Apache 2.0 với giao thức SSL/TLS: Hướng dẫn từng bước

Trong hơn mười năm, giao thức SSL đã được sử dụng rộng rãi nhằm vào mục đích đảm bảo an toàn cho các giao dịch web qua internet. Bạn có thể tưởng tượng mỗi ngày có hàng triệu, hàng tỉ đô la giao dịch trên mạng dùng SSL. Tuy nhiên, sự thật giản dị là chúng ta đã dùng SSL một cách không thực sự cần thiết. Các thông tin được gửi qua giao thức này vẫn đảm bảo an toàn.
Nội dung trích xuất từ tài liệu:
Apache 2.0 với giao thức SSL/TLS: Hướng dẫn từng bước Apache 2.0 với giao thức SSL/TLS: Hướng dẫn từng bước PHẦN I: Tổng quát Trong hơn mười năm, giao thức SSL đã được sử dụng rộng rãi nhằm vào mục đích đảm bảo an toàn cho các giao dịch web qua internet. Bạn có thể tưởng tượng mỗi ngày có hàng triệu, hàng tỉ đô la giao dịch trên mạng dùng SSL. Tuy nhiên, sự thật giản dị là chúng ta đã dùng SSL một cách không thực sự cần thiết. Các thông tin được gửi qua giao thức này vẫn đảm bảo an toàn. Cách mã hoá yếu, không kiểm chứng được các certificate (chứng chỉ) của web servers (trên máy chủ), những lỗ hổng an ninh, cùng nhiều kiểu tấn công khác có thể cho phép những kẻ xâm nhập truy cập thông tin nhạy cảm, bất chấp sự thật rằng nó đang được gửi qua SSL. Bài báo này bắt đầu cho loạt bài giới thiệu về cấu hình của Apache 2.0 có hỗ trợ giao thức SSL/TLS, nhằm bảo đảm an ninh tối đa và sự thực thi tối ưu trong hoạt động truyền tải của SSL. - Phần I: Giới thiệu về các khía cạnh của khoá (key) trong SSL/TLS và hướng dẫn cách cài đặt, thiết lập cấu hình của 2.0 có hỗ trợ các giao thức này. - Phần II: Thảo luận về cấu hình của mod_ssl và các nguồn cung cấp địa chỉ với bộ xác nhận web server. - Phần III (cũng là phần cuối cùng): Thảo luận các vấn đề về xác định quyền máy khách (client) và một số lỗi cấu hình điển hình của các nhà quản trị. Các lỗi này có thể giảm mức an toàn của bất kì mạng truyền thông sử dụng SSL nào. Giới thiệu về SSL Secure Sockets Layer (SSL) là giao thức được biết đến nhiều nhất về khả năng bảo mật và độ tin cậy trong giao dịch khách - chủ (client-server) trên mạng internet. Bản thân SSL được dựa trên các khái niệm khá đơn giản. Nó sắp xếp các thuật toán mã hoá và khoá giữa 2 lần gửi - nhận của một giao dịch. Sau đó thiết lập một đưòng dẫn ảo mã hoá thông qua các giao thức khác (như HTTP). SSL cũng có thể thẩm định cả hai chiều của giao dịch thông qua việc dùng các “chứng chỉ” (certificate). SSL là giao thức tầng (layered protocol), bao gồm 4 giao thức con sau:  Giao thức SSL Handshake  Giao thức SSL Change Cipher Spec  Giao thức SSL Alert  SSL Record Layer Vị trí của các giao thức trên, tương ứng với mô hình TCP/IP được minh hoạ theo biểu đồ sau: Biểu đồ 1. Các giao thức con của SSL trong mô hình TCP/IP Theo biểu đồ trên, SSL nằm trong tầng ứng dụng của giao thức TCP/IP. Do đặc điểm này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp TCP/IP. Điều này mang lại cho SSL sự cải tiến mạnh mẽ so với các giao thức khác như IPSec (IP Security Protocol). Vì giao thức này đòi hỏi nhân hệ điều hành phải hỗ trợ và chỉnh sửa ngăn xếp TCP/IP. SSL cũng có thể dễ dàng vượt qua tường lửa và proxy, cũng như NAT (Network Address Translation) mà không cần nguồn cung cấp. SSL hoạt động như thế nào? Biểu đồ dưới đây sẽ chỉ ra một cách đơn giản với từng bước quá trình thiết lập kết nối SSL giữa máy khách (client – dùng một đường dẫn web browser) và máy chủ (server – dùng một SSL web server) Biểu đồ 2. Từng bước thành lập một kết nối SSL Như bạn thấy trên hình, quá trình thiết lập kết nối SSL bắt đầu bằng việc trao đổi các tham số mã hoá và sau đó xác nhận các server một cách tuỳ ý (dùng gia thức SSL Handshake). Nếu “bắt tay” (Handshake) thành công, cả hai chiều đều chấp nhận bộ mã hoá chung và các khoá mã hoá, thì dữ liệu ở tầng ứng dụng (thông thường dùng HTTP, nhưng cũng có thể là một giao thức khác) có thể được gửi thông qua đường hầm (tunnel) mã hoá (dùngSSL Record Layer). Trong thực tế, tiến trình trên còn phức tạp hơn một chút. Để tránh những cái “bắt tay” không cần thiết, một số tham số mã hoá được giữ lại. Các thông báo được gửi đi. Bộ mã hoá cũng có thể được thay đổi. Tuy nhiên, bất chấp các đặc điểm kĩ thuật đó, cách thức phổ biến nhất của tiến trình này làm việc thực sự như trên. SSL, PCT, TLS và WTLS (nhưng không có SSH) Mặc dù SSL là giao thức được biết đến nhiều nhất và phổ biến nhất, nhưng nó không phải là giao thức duy nhất dùng cho mục đích an toàn và giao vận trong web. Cũng khá quan trọng để biết rằng, từ sau phát minh SSL v1.0 ra đời , có ít nhất năm giao thức khác hoặc ít hơn hoặc nhiều hơn đóng vai trò quan trọng trong an ninh truy cập World Wide Web. Cụ thể: SSL v2.0 Phiên bản này được tạo ra bởi Netscape Communications năm 1994. Mục đích chính của giao thức này là cung cấp an toàn cho các giao dịch trên World Wide Web. Thật không may, nhanh chóng sau đó người ta thấy con số yếu kém về an toàn trong phiên bản đầu của giao thức SSL này. Do đó làm cho nó kém tin cậy hơn với cách dùng mang tính chất thương mại.  Cấu trúc của MAC yếu.  Có khả năng để các nhóm bắt buộc dùng bộ mã hoá yếu  Không bảo vệ quá trình “bắt tay”  Có khả năng những kẻ tấn công dùng kiểu cắt xén (truncation attack) PCT v1.0 Được phát triển bởi Microsoft vào năm 1995. PCT (Privacy Communication Technology ) v1.0 địa chỉ hoá một số điểm yếu của SSL 2.0 và đặt ra mục tiêu là thay thế SSL. Tuy nhiên giao thức này đã không bao giờ thu được kết quả phổ biến như là SSL v3.0. SSL v3.0 Được phát hành vào năm 1996 bởi Netscape Communications. SSL v3.0 giải quyết hầu hết các vấn đề của SSL v2.0 và kết hợp rất nhiều thành phần của PCT. Nhanh chóng sau đó nó trở thành giao thức phổ biến nhất cho an toàn truyền thông trên World Wide Web. TLS v1.0 (được biết đến như là SSL v3.1) Được đưa ra bởi IETF vào năm 1999 (RFC 2246). Giao thức này dựa trên SSL v3.0 và PCT. Nó cân bằng cả hai cách thức của Netscape và Microsoft. Cũng cần chú ý rằng, mặc dù TLS dựa trên SSL, nhưng nó không phải là phiên bản sau tương thích 100% với các bản trước nó. IETF đã thực hiện môt số cải tiến về an toàn. Chẳng hạn như dùng HMAC thay vì MAC, dùng phép tính toán khác trong bảo mật của máy chủ và tài liệu khoá (key), thêm các bộ chỉnh sửa, không hỗ trợ bộ mã ...