Chính sách này vừa được tiết lộ tại cuộc họp của Diễn đàn của các CA/Browser (Certification Authority Browser Forum). Cụ thể, từ ngày 01/9/2020, bất kỳ chứng thực trang web mới nào có hiệu lực trong hơn 398 ngày sẽ không được trình duyệt Safari tin tưởng và bị từ chối. Các chứng thực cũ hơn, được phát hành trước thời hạn đó sẽ không bị ảnh hưởng bởi quy tắc này.
Bằng cách triển khai chính sách mới này trong trình duyệt Safari, Apple sẽ thực thi nó trên tất cả các thiết bị sử dụng hệ điều hành iOS và macOS. Điều này sẽ gây áp lực lên các quản trị viên và nhà phát triển khi phải đáp ứng các yêu cầu của Apple. Chính sách mới cũng có nguy cơ gây ảnh hưởng đến danh tiếng các trang web.
Tim Callan, một thành viên cao cấp tại công ty quản lý PKI và SSL Sectigo chia sẻ rằng, Apple đã thông báo trực tiếp tại Diễn đàn CA/Browser về việc sẽ giới hạn thời hạn hiệu lực chứng thực TLS xuống 398 ngày kể từ ngày 01/9/2020. Chứng chỉ được cấp kể từ ngày đó với thời hạn vượt quá 398 ngày sẽ không được tin cậy trong các sản phẩm của Apple.
Việc giảm tuổi thọ của chứng thực đã được Apple và các thành viên khác của Diễn đàn CA/Browser đã được xem xét trong nhiều tháng. Chính sách này có những lợi ích và hạn chế của nó.
Mục đích của động thái này là cải thiện độ bảo mật của các trang web bằng cách đảm bảo các nhà phát triển sử dụng chứng thực với các tiêu chuẩn mật mã mới nhất và để giảm số lượng chứng thực cũ, bị bỏ quên, có khả năng bị đánh cắp và sử dụng lại cho các cuộc tấn công mã độc và lừa đảo. Nếu các nhà nghiên cứu hoặc những người khác có thể phá vỡ mật mã theo tiêu chuẩn SSL/TLS, chứng thực tồn tại trong thời gian ngắn sẽ đảm bảo mọi người chuyển sang sử dụng các loại chứng thực an toàn hơn trong khoảng một năm.
Việc rút ngắn tuổi thọ của chứng thực cũng tồn tại một số nhược điểm. Bằng cách tăng tần suất thay thế chứng thực, chủ sở hữu các trang web và các doanh nghiệp phải quản lý chứng thực và tuân thủ một cách nghiêm ngặt hơn. Các công ty cần phải tìm cách tự động hóa để hỗ trợ triển khai, gia hạn và quản lý vòng đời chứng thực để giảm chi phí nhân công và nguy cơ phát sinh lỗi khi tần suất thay thế chứng thực tăng lên.
Lưu ý rằng, Let Encrypt cấp các chứng thực HTTPS miễn phí hết hạn sau 90 ngày và cung cấp các công cụ để tự động gia hạn. Vì vậy, các chứng thực do Let Encrypt cấp sẽ hoạt động ổn định và hiện tại chúng được sử dụng trên rất nhiều các trang web.
GitHub.com sử dụng chứng thực có hạn hai năm, điều này sẽ vi phạm các quy tắc của Apple mặc dù chứng thực mà họ dùng đã được cấp trước thời điểm giới hạn. Tuy nhiên, nó sẽ được gia hạn vào tháng 6/2020.
Hãng Microsoft sử dụng chứng thực dot-com có thời hạn hai năm, sẽ hết hạn vào tháng 10/2020. Nếu Microsoft gia hạn thêm hai năm nữa, nó sẽ vi phạm chính sách của Safari.
Dường như không có thông báo công khai nào được đưa ra bởi Apple. Digicert đã có một chuyên trang về chính sách này vào ngày 19/2/2020. Tuy nhiên, họ đặt ra nghi vấn về việc tại sao Apple đơn phương quyết định thực thi một thời gian chứng thực ngắn hơn. Người phát ngôn của Apple cho rằng, hành động này là để bảo vệ người dùng. Thời gian tồn tại của chứng thực dài hơn là một thách thức với việc thay thế chứng thực trong trường hợp xảy ra sự cố bảo mật lớn. Chứng thực tồn tại trong thời gian ngắn sẽ cải thiện mức độ bảo mật vì chúng làm giảm thời gian phơi nhiễm nếu bị xâm phạm. Chúng cũng sẽ đảm bảo việc cập nhật hàng năm các thông tin như tên công ty, địa chỉ và tên miền đang hoạt động. Việc rút ngắn thời gian sống của chứng thực nên được cân bằng với mức độ khó khăn mà người dùng chứng thực cần vượt qua để thực hiện những thay đổi này.
Nguyễn Anh Tuấn
Theo The Register
14:00 | 18/10/2022
14:00 | 14/12/2018
11:00 | 07/11/2019
09:00 | 13/06/2019
09:00 | 03/04/2024
Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.
10:00 | 21/11/2023
Ngày 15/11, Microsoft công bố ra mắt bộ đôi chip điện toán thiết kế tùy chỉnh (Maia và Cobalt) dành cho AI, trong bối cảnh các công ty công nghệ lớn chạy đua tự phát triển chip nhằm giảm chi phí và tự chủ công nghệ lõi.
13:00 | 08/11/2023
Vừa qua, các chuyên gia phân tích nguy cơ của VMware đã công bố 34 trình điều khiển kernel (Kernel Driver) dễ bị tin tặc khai thác để sửa đổi firmware và leo thang đặc quyền.
15:00 | 26/10/2023
Ngày 17/10/2023, Google đã công bố bản cập nhật cho Play Protect với tính năng hỗ trợ quét mã theo thời gian thực để xử lý các ứng dụng độc hại mới trước khi tải xuống và cài đặt chúng trên thiết bị Android.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024