Chính sách này vừa được tiết lộ tại cuộc họp của Diễn đàn của các CA/Browser (Certification Authority Browser Forum). Cụ thể, từ ngày 01/9/2020, bất kỳ chứng thực trang web mới nào có hiệu lực trong hơn 398 ngày sẽ không được trình duyệt Safari tin tưởng và bị từ chối. Các chứng thực cũ hơn, được phát hành trước thời hạn đó sẽ không bị ảnh hưởng bởi quy tắc này.
Bằng cách triển khai chính sách mới này trong trình duyệt Safari, Apple sẽ thực thi nó trên tất cả các thiết bị sử dụng hệ điều hành iOS và macOS. Điều này sẽ gây áp lực lên các quản trị viên và nhà phát triển khi phải đáp ứng các yêu cầu của Apple. Chính sách mới cũng có nguy cơ gây ảnh hưởng đến danh tiếng các trang web.
Tim Callan, một thành viên cao cấp tại công ty quản lý PKI và SSL Sectigo chia sẻ rằng, Apple đã thông báo trực tiếp tại Diễn đàn CA/Browser về việc sẽ giới hạn thời hạn hiệu lực chứng thực TLS xuống 398 ngày kể từ ngày 01/9/2020. Chứng chỉ được cấp kể từ ngày đó với thời hạn vượt quá 398 ngày sẽ không được tin cậy trong các sản phẩm của Apple.
Việc giảm tuổi thọ của chứng thực đã được Apple và các thành viên khác của Diễn đàn CA/Browser đã được xem xét trong nhiều tháng. Chính sách này có những lợi ích và hạn chế của nó.
Mục đích của động thái này là cải thiện độ bảo mật của các trang web bằng cách đảm bảo các nhà phát triển sử dụng chứng thực với các tiêu chuẩn mật mã mới nhất và để giảm số lượng chứng thực cũ, bị bỏ quên, có khả năng bị đánh cắp và sử dụng lại cho các cuộc tấn công mã độc và lừa đảo. Nếu các nhà nghiên cứu hoặc những người khác có thể phá vỡ mật mã theo tiêu chuẩn SSL/TLS, chứng thực tồn tại trong thời gian ngắn sẽ đảm bảo mọi người chuyển sang sử dụng các loại chứng thực an toàn hơn trong khoảng một năm.
Việc rút ngắn tuổi thọ của chứng thực cũng tồn tại một số nhược điểm. Bằng cách tăng tần suất thay thế chứng thực, chủ sở hữu các trang web và các doanh nghiệp phải quản lý chứng thực và tuân thủ một cách nghiêm ngặt hơn. Các công ty cần phải tìm cách tự động hóa để hỗ trợ triển khai, gia hạn và quản lý vòng đời chứng thực để giảm chi phí nhân công và nguy cơ phát sinh lỗi khi tần suất thay thế chứng thực tăng lên.
Lưu ý rằng, Let Encrypt cấp các chứng thực HTTPS miễn phí hết hạn sau 90 ngày và cung cấp các công cụ để tự động gia hạn. Vì vậy, các chứng thực do Let Encrypt cấp sẽ hoạt động ổn định và hiện tại chúng được sử dụng trên rất nhiều các trang web.
GitHub.com sử dụng chứng thực có hạn hai năm, điều này sẽ vi phạm các quy tắc của Apple mặc dù chứng thực mà họ dùng đã được cấp trước thời điểm giới hạn. Tuy nhiên, nó sẽ được gia hạn vào tháng 6/2020.
Hãng Microsoft sử dụng chứng thực dot-com có thời hạn hai năm, sẽ hết hạn vào tháng 10/2020. Nếu Microsoft gia hạn thêm hai năm nữa, nó sẽ vi phạm chính sách của Safari.
Dường như không có thông báo công khai nào được đưa ra bởi Apple. Digicert đã có một chuyên trang về chính sách này vào ngày 19/2/2020. Tuy nhiên, họ đặt ra nghi vấn về việc tại sao Apple đơn phương quyết định thực thi một thời gian chứng thực ngắn hơn. Người phát ngôn của Apple cho rằng, hành động này là để bảo vệ người dùng. Thời gian tồn tại của chứng thực dài hơn là một thách thức với việc thay thế chứng thực trong trường hợp xảy ra sự cố bảo mật lớn. Chứng thực tồn tại trong thời gian ngắn sẽ cải thiện mức độ bảo mật vì chúng làm giảm thời gian phơi nhiễm nếu bị xâm phạm. Chúng cũng sẽ đảm bảo việc cập nhật hàng năm các thông tin như tên công ty, địa chỉ và tên miền đang hoạt động. Việc rút ngắn thời gian sống của chứng thực nên được cân bằng với mức độ khó khăn mà người dùng chứng thực cần vượt qua để thực hiện những thay đổi này.
Nguyễn Anh Tuấn
Theo The Register
14:00 | 18/10/2022
14:00 | 14/12/2018
11:00 | 07/11/2019
09:00 | 13/06/2019
15:00 | 02/01/2025
Fortinet vừa đưa ra cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm của hãng bao gồm FortiClient VPN, FortiManager và FortiWLM. Những lỗ hổng này có thể dẫn đến rò rỉ mật khẩu, thực thi mã từ xa và truy cập tệp trái phép khiến hàng triệu người dùng gặp rủi ro.
10:00 | 16/12/2024
Mới đây, Google thông báo cập nhật biện pháp chống theo dõi cho thiết bị chạy Android. Theo đó, tính năng này có tên “Tìm kiếm xung quanh” (Find Nearby), tương thích với các thiết bị dịch vụ tìm kiếm phần cứng thất lạc của Google (Find My Device).
10:00 | 11/12/2024
Mới đây, Microsoft đã phát hành bản vá Patch Tuesday tháng 12 để giải quyết 71 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này khắc phục 01 lỗ hổng zero-day đang bị khai thác tích cực trong thực tế.
14:00 | 28/10/2024
Người dùng Android gần đây đang gặp phải một vấn đề rắc rối liên quan đến Google Play, khi các bản cập nhật cho các ứng dụng hệ thống không hiển thị trên màn hình "đang tải xuống".
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025