Thứ Ba, Tháng Chín 15, 2020
Bảo mật

Tuổi thọ tối đa của Chứng chỉ SSL / TLS là 398 ngày kể từ 01/09/2020

11views

Bắt đầu ngày 10 tháng 9 năm 2020, thời hạn của chứng chỉ TLS mới sẽ bị giới hạn trong 398 ngày (hơn một năm một chút), từ thời hạn tối đa của chứng chỉ trước đó là 27 tháng (825 ngày).

Trong một động thái nhằm tăng cường bảo mật, Apple, Google và Mozilla sẽ từ chối các chứng chỉ kỹ thuật số được root công khai trong các trình duyệt web tương ứng của họ hết hạn hơn 13 tháng (hoặc 398 ngày) kể từ ngày tạo.

Tuổi thọ của chứng chỉ SSL / TLS đã giảm đáng kể trong thập kỷ qua. Vào năm 2011, Diễn đàn trình duyệt của cơ quan cấp giấy chứng nhận (CA/Browser Forum), một tập hợp các cơ quan cấp giấy chứng nhận và các nhà cung cấp phần mềm trình duyệt, đã đưa ra giới hạn 5 năm, giảm thời hạn hiệu lực của chứng chỉ từ 8 – 10 năm.

Sau đó, vào năm 2015, nó đã được cắt ngắn xuống còn 3 năm và lại là 2 năm vào năm 2018.

Mặc dù đề xuất giảm thời hạn chứng chỉ xuống còn một năm đã bị bác bỏ trong một cuộc bỏ phiếu vào tháng 9 năm ngoái, nhưng biện pháp này đã được các nhà sản xuất trình duyệt như Apple, Google, Microsoft, Mozilla và Opera ủng hộ nhiệt liệt.

Sau đó, vào tháng 2 năm nay, Apple trở thành công ty đầu tiên thông báo rằng họ có ý định từ chối các chứng chỉ TLS mới được cấp vào hoặc sau ngày 1 tháng 9 có hiệu lực hơn 398 ngày. Kể từ đó, cả Google và Mozilla đều tuân theo để thực thi các giới hạn 398 ngày tương tự.

Các chứng chỉ được cấp trước ngày thực thi sẽ không bị ảnh hưởng, cả những chứng chỉ được cấp từ cơ quan cấp chứng chỉ gốc (CA) do người dùng thêm hoặc do quản trị viên thêm vào.

“Các kết nối với máy chủ TLS vi phạm các yêu cầu mới này sẽ không được chứng thực thành công”, Apple giải thích trong một tài liệu hỗ trợ. “Điều này có thể gây ra lỗi mạng và ứng dụng và ngăn các trang web tải.”

Về phần mình, Google dự định từ chối các chứng chỉ vi phạm điều khoản hợp lệ có lỗi “ERR_CERT_VALIDITY_TOO_LONG” và coi chúng là chứng chỉ được cấp sai.

Ngoài ra, một số nhà cung cấp chứng chỉ SSL, chẳng hạn như Digicert và Sectigo đã ngừng phát hành chứng chỉ có hiệu lực hai năm.

Để tránh những hậu quả không mong muốn, Apple khuyến nghị rằng các chứng chỉ được cấp có thời hạn tối đa là 397 ngày.

Tại sao tuổi thọ chứng chỉ ngắn hạn?

Giới hạn thời gian tồn tại của chứng chỉ cải thiện tính bảo mật của trang web vì nó giảm thời gian mà các chứng chỉ bị xâm phạm hoặc không có thật có thể bị lợi dụng để thực hiện các cuộc tấn công lừa đảo và phần mềm độc hại.
Đó không phải là tất cả. Các phiên bản di động của Chrome và Firefox không chủ động kiểm tra trạng thái chứng chỉ do các hạn chế về hiệu suất, khiến các trang web có chứng chỉ bị thu hồi mà không đưa ra bất kỳ cảnh báo nào cho người dùng.

Đối với các nhà phát triển và chủ sở hữu trang web, việc phát triển là thời điểm tốt để triển khai tự động hóa chứng chỉ bằng các công cụ như Let’s Encrypt và CertBot của EFF, cung cấp một cách dễ dàng để thiết lập, phát hành, gia hạn và thay thế chứng chỉ SSL mà không cần can thiệp thủ công.

Chris Hickman, giám đốc an ninh của Keyfactor cho biết: “Chứng chỉ hết hạn tiếp tục là một vấn đề lớn, khiến các công ty tiêu tốn hàng triệu đô la do ngừng hoạt động mỗi năm. “Trên hết, các cảnh báo chứng chỉ hết hạn thường xuyên hơn có thể khiến khách truy cập web trở nên thoải mái hơn khi bỏ qua các cảnh báo bảo mật và thông báo lỗi.”

“Tuy nhiên, người đăng ký chứng chỉ thường quên cách thức hoặc thời điểm thay thế chứng chỉ, khiến dịch vụ ngừng hoạt động do hết hạn đột xuất […] khiến họ không đủ trang bị để quản lý các chứng chỉ mới có tuổi thọ ngắn hơn này trên quy mô lớn.”

Leave a Response