Thời hạn của chứng chỉ SSL/TLS giảm còn tối đa 398 ngày


Bắt đầu từ hôm nay, thời gian hiệu lực của các chứng chỉ TLS mới sẽ bị giới hạn trong 398 ngày (hơn một năm) từ thời hạn sử dụng chứng chỉ tối đa trước đó là 27 tháng (825 ngày).



Trong một động thái nhằm tăng cường bảo mật, Apple, Google và Mozilla sẽ từ chối công khai các chứng chỉ kỹ thuật số từ các trình duyệt web tương ứng có hiệu lực hơn 13 tháng (398 ngày) kể từ ngày tạo.



Thời gian sử dụng của chứng chỉ SSL/TLS đã giảm đáng kể trong thập kỷ qua. Vào năm 2011, Certification Authority Browser Forum (Diễn đàn các nhà cung cấp chứng thực số – CA/Browser Forum), gồm một nhóm các cơ quan cấp chứng chỉ và các nhà cung cấp phần mềm trình duyệt, đã đưa ra mức giới hạn hiệu lực của chứng chỉ còn 5 năm, từ thời gian 8 – 10 năm trước đó.



Sau đó, vào năm 2015, nó đã được cắt ngắn xuống còn ba năm và cuối cùng là hai năm vào năm 2018.



Mặc dù đề xuất giảm thời hạn chứng chỉ xuống còn một năm đã bị bác bỏ trong một cuộc bỏ phiếu vào tháng 9 năm ngoái . Tuy nhiên, biện pháp này lại được các nhà sản xuất trình duyệt như Apple, Google, Microsoft, Mozilla và Opera nhiệt tình ủng hộ.



Sau đó vào tháng 2 năm nay, Apple đã trở thành công ty đầu tiên thông báo rằng họ có ý định từ chối các chứng chỉ TLS được cấp vào hoặc sau ngày 1 tháng 9 và có thời gian hiệu lực hơn 398 ngày. Kể từ đó, cả Google và Mozilla đều theo bước chân của Apple và bắt đầu áp dụng các giới hạn 398 ngày đối với chứng chỉ này.



Được biết các chứng chỉ được cấp trước ngày áp dụng quy định mới và những chứng chỉ được cấp từ các tổ chức phát hành chứng chỉ gốc (CA) do người dùng hoặc do quản trị viên thêm vào đều sẽ không bị ảnh hưởng.



“Các kết nối đến các máy chủ TLS vi phạm quy định mới sẽ không được hỗ trợ”, Apple giải thích trong một tài liệu hỗ trợ . “Những kết nối như vậy có thể gây ra lỗi mạng và lỗi ứng dụng, cũng như ngăn các trang web không tải được dữ liệu.”



Về phần mình, Google dự định sẽ từ chối các chứng chỉ vi phạm điều khoản hợp lệ có lỗi “ERR_CERT_VALIDITY_TOO_LONG” và coi chúng là các chứng chỉ bị cấp sai.



Bên cạnh đó, một số nhà cung cấp chứng chỉ SSL như Digicert và Sectigo cũng đã ngừng phát hành các chứng chỉ có hiệu lực hai năm.



Để tránh những hậu quả không mong muốn, Apple khuyến nghị các chứng chỉ nên được cấp với thời hạn tối đa là 397 ngày.



Tại sao lại giảm thời gian hiệu lực của chứng chỉ?



Giới hạn thời gian tồn tại của chứng chỉ giúp cải thiện tính bảo mật của trang web do nó sẽ làm giảm thời gian các chứng chỉ bị xâm phạm hoặc không có thật bị lợi dụng để thực hiện các cuộc tấn công lừa đảo phishing và phát tán mã độc.



Ngoài ra, các phiên bản di động của Chrome và Firefox không có tính năng chủ động kiểm tra trạng thái của chứng chỉ do các hạn chế về hiệu suất, khiến các trang web có chứng chỉ đã hết hiệu lực những vẫn được tải mà không đưa ra bất kỳ cảnh báo nào cho người dùng.



Đối với các nhà phát triển và chủ sở hữu trang web, quy định mới này sẽ là thời điểm tốt để triển khai chứng chỉ một cách tự động bằng cách sử dụng các công cụ như Let’s Encrypt và CertBot của EFF. Nó cung cấp một phương pháp dễ dàng giúp thiết lập, phát hành, gia hạn và thay thế chứng chỉ SSL mà không cần sự can thiệp của các biện pháp thủ công.



“Chứng chỉ hết hạn luôn là một vấn đề lớn đối với các công ty. Nó khiến họ tiêu tốn hàng triệu đô la Mỹ do bị ngừng hoạt động mỗi năm. Ngoài ra, việc các cảnh báo hết hạn thường xuyên xuất hiện có thể khiến khách truy cập web lơ là cảnh giác và dễ dàng bỏ qua các cảnh báo bảo mật và thông báo lỗi hơn,” Chris Hickman, giám đốc an ninh của Keyfactor cho biết.



“Tuy nhiên, những người đăng ký thường quên cách thức hay thời điểm cần phải làm mới chứng chỉ. Điều này khiến cho dịch vụ của họ đột ngột ngừng hoạt động do hết hiệu lực. Vậy nên, việc giảm thời hạn xác thực của chứng chỉ chắc hẳn sẽ gây nhiều khó khăn cho những người dùng chưa được trang bị kỹ càng này.”



Theo The Hacker News
The post Thời hạn của chứng chỉ SSL/TLS giảm còn tối đa 398 ngày appeared first on SecurityDaily .

Top News