How
to Encrypt the Entire Web for Free
By
Micah Lee, @micahflee, 11/21/2014
Bài
được đưa lên Internet ngày: 21/11/2014
Lời người dịch: Bạn là ISP, bạn cung cấp dịch vụ hosting các website cho các khách hàng? Thế thì BẠN NHẤT ĐỊNH PHẢI ĐỌC BÀI NÀY TỚI CÙNG, vì nó sẽ giúp bạn bảo vệ các khách hàng của bạn, những người đóng tiền hàng tháng để nuôi sống bạn đấy. Micah Lee, tác giả của bài viết này, chính là tác giả của cuốn sách “Mã hóa làm việc. Làm thế nào để bảo vệ tính riêng tư của bạn trong kỷ nguyên giám sát của NSA” sẽ nói cho bạn biết, bạn có thể tiết kiệm tiền và bảo vệ những khách hàng của bạn bằng cách mã hóa toàn bộ web như thế nào với HTTPS ngay từ bây giờ.
Nếu
chúng ta học được một điều gì đó từ các tiết lộ
của Snowden, đó là những gì có thể bị gián điệp thì
vẫn sẽ bị gián điệp. Vì sự hiện diện của những
gì được sử dụng được biết như là World Wide Web, vấn
đề khá là đơn giản đối với những kẻ tấn công
mạng - bất kể là NSA, tình báo Trung Quốc, ông chủ của
bạn, đại học của bạn, các đối tác lạm dụng hoặc
những kẻ tấn công vị thành niên vào cùng y hệt mạng
Wifi công cộng như bạn - để gián điệp hầu hết mọi
điều bạn làm trên trực tuyến.
HTTPS,
công nghệ mà mã hóa giao thông giữa các trình duyệt và
các website, sửa lỗi này - bất kỳ ai đang nghe dòng dữ
liệu đó giữa bạn và, ví dụ, cửa số Gmail của bạn
hoặc website ngân hàng của bạn có thể không lấy được
gì ngoài các ký tự ngẫu nhiên vô dụng - nhưng được
sử dụng ít tới mức đáng thương. Dự án phi lợi nhuận
mới đầy tham vọng Hãy Mã hóa (Let’s
Encrypt) nhằm làm cho quá trình triển khai HTTPS không
chỉ nhanh, đơn giản, và tự do, mà còn hoàn toàn tự
động. Nếu nó thành công, dự án đó sẽ làm cho các
vùng khổng lồ của Internet trở thành không nhìn thấy
được đối với các con mắt săm soi.
Vì
sao nếu web được mã hóa lại là tâm điểm?
Những
lợi ích của việc sử dụng HTTPS là rõ ràng khi bạn
nghĩ về việc bảo vệ các thông tin bí mật mà bạn gửi
qua Internet, giống như các mật khẩu và các số thẻ tín
dụng. Nó cũng giúp bảo vệ thông tin giống những gì bạn
tìm kiếm trên Google, những bài báo bạn đọc, những đơn
thuốc bạn lấy, và các thông điệp bạn gửi cho các
đồng nghiệp, bạn bè, và gia đình khỏi bị các tin tặc
hoặc các nhà chức trách giám sát.
Nhưng
cũng có ít lợi ích rõ ràng hơn. Các website mà không sử
dụng HTTPS có khả năng bị tổn thương đối với “việc
đột nhập phiên”, nơi mà những kẻ tấn công có thể
chiếm lấy tài khoản của bạn thậm chí nếu chúng không
biết mật khẩu của bạn. Khi bạn tải về phần mềm
không mã hóa, những kẻ tấn công tinh vi phức tạp có
thể bí mật thay thế bản tải về đó bằng phần mềm
độc hại mà đột nhập vào máy tính của bạn ngay khi
bạn cố cài đặt nó.
Mã
hóa cũng ngăn chặn những kẻ tấn công khỏi việc giả
mạo hoặc thủ vai các website hợp pháp. Ví dụ, Chính
phủ Trung Quốc kiểm duyệt các trang đặc biệt trên
Wikipedia, FBI
đã thủ vai The Seattle Times để có được sự hoài
nghi nháy vào một liên kết độc hại, và Verizon
và AT&T đã tiêm vào các thẻ token theo dõi trong
giao thông di động mà không có sự đồng ý của người
sử dụng. HTTPS đi theo cùng trong việc ngăn chặn các dạng
tấn công đó.
Và
tất nhiên là NSA, cơ quan dựa vào sự áp dụng hạn chế
của HTTPS để tiếp tục gián điệp toàn bộ Internet mà
không bị trừng phạt. Nếu các công ty muốn làm một
điều để bảo vệ một cách có ý nghĩa các khách hàng
của họ khỏi sự giám sát, thì công ty nên thực hiện
mã hóa trên các website của họ một cách mặc định.
Thế
thì vì sao tất cả các website còn chưa sử dụng HTTPS?
Việc
thiết lập HTTPS trên một website là phức tạp và dễ bị
lỗi, đòi hỏi làm việc với các cơ quan chứng thực -
các công ty mà sẽ chứng thực số cho các khóa mã hóa
của bạn sao cho trình duyệt của bạn biết được những
website nào là hợp pháp - và có thể là đắt giá, bất
kể thực tế là công nghệ mà HTTPS dựa vào là nguồn mở
và có sẵn tự do cho bất kỳ ai.
Nhiều
công ty đặt chỗ hosting web lấy quá nhiều tiền mỗi
tháng để sử dụng HTTPS, và một vài công ty không hỗ
trợ nó hoàn toàn. Hơn nữa, các website mà sử dụng HTTPS
không thể nhúng nội dung từ các website mà không dùng
HTTPS. Điều này có nghĩa là các site dựa vào các mạng
quảng cáo cũ trước kia mà không hỗ trợ mã hóa cần
phải chuyển các mạng quảng cáo trước khi bản thân họ
có thể bắt đầu sử dụng mã hóa.
Intercept
là một trong số
ít các site tin tức sử dụng mặc định HTTPS. Nhưng
mọi điều đang thay đổi. Tờ New York Times đã đưa
ra một thách thức cho các website tin tức bạn bè để
chuyển sang mặc định HTTPS vào cuối năm 2015.
Vậy
Let's Encript làm gì khác?
Let’s
Encrypt, nó đã được công bố vào tuần này nhưng sẽ
còn chưa sẵn sàng để sử dụng cho tới quý 2 năm 2015,
mô tả bản thân nó như là “một cơ quan chứng thực -
CA (Certificate Authority) tự do, tự động và mở, chạy vì
lợi ích của công chúng”. Đây là sản phẩm của nhiều
năm làm việc từ các kỹ sư ở Mozilla, Cisco, Akamai,
Electronic Frontier Foundation, IdenTrust, và các nhà nghiên cứu
ở Đại học Michigan. (Hé mở: Tôi đã sử dụng để làm
việc cho Quỹ Biên giới Điện tử - EFF, và tôi nhận
thức được về Let's Encrypt khi nó còn đang được phát
triển).
Nếu
Let’s Encrypt làm việc như được quảng cáo, thì việc
triển khai HTTPS đúng và việc sử dụng tất cả các thực
tiễn tốt nhất sẽ là một trong nhưng phần đơn giản
nhất của việc quản lý một website. Tất cả điều sẽ
phải thực hiện là chạy một lệnh. Hiện hành, HTTPS đòi
hỏi việc nhảy qua một loạt các bước nhảy lò cò phức
tạp mà các cơ quan chứng thực khăng khăng để chứng
minh quyền sở hữu các tên miền. Let’s Encrypt tự
động hóa tác vụ này trong vài giây, không đòi hỏi
bất kỳ sự can thiệp nào của con người, và không có
chi phí nào.
Sự
chuyển dịch sang một web được mã hóa hoàn toàn sẽ
không là ngay lập tức. Sau khi Let's Encrypt
sẵn sàng ra công khai vào năm 2015, từng website sẽ phải
thực sự sử dụng nó để chuyển qua. Và các công ty đặt
chỗ hosting web chủ chốt cũng cần nhảy lò cò lên đó
vì các khách hàng của họ để có khả năng có ưu thế
về nó. Nếu các công ty đặt chỗ hosting bắt đầu làm
việc bây giờ để tích hợp Let's Encrypt vào các dịch vụ
của họ, thì họ có thể chào việc đặt chỗ hosting
HTTPS một cách mặc định và không có chi phí thêm nào
cho tất cả các khách hàng của họ vào thời điểm nó
ra đời.
Điều
quan trọng để nhận thức rằng mục tiêu của Let's
Encript là để lan truyền sự hỗ trợ HTTPS ra khắp web
vốn dĩ không an toàn, nhưng không nhất thiết phải sửa
tất cả các vấn đề với cách mà HTTPS hiện đang làm
việc.
Hệ
thống hiện hành dựa vào một danh sách lớn các tổ chức
được tin cậy mà đưa ra các chứng thực để chứng
thực cho sự xác thực của các website. Nếu một trong số
họ bị đột nhập - điều
đã từng xảy ra - hoặc nếu một chính phủ nào đó
ép họ phải chứng thực cho các website độc hại, thì nó
có thể làm xói mòn an toàn của HTTPS. Điều này luôn là
một vấn đề với giao thức này.
Vì
thế một web được mã hóa đầy đủ có thể sẽ không
là hết sức rõ ràng chống lại được các cuộc tấn
công. Nhưng có thể nghiêm túc đặt sự giám sát Internet
khỏi làm việc, ép các cơ quan gián điệp phải ngắm vào
các website đặc biệt cho cuộc tấn công (và rủi ro bị
bắt) thay vì âm thầm thu thập nó tất tật mà không có
ai có bất kỳ cách gì để biết. Và các cuộc tấn công
chống lại HTTPS là không với tới được đối với hầu
hết các tin tặc mà không thể gửi các lệnh hợp pháp
tới các cơ quan chứng thực - làm cho tất cả những
người sử dụng Internet an toàn hơn.
Gửi
thư điện tử cho tác giả: micah.lee@theintercept.com
If
we’ve learned one thing from the Snowden revelations, it’s that
what can be spied on will be spied on. Since the advent of what used
to be known as the World Wide Web, it has been a relatively simple
matter for network attackers—whether it’s the NSA, Chinese
intelligence, your employer, your university, abusive partners, or
teenage hackers on the same public WiFi as you—to spy on almost
everything you do online.
HTTPS,
the technology that encrypts traffic between browsers and websites,
fixes this problem—anyone listening in on that stream of data
between you and, say, your Gmail window or bank’s web site would
get nothing but useless random characters—but is woefully
under-used. The ambitious new non-profit Let’s
Encrypt aims to make the process of deploying HTTPS not only
fast, simple, and free, but completely automatic. If it succeeds, the
project will render vast regions of the internet invisible to prying
eyes.
Why
does it matter if the web is encrypted?
The
benefits of using HTTPS are obvious when you think about protecting
secret information you send over the internet, like passwords and
credit card numbers. It also helps protect information like what you
search for in Google, what articles you read, what prescription
medicine you take, and messages you send to colleagues, friends, and
family from being monitored by hackers or authorities.
But
there are less obvious benefits as well. Websites that don’t use
HTTPS are vulnerable to “session hijacking,” where attackers can
take over your account even if they don’t know your password. When
you download software without encryption, sophisticated attackers can
secretly replace the download with malware that hacks your computer
as soon as you try installing it.
Encryption
also prevents attackers from tampering with or impersonating
legitimate websites. For example, the Chinese
government censors specific pages on Wikipedia, the FBI
impersonated The Seattle Times to get a suspect to click on a
malicious link, and Verizon
and AT&T injected tracking tokens into mobile traffic without
user consent. HTTPS goes a long way in preventing these sorts of
attacks.
And
of course there’s the NSA, which relies on the limited adoption of
HTTPS to continue to spy on the entire internet with impunity. If
companies want to do one thing to meaningfully protect their
customers from surveillance, it should be enabling encryption on
their websites by default.
So
why don’t all websites already use HTTPS?
Setting
up HTTPS on a website is complicated and error-prone, requires
dealing with certificate authorities—companies that will digitally
vouch for your encryption keys so your browser knows what web sites
are legitimate—and can be expensive, despite the fact that the
technology that HTTPS is based on is open source and freely available
to everyone.
Many
web hosting companies charge extra money each month to use HTTPS, and
some don’t support it at all. Additionally, websites that use HTTPS
can’t embed content from websites that don’t. This means that
sites that rely on legacy advertising networks that don’t support
encryption need to switch ad networks before they can start using
encryption themselves.
The
Intercept is one of the few
news websites that uses HTTPS by default. But things are
changing. The New York Times has issued
a challenge to fellow news websites to switch to HTTPS by default
by the end of 2015.
What
does Let’s Encrypt do differently?
Let’s
Encrypt, which was announced this week but won’t be ready to use
until the second quarter of 2015, describes itself as “a free,
automated, and open certificate authority (CA), run for the public’s
benefit.” It’s the product of years of work from engineers at
Mozilla, Cisco, Akamai, Electronic Frontier Foundation, IdenTrust,
and researchers at the University of Michigan. (Disclosure: I used to
work for the Electronic Frontier Foundation, and I was aware of Let’s
Encrypt while it was being developed.)
If
Let’s Encrypt works as advertised, deploying HTTPS correctly and
using all of the best practices will be one of the simplest parts of
running a website. All it will take is running a command. Currently,
HTTPS requires jumping through a variety of complicated hoops that
certificate authorities insist on in order prove ownership of domain
names. Let’s Encrypt automates
this task in seconds, without requiring any human intervention,
and at no cost.
The
transition to a fully encrypted web won’t be immediate. After Let’s
Encrypt is available to the public in 2015, each website will have to
actually use it to switch over. And major web hosting companies also
need to hop on board for their customers to be able to take advantage
of it. If hosting companies start work now to integrate Let’s
Encrypt into their services, they could offer HTTPS hosting by
default at no extra cost to all their customers by the time it
launches.
It’s
important to realize that the goal of Let’s Encrypt is to spread
HTTPS support across the inherently insecure web, but not necessarily
to fix all of the problems with how HTTPS currently works.
The
current system relies on a large list of trusted organizations that
issue certificates to vouch for the authenticity of web sites. If one
of these gets hacked—which
has happened—or if a government compels them to vouch for
malicious websites, it can undermine the security of HTTPS. This has
always been an issue with the protocol.
So
a fully-encrypted web would not be foolproof against attacks. But it
would seriously impede dragnet internet surveillance from working,
forcing spy agencies to target specific websites for attack (and risk
getting caught) rather than silently gathering it all up without
anyone having any way of knowing. And attacks against HTTPS are
out-of-reach for most hackers that can’t send legal orders to
certificate authorities—making all internet users safer.
Email
the author: micah.lee@theintercept.com
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.