Chính sách này vừa được tiết lộ tại cuộc họp của Diễn đàn của các CA/Browser (Certification Authority Browser Forum). Cụ thể, từ ngày 01/9/2020, bất kỳ chứng thực trang web mới nào có hiệu lực trong hơn 398 ngày sẽ không được trình duyệt Safari tin tưởng và bị từ chối. Các chứng thực cũ hơn, được phát hành trước thời hạn đó sẽ không bị ảnh hưởng bởi quy tắc này.
Bằng cách triển khai chính sách mới này trong trình duyệt Safari, Apple sẽ thực thi nó trên tất cả các thiết bị sử dụng hệ điều hành iOS và macOS. Điều này sẽ gây áp lực lên các quản trị viên và nhà phát triển khi phải đáp ứng các yêu cầu của Apple. Chính sách mới cũng có nguy cơ gây ảnh hưởng đến danh tiếng các trang web.
Tim Callan, một thành viên cao cấp tại công ty quản lý PKI và SSL Sectigo chia sẻ rằng, Apple đã thông báo trực tiếp tại Diễn đàn CA/Browser về việc sẽ giới hạn thời hạn hiệu lực chứng thực TLS xuống 398 ngày kể từ ngày 01/9/2020. Chứng chỉ được cấp kể từ ngày đó với thời hạn vượt quá 398 ngày sẽ không được tin cậy trong các sản phẩm của Apple.
Việc giảm tuổi thọ của chứng thực đã được Apple và các thành viên khác của Diễn đàn CA/Browser đã được xem xét trong nhiều tháng. Chính sách này có những lợi ích và hạn chế của nó.
Mục đích của động thái này là cải thiện độ bảo mật của các trang web bằng cách đảm bảo các nhà phát triển sử dụng chứng thực với các tiêu chuẩn mật mã mới nhất và để giảm số lượng chứng thực cũ, bị bỏ quên, có khả năng bị đánh cắp và sử dụng lại cho các cuộc tấn công mã độc và lừa đảo. Nếu các nhà nghiên cứu hoặc những người khác có thể phá vỡ mật mã theo tiêu chuẩn SSL/TLS, chứng thực tồn tại trong thời gian ngắn sẽ đảm bảo mọi người chuyển sang sử dụng các loại chứng thực an toàn hơn trong khoảng một năm.
Việc rút ngắn tuổi thọ của chứng thực cũng tồn tại một số nhược điểm. Bằng cách tăng tần suất thay thế chứng thực, chủ sở hữu các trang web và các doanh nghiệp phải quản lý chứng thực và tuân thủ một cách nghiêm ngặt hơn. Các công ty cần phải tìm cách tự động hóa để hỗ trợ triển khai, gia hạn và quản lý vòng đời chứng thực để giảm chi phí nhân công và nguy cơ phát sinh lỗi khi tần suất thay thế chứng thực tăng lên.
Lưu ý rằng, Let Encrypt cấp các chứng thực HTTPS miễn phí hết hạn sau 90 ngày và cung cấp các công cụ để tự động gia hạn. Vì vậy, các chứng thực do Let Encrypt cấp sẽ hoạt động ổn định và hiện tại chúng được sử dụng trên rất nhiều các trang web.
GitHub.com sử dụng chứng thực có hạn hai năm, điều này sẽ vi phạm các quy tắc của Apple mặc dù chứng thực mà họ dùng đã được cấp trước thời điểm giới hạn. Tuy nhiên, nó sẽ được gia hạn vào tháng 6/2020.
Hãng Microsoft sử dụng chứng thực dot-com có thời hạn hai năm, sẽ hết hạn vào tháng 10/2020. Nếu Microsoft gia hạn thêm hai năm nữa, nó sẽ vi phạm chính sách của Safari.
Dường như không có thông báo công khai nào được đưa ra bởi Apple. Digicert đã có một chuyên trang về chính sách này vào ngày 19/2/2020. Tuy nhiên, họ đặt ra nghi vấn về việc tại sao Apple đơn phương quyết định thực thi một thời gian chứng thực ngắn hơn. Người phát ngôn của Apple cho rằng, hành động này là để bảo vệ người dùng. Thời gian tồn tại của chứng thực dài hơn là một thách thức với việc thay thế chứng thực trong trường hợp xảy ra sự cố bảo mật lớn. Chứng thực tồn tại trong thời gian ngắn sẽ cải thiện mức độ bảo mật vì chúng làm giảm thời gian phơi nhiễm nếu bị xâm phạm. Chúng cũng sẽ đảm bảo việc cập nhật hàng năm các thông tin như tên công ty, địa chỉ và tên miền đang hoạt động. Việc rút ngắn thời gian sống của chứng thực nên được cân bằng với mức độ khó khăn mà người dùng chứng thực cần vượt qua để thực hiện những thay đổi này.
Nguyễn Anh Tuấn
Theo The Register
14:00 | 18/10/2022
14:00 | 14/12/2018
11:00 | 07/11/2019
09:00 | 13/06/2019
10:00 | 26/04/2024
Cisco đã đưa ra cảnh báo về chiến dịch tấn công Brute Force quy mô lớn nhắm mục tiêu vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
08:00 | 12/03/2024
Hai lỗ hổng lần lượt có mã định danh CVE-2024-24401 và CVE-2024-24402 được tìm thấy trong Nagios XI - một công cụ giám sát hạ tầng mạng trong doanh nghiệp. Đáng lưu ý, cả hai lỗ hổng đều chưa có điểm CVSS.
09:00 | 01/02/2024
Mới đây, Cisco đưa ra cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager của hãng dễ gặp phải lỗ hổng thực thi mã từ xa ở mức độ nghiêm trọng.
07:00 | 15/12/2023
Chuyển đổi số đã mang lại rất nhiều lợi ích vượt trội cho doanh nghiệp hiện nay, tuy nhiên nó cũng tạo ra rất nhiều thách thức khi họ phải đối diện với các mối đe dọa tấn công hệ thống ngày càng tăng lên, đồng thời phải đảm bảo an toàn dữ liệu của tổ chức. Theo thống kê, đã có hơn 90% cuộc tấn công bắt nguồn từ lừa đảo thông qua email của doanh nghiệp. Nhiều doanh nghiệp và tổ chức cũng đang dần tìm kiếm giải pháp mới để phòng ngừa lừa đảo qua email, bảo vệ thông tin doanh nghiệp và đảm bảo an toàn cho khách hàng.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung một lỗ hổng nghiêm trọng ảnh hưởng đến GitLab vào danh mục các lỗ hổng bị khai thác đã biết (KEV) do hoạt động khai thác tích cực trên thực tế.
12:00 | 06/05/2024