Bảo mật và tăng tốc website với ECC SSL trên Hosting AZDIGI

Cập nhật ngày 15/09/2020: Hiện tại khi sử dụng ECC SSL, website của bạn có thể sẽ không truy cập được trên Firefox. Phiên bản LiteSpeed Webserver 6.0 sắp tới sẽ hỗ trợ sử dụng cả hai loại chứng chỉ SSL cùng lúc. AZDIGI sẽ tiến hành thông báo khi tính năng này được hỗ trợ.

Chứng chỉ SSL hầu như đã quá quen thuộc với tất cả người sở hữu website kho đó là chứng chỉ giúp website hỗ trợ giao thức HTTPS để trở nên an toàn hơn, nhờ vào cơ chế mã hoá dữ liệu gửi đi trên website thông qua trình duyệt.

Trước khi xem chi tiết, AZDIGI muốn giới thiệu đến các bạn một video giải thích cách hoạt động của HTTPS và SSL/TLS rất dễ hiểu và trực quan.

Trong khi hiện tại dữ liệu được mã hoá và giải mã thông qua thuật toán mã hoá RSA, thì mới đây một thuật toán mã hoá khác được sinh ra và có nhiều ưu điểm hơn trong việc mã hoá và giải mã là thuật toán ECC (Elliptic Curve Cryptography) hay còn gọi là Mật mã đường cong.

Chứng chỉ ECC SSL cũng giống như một chứng chỉ SSL thông thường sử dụng thuật toán RSA, nhưng nó sử dụng ECC trong việc trao đổi khoá Diffie-Hellman (key exchange) và ECDSA trong thuật toán ký số trên chứng chỉ.

Vì sao ECC tốt hơn RSA?

Dĩ nhiên nếu ECC không tốt hơn RSA thì chúng ta sẽ không có một bài viết giới thiệu về nó ở đây. Nói một cách ngắn gọn, lợi điểm lớn nhất của chứng chỉ sử dụng ECC đó là khoá mã hoá sẽ ngắn và nhỏ hơn khoá mã hoá của RSA trên cùng một cấp độ bảo mật.

Để dễ hiểu bạn có thể tham khảo bảng so sánh chiều dài khoá mã hoá dưới đây giữa ECC và RSA.

Symmetric Key Size (bits)
/Security level (bits)
RSA and DSA Key Size (bits)ECC Key Size (bits)
801024160
1122048224
1283072256
1927680384
25615360512

Thông thường hiện tại khi tạo private key để sử dụng chứng thực Chứng chỉ SSL, chúng ta thường sử dụng mã hoá RSA với chiều dào là 2048bit; nhưng cùng cấp độ bảo mật với symmetric key là 112bits, chúng ta chỉ cần sử dụng private key với chiều dài mã hoá chỉ là 224bits.

Điều này sẽ giúp quá trình mã hoá/giải mã nhanh chóng hơn và tiêu hao tài nguyên thấp hơn so với mã hoá RSA. Từ đó giảm tải cho server cũng như máy khách trong quá trình mã hoá thông tin.

Thời gian phản hồi giữa ecc ssl và rsa ssl trên apache. Nguồn: Digicert

LiteSpeed Webserver hỗ trợ ECC SSL

Kể từ phiên bản 5.4.8, LiteSpeed đã bắt đầu hỗ trợ chứng chỉ ECC SSL và nó còn cho phép một website bạn sử dụng cả hai chứng chỉ RSA và ECC cùng lúc để hoán đổi cho nhau. Nghĩa là nếu máy của khách truy cập sử dụng trình duyệt có hỗ trợ ECC SSL thì nó sẽ sử dụng chứng chỉ này, và sử dụng SSL thông thường với RSA nếu trình duyệt họ không hỗ trợ ECC.

Và dĩ nhiên sau một thời gian thử nghiệm, AZDIGI cũng đã quyết định bật tính năng này lên tất cả máy chủ hosting để mọi khách hàng đều có thể sử dụng chứng chỉ EEC SSL trên website.

Để có thể sử dụng ECC SSL, thì website của bạn cần phải đã có chứng chỉ SSL đang hoạt động, nó có thể là chứng chỉ SSL miễn phí hoặc SSL có phí.

Để tạo chứng chỉ ECC SSL, bạn chỉ cần truy cập vào giao diện cPanel của gói host tại AZDIGI, tìm chức năng LiteSpeed Web Cache Manager.

Kéo xuống dưới và chọn Manage EC Certificates.

Ấn nút Update List để cập nhật danh sách website có trên host, và ấn nút Generate All để tạo chứng chỉ ECC SSL cho toàn bộ website, hoặc ấn nút Generate trên từng website mà bạn muốn sử dụng ECC SSL.

Kiểm tra website sử dụng ECC SSL

Để kiểm tra xem website của bạn đã hỗ trợ ECC SSL hay chưa, bạn có thể tiến hành sử dụng công cụ kiểm tra SSL tại https://www.ssllabs.com/ssltest/index.html và nếu kết quả hiển thị ra bạn dùng chứng chỉ EC 384bits là website bạn đã có chứng chỉ ECC SSL.

Điểm hạn chế khi sử dụng ECC SSL

Khi website bạn sử dụng chứng chỉ ECC SSL tạo ra tự động trên host, thì chứng chỉ này là chứng chỉ SSL miễn phí của Let’s Encrypt và nó cũng sẽ tự gia hạn nếu chứng chỉ ECC SSL gần hết hạn.

Điều này có nghĩa là nếu website của bạn đang sử dụng chứng chỉ SSL trả phí với cấp cao hơn, và nếu tạo chứng chỉ ECC SSL thông qua chức năng ở trên thì khi truy cập vào các trình duyệt có hỗ trợ ECC SSL, thì chứng chỉ nó ghi nhận là chứng chỉ miễn phí của Let’s Encrypt. Với các trình duyệt không hỗ trợ ECC SSL thì nó sẽ sử dụng chứng chỉ riêng như thông thường.

Nếu bạn cần bất kỳ sự hỗ trợ nào liên quan đến chứng chỉ ECC SSL, hãy liên hệ với bộ phận kỹ thuật của AZDIGI qua các phương tiện sau đây:

1 Shares:
Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Có thể bạn cần xem