@manhng

Welcome to my blog!

Transport Layer Security

December 21, 2018 13:42

Transport Layer Security (edit)

Bạn sẽ được hiểu hơn về SSL, TSL, HTTPS, cũng như các giao thức bảo mật khác.

TSL: Transport Layer Security

SSL: Secure Sockets Layer

HTTP: Hypertext Transfer Protocol

HTTPS: Hypertext Transfer Protocol Secure

TSL/SSL tiếng Việt

http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b3-9364-fe76366f1531&NewsID=a39b8892-697d-4732-8724-21e924f412d7

https://techblog.vn/tim-hieu-ve-giao-thuc-tls-transport-layer-security-mo-hinh-thuat-toan-rsa

https://viblo.asia/p/tim-hieu-ve-giao-thuc-tls-transport-layer-security-mo-hinh-thuat-toan-rsa-ZDEvLYNJGJb

https://viblo.asia/p/ssltls-la-gi-Do754wnBlM6

SSL cũ:

SSL 2.0
SSL 3.0

TSL cũ

TLS 1.0
TLS 1.1
TLS 1.2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
HKLM SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

TLS/SSL Settings

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn786418(v=ws.11)

Group Policy settings:

  • Triple Data Encryption Algorithm (Triple DES) for the TLS traffic encryption
  • Rivest-Shamir-Adleman (RSA) public key algorithm for the TLS key exchange and authentication
  • Secure Hash Algorithm version 1 (SHA-1) for TLS hashing

Update to enable TLS 1.1 and TLS 1.2 as default secure protocols in WinHTTP in Windows

https://support.microsoft.com/en-us/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi

Exchange TLS & SSL Best Practices

https://blogs.technet.microsoft.com/exchange/2015/07/27/exchange-tls-ssl-best-practices/

TSL mới

Transport Layer Security (TLS) 1.2+

HTTP/2, TLS 1.3

Phân loại của SSL/TLS (Xác minh tên miền, xác minh doanh nghiệp, xác minh EV)

  • SSL server certificate loại xác minh tên miền
  • SSL server certificate loại xác minh doanh nghiệp
  • SSL server certificate loại xác minh nâng cao EV (Extended Validation)

10 cách đảm bảo an toàn khi mua sắm trực tuyến vào dịp cuối năm

1. Chuyển trực tiếp đến trang web của cửa hàng thay vì sử dụng công cụ tìm kiếm để tìm kiếm giao dịch.Nếu người dùng vô tình sử dụng công cụ tìm kiếm để tìm thấy mặt hàng mình định mua với yêu cầu thanh toán thì nên thận trọng. Hãy thử xác minh việc này bằng cách tìm kiếm chính xác tên của mặt hàng và yêu cầu thanh toán đó trong dấu ngoặc kép xem có đưa đến trang web trực tiếp của cửa hàng hay không. Nếu mặt hàng và yêu cầu thanh toán đó là lừa đảo, thì có thể ai đó đã đưa ra cảnh báo cho điều này.

2. Cảnh giác trước các cửa sổ pop-up và các quảng cáo kỹ thuật số hấp dẫn. Trong quá trình mua sắm trực tuyến, có thể có nhiều cửa sổ bật lên có chứa phiếu giảm giá giả mạo, chuyển hướng người dùng đến các trang web độc hại, hoặc thực hiện cuộc tấn công chéo giữa các trang web. Nếu phiếu giảm giá quá hấp dẫn với một yêu cầu thanh toán thấp hơn nhiều so với thực tế, người dùng nên tắt nó đi ngay lập tức.

3. Cần xem xét kỹ các chiêu trò lừa đảo trên mạng xã hội, đặc biệt là trên Facebook. Tội phạm mạng đang sử dụng các tài khoản Facebook giả mạo hoặc bị hack để đăng liên kết đến các thỏa thuận mua bán không thực sự tồn tại. Đặc biệt là các liên kết trên các tường của các nhóm mở dành riêng cho việc mua sắm. Chris Boyd, chuyên gia phân tích mã độc của Malwarebytes cho biết: "Một trong những trò gian lận hàng đầu cần tránh xa trong thời điểm mua sắm cuối năm nay là các thông tin trên mạng giả mạo trên mạng xã hội". Các phiếu mua hàng, giao dịch giả mạo trên mạng xã hội thường có xu hướng có đuôi của tệp tin ở cuối liên kết. Nếu người dùng được yêu cầu chia sẻ một cái gì đó trên Facebook để có được các mặt hàng giảm giá hay các phiếu ưu đãi, cần xem xét kỹ liên kết mình định chia sẻ, tránh việc giúp tội phạm mạng mở rộng phạm vi lừa đảo.

4. Thận trọng trước các email quảng cáo có tệp tin đính kèm. Đặc biệt là các tệp tin zip vì có thể chứa phần mềm độc hại. Khi gặp trường hợp này, người dùng nên xóa email ngay lập tức, trừ trường hợp đó là email người dùng đã có thỏa thuận trước với người gửi về việc gửi tệp tin đính kèm. Ngoài ra, nên xem xét kỹ bất kỳ email khác có liên quan đến việc mua sắm trực tuyến của mình trước khi mở nó. Nếu người dùng nhận được email từ cửa hàng và yêu cầu có thỏa thuận thanh toán, hãy nhập URL của cửa hàng trực tiếp vào trình duyệt thay vì nhấp vào liên kết. Nếu trang web không xác minh thỏa thuận này, đó có thể là một liên kết giả.

5. Hãy đảm bảo đang kết nối an toàn. Cần chú ý biểu tượng ổ khóa màu xanh ở bên trái của URL khi người dùng kiểm tra các trang web mua sắm trực tuyến. Nếu có biểu tượng này có nghĩa là thông tin giao tiếp giữa máy chủ của cửa hàng và trình duyệt của người dùng vẫn còn riêng tư. Ngoài ra, cũng cần chú ý đến cả các URL "https" mà không chỉ "http".

6. Không nên sử dụng thẻ ghi nợ/thẻ tín dụng để mua hàng trực tuyến. Để đảm bảo an toàn cho việc mua sắm trực tuyến, người dùng không nên sử dụng thẻ ghi nợ/thẻ tín dụng để thanh toán trực tiếp khi mua hàng. Người dùng nên sử dụng các tài khoản của các công ty uy tín như PayPal hoặc ví điện tử được liên kết với thẻ ghi nợ/thẻ tín dụng để thanh toán. Điều này sẽ giảm rủi ro trong việc mất thông tin thẻ thanh toán cũng như tiền trong thẻ của người dùng.

7. Tránh sử dụng wifi công cộng để mua sắm trực tuyến. Việc lấy mật khẩu wifi công cộng không quá khó khăn đối với tội phạm mạng. Nếu người dùng mua sắm và nhập dữ liệu cá nhân, tốt nhất nên thực hiện nó trên kết nối wifi an toàn ở nhà.

8. Quan sát kỹ mã QR độc hại. Trong thời đại hiện nay, thanh toán bằng mã QR đã trở nên phổ biến. Mã QR là những mã nhỏ, được thể hiện bằng hình ảnh các chấm đen trên một ô vuông, có thể quét được bằng máy ảnh của điện thoại thông minh để thanh toán. Một số tin tặc đã bắt đầu tạo mã QR giả liên kết tới một trang web lừa đảo hoặc phần mềm độc hại, in chúng trên nhãn dán và dán đè lên mã QR hợp pháp. Tốt nhất người dùng chỉ nên thanh toán bằng mã QR trên các trang web trực tiếp của cửa hàng, không nên thanh toán trên các trang, tờ rơi quảng cáo/ khuyến mại.

9. Không cung cấp nếu được yêu cầu thêm quá nhiều thông tin khi thanh toán. Nếu trang web của cửa hàng yêu cầu thông tin cá nhân vượt quá nhiều so với thông tin thanh toán tiêu chuẩn, như số căn cước công dân hay các câu hỏi bí mật liên quan đến thông tin về bảo mật bằng mật khẩu, hãy dừng lại và cẩn trọng kiểm tra. Nếu cần thiết hãy dừng việc thanh toán và xác minh trực tiếp với bộ phận hỗ trợ của cửa hàng.

10. Tăng cường kiểm tra thiết bị sử dụng trước khi mua sắm trực tuyến trong dịp này. Trước khi sử dụng thiết bị để mua sắm trực tuyến, người dùng cần đảm bảo tất cả phần mềm trên thiết bị đã được cập nhật, bao gồm hệ điều hành, trình duyệt và các ứng dụng khác. Ngoài ra, người dùng nên cài đặt một chương trình bảo mật trên thiết bị để đảm bảo an toàn tối đa. Nếu người dùng sử dụng các ứng dụng mua sắm trên thiết bị di động, cần phải chạy các bản cập nhật mới nhất trên tất cả các chương trình đó trước khi mua sắm.

Nhật Minh (Theo SC Media)

Categories

Recent posts