Tin tức

Đề xuất mới của diễn đàn CA / B: rút ngắn thời gian sử dụng chứng chỉ

Đề xuất mới của diễn đàn CA / B: rút ngắn thời gian sử dụng chứng chỉ đang được thảo luận sẽ rút ngắn thời hạn chứng chỉ tối đa xuống còn 13 tháng. Điều này xuất hiện sau khi thời hạn tối đa giảm từ 39 xuống còn 27 tháng, có hiệu lực từ tháng 3 năm 2018. Nếu được thông qua, những thay đổi này sẽ có hiệu lực vào tháng 3 năm 2020.

Chúng ta cùng phân tích ý nghĩa của động thái này và nó tác động ra sao đến người dùng SSL/

Chứng chỉ SSL một năm có an toàn hơn không?

Trong nhiều năm, các chứng chỉ SSL được ban hành có thời gian tồn tại tối đa là ba năm. Các chứng chỉ này chỉ được cấp sau khi xem xét cẩn thận tất cả thông tin có trong chứng chỉ và có thể bị thu hồi nếu thông tin không còn hiệu lực.

Có một nỗ lực trước đây để giảm thời hạn chứng chỉ xuống còn một năm, vào đầu năm 2017, đã bị Diễn đàn CA / B từ chối. Bây giờ, đề xuất tương tự đang được thực hiện một lần nữa. Điều gì đằng sau những đề xuất này, và họ có làm gì để tăng tính bảo mật của chứng thư số không?

Bảo vệ lưu lượng truy cập Internet

Trên internet hiện đại, chứng chỉ số SSL rất cần thiết để bảo vệ lưu lượng truy cập đến và từ các trang web, bao gồm các trang web có giá trị cao nhất. Các thông tin liên lạc này có thể bao gồm tất cả các loại thông tin nhạy cảm, bao gồm thông tin thanh toán, mật khẩu, thông tin sức khỏe được bảo vệ, bí mật thương mại và thông tin bí mật khác liên quan đến công việc. Tất cả các thông tin liên lạc cần phải được mã hóa, không có khả năng sửa đổi chúng và không có thời gian chết.

Để đảm bảo điều này, những người duy trì các trang web đó kiểm soát chặt chẽ về thời điểm và cách thức máy chủ của họ có thể được sửa đổi và phần mềm nào có thể chạy trên máy chủ của họ. Trong nhiều trường hợp, đặc biệt là trong ngành tài chính và chăm sóc sức khỏe, có những yêu cầu kiểm toán và tuân thủ nghiêm ngặt chi phối các quy trình quản lý thay đổi này.

Chuyển đến vòng đời chứng chỉ SSL ngắn hơn, đặc biệt là dưới một năm, như đã được đề xuất có thể sẽ đến trong tương lai gần, có chi phí đáng kể. Mỗi thay đổi phải được kiểm tra cẩn thận để đảm bảo rằng nó đã được thực hiện chính xác và không ảnh hưởng tiêu cực đến bảo mật của hệ thống. Thực hiện các thay đổi như vậy theo cách tự động là hấp dẫn, nhưng làm tăng đáng kể độ phức tạp của các hệ thống đó và tăng nguy cơ bị tấn công bằng các phần mềm mới trên các hệ thống quan trọng. Tệ hơn nữa, những tác nhân phần mềm đó kết nối với internet và tải chứng chỉ trực tiếp lên các hệ thống đáng tin cậy. Cần phải quan tâm đáng kể để đảm bảo điều này không ảnh hưởng xấu đến an ninh của hệ thống.

Chúng tôi tin rằng mục tiêu cải thiện bảo mật chứng chỉ được phục vụ tốt hơn bằng cách cho phép nhiều thời gian hơn để các công ty tiếp tục sử dụng tự động hóa ngày càng tăng, để kiểm tra hệ thống của họ và chuẩn bị cho những thay đổi này. Điểm chính là bất kỳ lợi ích nào của việc giảm tuổi thọ chứng chỉ số là lý thuyết, trong khi rủi ro và chi phí để thực hiện các thay đổi, đặc biệt là trong một khoảng thời gian ngắn, là có thật.

Lợi ích bảo mật của SSL thời hạn ngắn được đề xuất

Vì vậy, lợi ích bảo mật được đề xuất mà biện minh cho chi phí này là gì? Rõ ràng là không có bất kỳ điều gì cả. Thay đổi này hoàn toàn không ảnh hưởng đến các trang web độc hại, hoạt động trong khoảng thời gian rất ngắn, nhiều nhất là từ vài ngày đến một hoặc hai tuần. Sau đó, tên miền đã được thêm vào các danh sách đen khác nhau và kẻ tấn công chuyển sang một tên miền mới và có được chứng chỉ mới.

Một lợi ích khác đôi khi được đề xuất là chứng chỉ trọn đời ngắn hơn cho phép chuyển đổi nhanh hơn khi các quy tắc tuân thủ thay đổi. Tuổi thọ chứng chỉ hai năm có nghĩa là chứng chỉ được cấp ngày hôm nay vẫn còn khoảng hai năm nữa. Nhưng đó có phải là trách nhiệm của những người quản lý hệ sinh thái chứng chỉ số SSL để đưa ra các quy tắc tuân thủ có thể tồn tại ít nhất là lâu không? Việc thay đổi liên tục các quy tắc để cấp chứng chỉ với ít thời gian thực hiện sẽ không cho những người triển khai đủ thời gian để nhận thức được các thay đổi, phân tích chúng và xác định tác động trên hệ thống của họ và chuẩn bị đầy đủ để cập nhật hệ thống của họ một cách có trách nhiệm, bao gồm cả việc tuân thủ tất cả các yêu cầu quy định khác.

Cũng cần lưu ý rằng thay đổi này áp dụng cho tất cả các công ty, bất kể tình huống nào của họ, trên dòng thời gian tương đối ngắn. Những loại nhiệm vụ ngắn hạn này có nguy cơ chuyển hướng các nguồn lực từ các cải tiến bảo mật quan trọng hơn khác đang được tiến hành tại nhiều công ty.

Điểm mấu chốt

Giảm nhanh tuổi thọ chứng chỉ xuống còn một năm, hoặc thậm chí ít hơn, có chi phí đáng kể cho nhiều công ty dựa vào chứng chỉ kỹ thuật số để bảo vệ hệ thống của họ. Những chi phí này không được bù đắp bởi bất kỳ cải thiện bảo mật đáng kể nào và những thay đổi này không có tác động đối với các tác nhân xấu tham gia vào hoạt động bất hợp pháp hoặc mạo danh các công ty hợp pháp. Những thay đổi này khiến nhiều công ty gặp khó khăn hơn trong việc bảo vệ lưu lượng truy cập internet và khách hàng của họ, không có lợi ích, và do đó DigiCert không có lựa chọn nào khác ngoài việc phản đối những thay đổi này.

Bài viết được dịch từ trang https://www.digicert.com/blog/how-reduced-tls-ssl-certific...

Trong lúc chờ đợi quyết định này có được thông qua hay không, về phương diện người dùng SSL, việc trang bị chứng chỉ số SSL có thời hạn 2 năm ngay từ lúc mua là rất quan trọng, nó sẽ có 2 tác dụng cơ bản là tiết kiệm chi phí và tiết kiệm thời gian triển khai hệ thống. Xin hãy cân nhắc mua SSL có thời hạn tối đa là 2 năm cho chứng chỉ SSL mới, cũng như gia hạn SSL bạn sẽ được 27 tháng sử dụng. Có thể liên hệ nhà cung cấp như https://muassl.com để được thông tin thêm.

Ngày đăng: 19/08/2019

Quay lại