9 điều người dùng hay nhầm tưởng về Certificate Authority

Ngô Dũng

Trong những năm qua, những quan niệm sai lầm về CA và cơ sở hạ tầng SSL đã xuất hiện. Dưới đây là danh sách các huyền thoại phổ biến liên quan đến SSL và CA.

Chuyện hoang đường số 1: CA không quản lý

Sự thật: Các CA phải chịu nhiều kiểm tra và số dư khác nhau, bao gồm kiểm toán đủ điều kiện của bên thứ ba thông qua WebTrust hoặc ETSI và các tiêu chí nghiêm ngặt được đặt ra bởi các trình duyệt hàng đầu, trước khi chúng được chấp nhận trong các cửa hàng gốc của trình duyệt. Tương tự, các Yêu cầu cơ bản và Nguyên tắc bảo mật mạng của Diễn đàn CA / Browser thiết lập các tiêu chuẩn toàn cầu để cấp chứng chỉ và kiểm soát CA sẽ sớm được đưa vào các tiêu chuẩn kiểm toán của bên thứ ba. Các trình duyệt có thể tự do sử dụng các yêu cầu này để loại trừ các CA không tuân thủ khỏi kho lưu trữ gốc.

Chuyện hoang đường số 2: CA không cung cấp giá trị

Sự thật: Trong hơn 20 năm, CA đã đóng một vai trò quan trọng như người bảo vệ niềm tin trực tuyến bằng cách sử dụng các phương pháp nghiêm ngặt để xác nhận các yêu cầu chứng chỉ từ các tổ chức trước khi cấp chứng chỉ kỹ thuật số. Phương pháp xác nhận có thể bao gồm xác minh quyền sở hữu tên miền, đăng ký kinh doanh, ủy quyền của người nộp đơn để yêu cầu chứng chỉ thay mặt cho tổ chức của họ và các tài liệu pháp lý khác. Các CA dành nhiều thời gian làm việc để bảo đảm trung tâm dữ liệu và hoạt động nội bộ của họ, đào tạo nhân viên của họ về các thực tiễn tốt nhất để xác nhận và cấp chứng chỉ và thực thi kiểm soát ngành bằng cách sử dụng kiểm tra lỗ hổng và kiểm tra thâm nhập định kỳ cùng với kiểm toán của bên thứ ba hàng năm. Chứng chỉ tự ký (những chứng chỉ được cấp mà không có bất kỳ xác thực CA nào) cho phép mã hóa đến và đi từ một trang web, nhưng không đảm bảo về danh tính của trang web.

Chuyện hoang đường số 3: Tất cả các loại chứng chỉ do CA cấp đều giống nhau

Sự thật: CA phát hành nhiều loại chứng chỉ để xử lý các mục đích khác nhau. Các loại chứng chỉ khác nhau bao gồm chứng chỉ SSL bảo mật các giao dịch trang web, chứng chỉ ký mã bảo vệ các ứng dụng khỏi giả mạo và phần mềm độc hại, chứng chỉ S / MIME xác thực trao đổi email và chứng chỉ xác thực ứng dụng khách được sử dụng trong cài đặt PKI của doanh nghiệp.

CA cũng cung cấp chứng chỉ SSL với các loại xác nhận khác nhau. Tùy thuộc vào chứng chỉ, CA có thể xác minh như sau:

  • Đăng ký tên miền (DV) cho thực thể yêu cầu chứng chỉ.
  • Tổ chức đó là một thực thể pháp lý đã đăng ký và người yêu cầu chứng nhận được ủy quyền hành động thay mặt cho tổ chức (OV).
  • Tổ chức đó có số điện thoại được xác minh, địa chỉ kinh doanh hợp pháp và người yêu cầu được xác minh (EV).
  • Cả chứng chỉ EV và OV đều bao gồm thông tin nhận dạng về chủ sở hữu chứng chỉ trong trường tổ chức của chứng chỉ.

Chuyện hoang đường số 4: Các CA không chuyên nghiệp, không phản hồi và không sẵn sàng chấp nhận các thay đổi cần thiết trong giao thức SSL

Sự thật: Đây là một sự hiểu lầm phổ biến được duy trì bởi những người tích cực phản đối CA và ủng hộ các mô hình thay thế. Cùng nhau, các thành viên CASC tham gia vào hàng chục cơ quan xây dựng tiêu chuẩn ngành, các nhóm giáo dục và tổ chức nghiên cứu và họ thường xuyên hỗ trợ soạn thảo các đề xuất và áp dụng các tiêu chuẩn. Các thành viên CASC tích cực làm việc với các trình duyệt, dựa vào các bên và các bên liên quan khác để tăng cường bảo mật internet thông qua các biện pháp thiết thực, chu đáo và nghiên cứu hợp tác. Phần lớn hộp thoại này diễn ra trong một cài đặt công khai, chẳng hạn như các cuộc thảo luận về Diễn đàn CA / Trình duyệt.

Chuyện hoang đường số 5: SSL bị hỏng ngoài sửa chữa và chúng ta phải tìm một hệ thống thay thế mới để xác thực danh tính trực tuyến

Sự thật: Giao thức SSL đã được chứng minh là rất mạnh mẽ và chứng chỉ SSL vẫn là hệ thống mật mã có thể mở rộng và đáng tin cậy nhất thế giới. Báo cáo về các sự cố bảo mật cấu hình cao được cho là do thiếu kiểm soát bảo mật nội bộ phù hợp ở cấp thực thể thay vì lỗi toàn hệ thống. Các thành viên của CASC đang tập trung vào việc thắt chặt các tiêu chuẩn toàn cầu để giảm thiểu những sự cố như vậy trong tương lai. Mặc dù không có giải pháp bảo mật nào là bằng chứng 100% vì các mối đe dọa đang phát triển, con đường tốt nhất phía trước là một trong những cải tiến thực tế, có thể mở rộng cho hệ thống hiện tại thay vì cố gắng thay thế các CA đáng tin cậy công khai bằng các công nghệ hạn chế và chưa được kiểm chứng.

Chuyện hoang đường số 6: SSL là một hệ thống lỗi thời với quá nhiều lỗ hổng để hoạt động lâu dài

Sự thật: Đã hình thành xương sống của bảo mật internet trong hơn 20 năm, chứng chỉ từ các CA đáng tin cậy công khai vẫn là phương pháp được chứng minh, đáng tin cậy và có thể mở rộng nhất để bảo vệ các giao dịch internet. Các CA tiếp tục hợp tác với các trình duyệt và các bên khác để tăng cường giao thức SSL và cho phép các chức năng bổ sung sẽ tiếp tục đáp ứng các mối đe dọa đang phát triển và bảo vệ tất cả người dùng.

Chuyện hoang đường số 7: Có hơn 600 CA – quá nhiều thứ để xử lý và SSL là một thứ hàng hóa của doanh nghiệp 

Sự thật: Mặc dù hàng trăm certs trung gian có thể tồn tại trên toàn thế giới,  cửa hàng gốc của Mozilla chỉ liệt kê 65 chủ sở hữu độc quyền hoặc chứng chỉ gốc đáng tin cậy và hơn 99 phần trăm tất cả các chứng chỉ SSL được cấp bắt nguồn từ chứng chỉ gốc của bảy nhà cung cấp lớn nhất thế giới. Mỗi công ty hàng đầu này đều được WebTrust kiểm toán bởi một công ty kế toán bên thứ ba được công nhận và tuân theo các tiêu chuẩn được thông qua bởi Diễn đàn CA / Browser và các cơ quan khác. Mỗi CA chịu trách nhiệm cho cả khách hàng của mình và nhà khai thác cửa hàng gốc của trình duyệt. Do sự lãnh đạo của các CA có trách nhiệm, ngành công nghiệp SSL luôn đi trước các mối đe dọa đang phát triển. Các ví dụ gần đây về sự tiến hóa của CA bao gồm việc không sử dụng tên máy chủ nội bộ, triển khai các mẫu SHA-2 và 2048 bit và hướng dẫn bảo mật nâng cao. Khả năng phát triển của CA là những gì sẽ tạo ra một mạng internet an toàn trong nhiều năm tới.

Chuyện hoang đường số 8: Việc thu hồi chứng chỉ là không cần thiết. Lợi ích của nó không vượt quá các vấn đề hiệu suất trình duyệt tiềm năng mà nó gây ra

Sự thật: Việc thu hồi chứng chỉ đóng vai trò chính trong hệ sinh thái SSL như một công cụ xác thực hàng đầu trong việc xác định liệu chứng chỉ có đáng tin cậy hay không. Mỗi ngày, hàng tỷ yêu cầu trạng thái chứng chỉ được gửi đến các máy chủ phản hồi thu hồi được đặt trên khắp thế giới. Các máy chủ này thông báo cho trình duyệt về việc chứng chỉ không còn hợp lệ nữa. Điều này bảo vệ người dùng bằng cách đảm bảo trình duyệt có thông tin mới nhất về các mối đe dọa và sự cố trên toàn thế giới. Các thành viên CASC đang làm việc với các trình duyệt và các bên khác để cải thiện hơn nữa các phương pháp hiện có và phát triển các hệ thống thu hồi mới nhằm cân bằng hiệu quả và bảo mật và cung cấp trải nghiệm đáng tin cậy cho tất cả người dùng internet.

Chuyện lầm tưởng 9: CA không có động lực để đổi mới và thực hiện các thay đổi cần thiết

Sự thật: Các CA có động cơ cao nhất để ban hành các thay đổi cần thiết và đang làm việc cùng nhau để cải thiện hệ thống SSL. Danh tiếng của CA là điều cần thiết cho sự sống còn của nó. Do đó, các thành viên của CASC làm việc rất chăm chỉ để phát triển ngành công nghiệp và duy trì một tư thế bảo mật tích cực và hiệu quả đối với các hệ thống của chính họ và của các khách hàng mà họ phục vụ. Các tiêu chuẩn bắt buộc được áp dụng gần đây bao gồm những điều sau đây (với những điều khác hiện đang được tranh luận):

  • Yêu cầu cơ bản
  • Nguyên tắc bảo mật mạng
  • Ký mã EV và cải tiến theo tiêu chuẩn EV SSL
0/5 (0 Reviews)

Leave a Comment