Hãy tưởng tượng như thế này: bạn viết vào một tấm bưu thiếp tất cả thông tin, mã số két cá nhân, mã tài khoản ngân hàng… rồi dán tem bỏ vào hòm thư để nó cho cả thế giới biết. Dĩ nhiên là không ai ngốc nghếch đến mức làm chuyện đó. Nhưng thế mà có đấy! Mỗi ngày, bạn đăng nhập username, password, gõ những thông tin quan trọng trên giao thức HTTP, nghĩa là bạn cũng đang “viết bưu thiếp”, chỉ có điều là bạn làm nó online mà thôi.
Phương pháp “an toàn”
Tất nhiên là chúng ta có một cách an toàn hơn cho những dữ liệu quan trọng, đó là HTTPS. Chữ “S” thừa ra ở đây là viết tắt của Secure – an toàn. Khi kết nối bằng giao thức HTTPS, người khác sẽ khó có thể biết bạn đang làm gì.
HTTPS đã có lịch sử phát triển khá dài, thậm chí có thể nói rằng nó sinh cùng thời với Web. Nhưng cho đến nay, giao thức này vẫn chỉ được sử dụng chủ yếu bởi những trang web có hoạt động chuyển tiền, trang web của các ngân hàng hoặc các cửa hàng trực tuyến. Nếu như có những trang web khác sử dụng HTTPS, thì họ cũng chỉ dùng nó cho một vài tác vụ nhất định mà thôi.
Bước ngoặt
Trong năm vừa qua, ngành bảo mật trực tuyến đã bị một vố đau khi công cụ FireSheep ra đời. Nó cho phép bất kỳ ai xem cookie cũng như dữ liệu truy cập của tất cả mọi người, những người đăng nhập vào những điểm truy cập công cộng: quán cà phê, điểm truy cập Wi-Fi hay tại thư viện. Những dữ liệu thu thập được thậm chí có cả mã số ngân hàng hay password hòm thư điện tử của rất nhiều người. Đòn đánh “chí mạng” này đã buộc một số lượng lớn các website phải thay đổi giao thức truy cập từ HTTP thành HTTPS.
Sau này, đến những trang web như Twitter cũng đã phải giới thiệu đến người dùng giao thức HTTPS, tránh
tình trạng username và password bị đánh cắp. Tuy nhiên giao thức an toàn này hiện tại vẫn chỉ có thể sử dụng trên máy tính, và bạn vẫn phải tự tay gõ “https” trước khi gõ tên miền Twitter.
Google đã thông báo rằng họ sẽ cho thêm chức năng truy cập qua HTTPS vào một số dịch vụ. Trong khi đó người sử dụng Firefox đã có thể dùng add-on để tự động bắt đầu chế độ duyệt web bằng HTTPS. Như vậy, thế giới mạng đang từng bước chuyển sang HTTPS. Vậy tại sao tất cả không cùng thay đổi, mà vẫn sử dụng song song hai giao thức kết nối như vậy?
Vì sao vẫn chưa phổ biến?
Để trả lời cho câu hỏi này, Ars Technica đã trao đổi với Yves Lafon, chuyên gia về HTTP cũng như HTTPS tại W3C. Vấn đề thật sự, theo Lafon, nếu như sử dụng HTTPS, mọi người sẽ mất đi quyền truy cập vào hệ thống bộ nhớ đệm lưu trữ. “Đây hoàn toàn chẳng phải là vấn đề khi máy chủ cũng như người sử dụng ở cùng khu vực. Nhưng những người ở Úc chẳng hạn, họ luôn muốn dữ liệu được lưu trữ tạm thời và có thể sử dụng ngay mà không phải chờ đợi khoảng thời gian truyền dữ liệu quá lớn từ những máy chủ ở các châu lục khác”.
Lafon cũng nói thêm về tốc độ truy cập khi chuyển giao thức từ HTTP sang HTTPS. Một cách ngắn gọn, với công nghệ hiện tại, việc tải một trang web sử dụng HTTPS sẽ chậm hơn nhiều so với HTTP.
Có những vấn đề mà những người thiết kế web gặp phải và họ cố gắng giải quyết, ví dụ như số tiền lớn họ phải bỏ ra để bảo đảm an ninh mạng cho trang web. Với những trang web nhỏ, việc này sẽ bị bỏ qua. Nhưng với những công ty lớn, những website có lưu lượng sử dụng cũng như chuyển khoản rất cao, thì không đơn giản như vậy.
Những trang web không đòi hỏi việc đăng nhập cũng như có chứa các dữ liệu quan trọng, thì việc chuyển đổi từ HTTP sang HTTPS và mất đi bộ nhớ đệm hoàn toàn không đem lại lợi ích gì cả. Tuy nhiên, đối với những trang web như Facebook, Google Apps hay Twitter, nhiều người sử dụng có thể sẵn sàng đánh đổi tốc độ truy cập lấy sự an toàn khi sử dụng dịch vụ.
Và thực tế, ngày càng nhiều trang web lớn cung cấp chức năng truy cập bằng HTTPS để người sử dụng có thể yên tâm hơn về chất lượng bảo mật. Bên cạnh đó, họ cũng bỏ ra khá nhiều công sức để rút ngắn lại khoảng cách khác biệt về tốc độ truy cập giữa HTTP và HTTPS.
Một vấn đề khác khi hoạt động trang web sử dụng giao thức kết nối HTTPS là cái giá của nó khá cao. Đó chính là lý do những trang web nhỏ có xu hướng “mặc kệ” lựa chọn tuyệt vời này. Tuy nhiên nếu một ngày đẹp trời nào đó trang web của bạn đột nhiên trở thành hàng “hot”, thì chắc chắn bạn không nên bỏ qua lựa chọn chuyển từ HTTP sang HTTPS nêu trên. Có lẽ lý do chủ yếu khiến mọi người không mấy mặn mà với HTTPS, đó là những trang web sử dụng giao thức này không thể chạy trên những máy chủ ảo.
Máy chủ ảo, phương pháp tuyệt vời và rẻ tiền nhất cho những nhà cung cấp mạng. Nó cho phép nhiều trang web có thể tồn tại trên cùng một hệ thống máy chủ vật lý thông thường, hàng trăm trang web khác nhau cùng chung một địa chỉ IP. Nhưng chúng chỉ hoạt động được trên giao thức kết nối HTTP. Với HTTPS, hệ thống đó sẽ trở thành “đồ bỏ”.
Tương lai
Ngoài những lý do kể trên, thật sự chẳng có lý do nào thật sự cản trở bước tiến của HTTPS. Hiện tại là như vậy, nhưng trong tương lai, với sự phát triển không ngừng của công nghệ, những lý do kể trên sẽ sớm được khắc phục. Tốc độ truy cập sẽ nhanh hơn, bộ nhớ đệm sẽ không cần thiết, và những máy chủ sẽ được cải tiến để phù hợp hơn với những giao thức truy cập an toàn hơn.
Bên cạnh đó là người sử dụng. Với những tiến bộ về tốc độ mạng kể trên, mối quan tâm của họ chắc chắn sẽ chuyển từ “trang web load nhanh bao nhiêu” sang “trang web này an toàn tới mức nào”.