỳ cách gì để biết. Và các cuộc tấn công chống lại HTTPS là không với tới được đối với hầu hết các tin tặc mà không thể gửi các lệnh hợp pháp tới các cơ quan chứng thực - làm cho tất cả những người sử dụng Internet an toàn hơn.

Gửi thư điện tử cho tác giả: micah.lee@theintercept.com

If we’ve learned one thing from the Snowden revelations, it’s that what can be spied on will be spied on. Since the advent of what used to be known as the World Wide Web, it has been a relatively simple matter for network attackers—whether it’s the NSA, Chinese intelligence, your employer, your university, abusive partners, or teenage hackers on the same public WiFi as you—to spy on almost everything you do online.

HTTPS, the technology that encrypts traffic between browsers and websites, fixes this problem—anyone listening in on that stream of data between you and, say, your Gmail window or bank’s web site would get nothing but useless random characters—but is woefully under-used. The ambitious new non-profit Let’s Encrypt aims to make the process of deploying HTTPS not only fast, simple, and free, but completely automatic. If it succeeds, the project will render vast regions of the internet invisible to prying eyes.

Why does it matter if the web is encrypted?

The benefits of using HTTPS are obvious when you think about protecting secret information you send over the internet, like passwords and credit card numbers. It also helps protect information like what you search for in Google, what articles you read, what prescription medicine you take, and messages you send to colleagues, friends, and family from being monitored by hackers or authorities.

But there are less obvious benefits as well. Websites that don’t use HTTPS are vulnerable to “session hijacking,” where attackers can take over your account even if they don’t know your password. When you download software without encryption, sophisticated attackers can secretly replace the download with malware that hacks your computer as soon as you try installing it.

Encryption also prevents attackers from tampering with or impersonating legitimate websites. For example, the Chinese government censors specific pages on Wikipedia, the FBI impersonated The Seattle Times to get a suspect to click on a malicious link, and Verizon and AT&T injected tracking tokens into mobile traffic without user consent. HTTPS goes a long way in preventing these sorts of attacks.

And of course there’s the NSA, which relies on the limited adoption of HTTPS to continue to spy on the entire internet with impunity. If companies want to do one thing to meaningfully protect their customers from surveillance, it should be enabling encryption on their websites by default.

So why don’t all websites already use HTTPS?

Setting up HTTPS on a website is complicated and error-prone, requires dealing with certificate authorities—companies that will digitally vouch for your encryption keys so your browser knows what web sites are legitimate—and can be expensive, despite the fact that the technology that HTTPS is based on is open source and freely available to everyone.

Many web hosting companies charge extra money each month to use HTTPS, and some don’t support it at all. Additionally, websites that use HTTPS can’t embed content from websites that don’t. This means that sites that rely on legacy advertising networks that don’t support encryption need to switch ad networks before they can start using encryption themselves.

The Intercept is one of the few news websites that uses HTTPS by default. But things are changing. The New York Times has issued a challenge to fellow news websites to switch to HTTPS by default by the end of 2015.

What does Let’s Encrypt do differently?

Video link: https://www.youtube.com/watch?feature=player_embedded&v=Gas_sSB-5SU

Let’s Encrypt, which was announced this week but won’t be ready to use until the second quarter of 2015, describes itself as “a free, automated, and open certificate authority (CA), run for the public’s benefit.” It’s the product of years of work from engineers at Mozilla, Cisco, Akamai, Electronic Frontier Foundation, IdenTrust, and researchers at the University of Michigan. (Disclosure: I used to work for the Electronic Frontier Foundation, and I was aware of Let’s Encrypt while it was being developed.)

If Let’s Encrypt works as advertised, deploying HTTPS correctly and using all of the best practices will be one of the simplest parts of running a website. All it will take is running a command. Currently, HTTPS requires jumping through a variety of complicated hoops that certificate authorities insist on in order prove ownership of domain names. Let’s Encrypt automates this task in seconds, without requiring any human intervention, and at no cost.

The transition to a fully encrypted web won’t be immediate. After Let’s Encrypt is available to the public in 2015, each website will have to actually use it to switch over. And major web hosting companies also need to hop on board for their customers to be able to take advantage of it. If hosting companies start work now to integrate Let’s Encrypt into their services, they could offer HTTPS hosting by default at no extra cost to all their customers by the time it launches.

It’s important to realize that the goal of Let’s Encrypt is to spread HTTPS support across the inherently insecure web, but not necessarily to fix all of the problems with how HTTPS currently works.

The current system relies on a large list of trusted organizations that issue certificates to vouch for the authenticity of web sites. If one of these gets hacked—which has happened—or if a government compels them to vouch for malicious websites, it can undermine the security of HTTPS. This has always been an issue with the protocol.

So a fully-encrypted web would not be foolproof against attacks. But it would seriously impede dragnet internet surveillance from working, forcing spy agencies to target specific websites for attack (and risk getting caught) rather than silently gathering it all up without anyone having any way of knowing. And attacks against HTTPS are out-of-reach for most hackers that can’t send legal orders to certificate authorities—making all internet users safer.

Email the author: micah.lee@theintercept.com

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com