• Thứ 2, Tháng 8 10, 2020

Tại sự kiện CA / Browser Forum Spring Face-to-Face ở Bratislava vào tháng 3 vừa qua Apple công bố thông tin: bắt đầu từ ngày 01/09/2020, chứng chỉ SSL không thể được cấp hơn 13 tháng (397 ngày).

Sau đó, vào tuần trước, tại sự kiện của Diễn đàn CA/B , Google đã công bố ý định kết hợp những thay đổi của Apple với chương trình gốc của mình. Ngoài ra còn có một cuộc bỏ phiếu do trình duyệt điều khiển nhằm tìm cách điều chỉnh các yêu cầu cơ bản của ngành với những thay đổi của chương trình gốc mới. Vấn đề đó hiện đang được Diễn đàn tranh luận.

Chúng tôi nhận thấy có thể có rất nhiều thứ để giải nén ở đây, vì vậy với lợi ích cung cấp một chút rõ ràng, chúng tôi sẽ đề cập đến vấn đề đó trong bài đăng blog này. 

 

Lý do cho tuổi thọ chứng chỉ SSL ngắn hơn

 

Có hai lợi ích chính đối với các chứng chỉ có thời hạn ngắn hơn:

Đầu tiên là thành phần kỹ thuật - tuổi thọ dài hơn có nghĩa là mất nhiều thời gian hơn để triển khai các bản cập nhật hoặc thay đổi một cách tự nhiên. Một ví dụ trong thế giới thực là quá trình chuyển đổi SHA1 sang SHA2. Trừ khi bạn định thu hồi toàn bộ chứng chỉ và buộc khách hàng cấp lại, có thể mất nhiều năm trước khi tất cả các chứng chỉ cũ được thay thế. Trong trường hợp của SHA1, phải mất ba. Điều đó tạo ra rủi ro. 

Lợi ích khác liên quan đến danh tính - thông tin được sử dụng để xác thực danh tính sẽ được tin cậy trong bao lâu? Thời gian giữa các lần xác nhận càng dài, rủi ro càng lớn. Google đã nói rằng trong một thế giới lý tưởng xác thực miền sẽ diễn ra khoảng sáu giờ một lần. 

Trước năm 2015, bạn có thể nhận được chứng chỉ SSL / TLS được cấp trong tối đa năm năm. Con số đó đã được giảm xuống còn ba, và sau đó một lần nữa vào năm 2018 xuống còn hai. Vào cuối năm 2019, một cuộc bỏ phiếu đã được đề xuất tại Diễn đàn CA / B có thể giảm xuống còn một năm - nó đã được các Tổ chức cấp chứng chỉ bỏ phiếu xuống một cách hợp lý.

 

Vì vậy, tại sao chứng chỉ vẫn bị giảm xuống một năm?

Diễn đàn CA / Browser là một nhóm ngành họp để bỏ phiếu về một loạt các yêu cầu cơ bản để cấp chứng chỉ số đáng tin cậy. Tuy nhiên, những gì nó không phải là một cơ quan quản lý. Mặc dù các CA bày tỏ lo ngại và miễn cưỡng giảm hiệu lực tối đa một lần nữa, Apple và Google vẫn có quyền cập nhật các chính sách cho các chương trình gốc của họ khi họ thấy phù hợp. 

Nói một cách khác, tổ chức phát hành chứng chỉ và trình duyệt có mối quan hệ phụ thuộc lẫn nhau. Trình duyệt cần sử dụng chứng chỉ để đưa ra quyết định về độ tin cậy về các trang web và để giúp bảo mật kết nối. Về phía CA, chứng chỉ công cộng có ích lợi gì nếu nó không được trình duyệt tin cậy?

Cách tất cả điều này được quản lý là thông qua các chương trình gốc. Có bốn chương trình gốc chính cần lưu ý:

Microsoft

quả táo

Mozilla

Google (hai phần cuối được gọi là Googzilla - lol)

Ngẫu nhiên, bạn sẽ nhận thấy bốn trình duyệt đó cũng đứng sau các trình duyệt chính trên cả máy tính để bàn và thiết bị di động. Để một CA có các chứng chỉ được các chương trình gốc tin cậy và bằng cách mở rộng các trình duyệt và hệ điều hành sử dụng chúng, nó phải tuân thủ các nguyên tắc của chương trình gốc đó. Diễn đàn CA / B là một diễn đàn ngành lý tưởng giúp tạo điều kiện thuận lợi cho những thay đổi đối với các chương trình gốc (và chính hệ sinh thái). 

Nhưng các chương trình gốc, tham gia với tư cách là trình duyệt, vẫn có thể hoạt động đơn phương và thực hiện các thay đổi khi chúng thấy phù hợp. Khi điều này xảy ra, nhu cầu về khả năng tương tác về cơ bản quy định rằng bất kỳ chính sách chương trình gốc nào có các tiêu chuẩn nghiêm ngặt nhất đều trở thành yêu cầu cơ sở thực tế mới.