Google Chrome 70 sẽ ra mắt sau khoảng một tuần và tất cả các chứng chỉ SSL Symantec còn lại sẽ không tin cậy
Đây là tuần còn lại cuối cùng cho chủ sở hữu trang web sử dụng chứng chỉ SSL Symantec được cấp trước ngày 1 tháng 12 năm 2017 để thay thế chứng chỉ của họ. Nếu không trang web củ bạn sẽ bị đánh giá không an toàn. Tuần tới, Google sẽ tung ra Chrome 70 , và trình duyệt này sẽ không tin tưởng tất cả các chứng chỉ SSL thương hiệu Symantec CA còn lại. Điều này chỉ dành cho các trang web sử dụng chứng chỉ SSL phát hành từ gốc của Symantec . Nếu bạn đã cấp lại hoặc thay thế chứng chỉ SSL sau ngày 1 tháng 12 năm 2017 thì điều này không áp dụng cho bạn.
Và chúng tôi cũng đã viết 1 bài lí giải tại sao chứng chỉ Symantec không còn được Google tin tưởng. Tuy nhiên bạn cũng có thể theo dõi thêm để biết lí do.
Tại sao chứng chỉ SSL Symantec cần được thay thế?
Hãy ngồi lại và để tôi kể cho bạn nghe câu chuyện về Cơ quan cấp chứng chỉ và trình duyệt và cách hai công ty gần như phá vỡ internet.
Trở lại năm 2015, Symantec lần đầu tiên xuất hiện trên Google sau khi phát hành một số chứng chỉ không đủ tiêu chuẩn. Chúng ta có khuynh hướng hạ thấp mức độ nghiêm trọng của sai lầm đầu tiên này, nhưng nó khá lớn. Google phát hiện ra rằng Symantec đã phát hành các miền chứng chỉ SSL trái phép thuộc sở hữu của Google, Opera và ba tổ chức khác. Vụ bê bối khiến Symantec sa thải một số nhân viên và Google yêu cầu Symantec bắt đầu thêm tất cả các chứng chỉ được cấp cho các nhật ký Minh bạch của chứng chỉ (Certificate Transparency) . Tại thời điểm đó chỉ có các chứng chỉ EV được yêu cầu để được ghi lại.
Một năm sau, Symantec gặp rắc rối khi phát hành một loạt chứng chỉ kiểm tra mới. Trong khi Symantec tuyên bố đó chỉ là 33 chứng chỉ, Google ước tính nó giống như 30.000. Khi Google điều tra sâu hơn, họ phát hiện ra sự giám sát lỏng lẻo về xác thực ở một số khu vực.
Bây giờ, đây là nơi mà ý kiến có xu hướng phân chia. Từ quan điểm của trình duyệt (không chỉ Google, mà cả Mozilla, Apple và Microsoft), những sai lầm này đã làm suy yếu niềm tin vào toàn bộ PKI của Symantec. Làm thế nào có thể chứng nhận bất kỳ chứng chỉ SSL Symantec nào biết rằng có sự giám sát lỏng lẻo như vậy trong quá trình xác nhận cần thiết để phát hành. Theo logic đó, Symantec đã không còn được tin tưởng.
Chủ sở hữu trang web thường không chú ý đến các hoạt động của ngành chứng chỉ kỹ thuật số. Và Symantec là một trong số ít các thương hiệu có nhận diện thương hiệu chéo nhờ vào sản phẩm Norton Antivirus rất phổ biến của họ. Bên ngoài ngành công nghiệp SSL / TLS Symantec được hưởng một danh tiếng, đó là một phần của những gì đang nổi lên thị phần của nó.
Khách hàng không nên bị phạt vì đã chọn Symantec, đặc biệt là vì họ không có bất kỳ thông tin nào về những vấn đề này ngay từ đầu. Và mặc dù Google đã cố gắng cung cấp thời gian mở rộng để thay thế, đó vẫn là những gì đã xảy ra – những khách hàng của Symantec bị trừng phạt.
DigiCert tiết kiệm trong ngày
Kế hoạch ban đầu giữa Google và Symantec đã kêu gọi phát hành được chuyển giao cho một CA được quản lý cho đến khi Symantec có thể xây dựng lại PKI của riêng mình. Tuy nhiên, đó chưa bao giờ thực sự là một giải pháp đáng tin cậy. May mắn thay, DigiCert đã bước vào và mua lại Symantec CA vào mùa thu năm 2017 .
Về lâu dài, đó có lẽ là điều tốt nhất có thể xảy ra.
DigiCert không chỉ mua các quyền đối với nhãn hiệu và thương hiệu, mà còn mua lại các kĩ thuật lẫn cơ sở hạ tầng. Sau đó, họ sẽ phải tranh giành để tích hợp nhân sự mới, tích hợp các quy trình và hệ thống khác nhau và mở rộng mọi khía cạnh của hoạt động – hỗ trợ, quản lý tài khoản, bán hàng – để kết hợp với khách hàng của Symantec.
Và tất cả những điều này cần được hoàn thành vào đầu tháng 12 để nó có thể bắt đầu phát hành lại hàng triệu (hàng triệu) giấy chứng nhận trước thời hạn của Google.
Đó là một nỗ lực gần Herculean, và ngoài một hoặc hai trường hợp – những ngoại lệ – internet đã không bị phá vỡ.
Chứng nhận SSL của Symantec CA Nhãn hiệu nào sẽ không được tin cậy?
Sự không tin tưởng của Google-Symantec cuối cùng không chỉ ảnh hưởng đến các chứng chỉ SSL của Symantec, nó cũng ảnh hưởng đến các thương hiệu con của Symantec.
- Symantec
- GeoTrust
- Thawte
- RapidSSL
Đây là sự ngờ vực cuối cùng , vì thế bất kỳ chứng chỉ SSL nào được phát hành ra khỏi bất kỳ gốc nào của CA này sẽ bị phá vỡ. Đây là cách tốt nhất để tìm hiểu xem điều này có ảnh hưởng đến bạn không: Chứng chỉ SSL của bạn có được cấp sau ngày 1 tháng 12 năm 2017 không?
Kể từ tháng 12, DigiCert đã phát hành cho Symantec và các công ty con của mình ngoài nguồn gốc riêng của mình (nguồn gốc DigiCert). Vì vậy, miễn là chứng chỉ SSL thương hiệu Symantec CA của bạn đã được cấp hoặc cấp lại sau ngày 1 tháng 12 năm 2017, thì bạn không phải lo lắng.
Dưới đây là cách kiểm tra: bất kể bạn đang sử dụng trình duyệt nào, hãy nhấp vào biểu tượng ổ khóa trong thanh địa chỉ của trình duyệt và điều hướng đến chi tiết chứng chỉ. Bây giờ, hãy kiểm tra ngày Bắt đầu vào:
Nếu bạn đang sử dụng chứng chỉ SSL thương hiệu Symantec CA được phát hành trước ngày 1 tháng 12 năm 2017 và bạn chưa phát hành lại hoặc thay thế nó, bạn có khoảng một tuần trước khi trang web của bạn bị hỏng.
Điều gì xảy ra khi chứng chỉ SSL không còn được tin cậy?
Điều này rất khó giải thích mà không cần ít nhất một kiến thức cơ bản về cơ sở hạ tầng khóa công khai. Mỗi hệ thống máy tính đều giữ một Root Store. Cửa hàng này chứa một bộ chứng chỉ Root CA đáng tin cậy. Khi một CA phát hành chứng chỉ SSL, nó sẽ ký nó với một trong các khóa riêng của nó. Nếu chữ ký số đó có thể được truy ngược lại một trong các gốc trong kho lưu trữ tin cậy của hệ thống, thì hệ thống sẽ tin cậy chứng chỉ đó.
Những gì Google và các trình duyệt khác đã làm để không tin tưởng thương hiệu của Symantec CA là loại bỏ nguồn gốc của họ khỏi các chương trình Root khác nhau. Bây giờ khi một chứng chỉ SSL quay trở lại một trong những gốc rễ thương hiệu Symantec CA đã bị loại bỏ, thì trình duyệt sẽ không thể theo dõi nó trở lại một trong những gốc rễ trong kho lưu trữ tin cậy của nó và sẽ đưa ra cảnh báo trình duyệt về trang web.
Một trong những sai lầm lớn nhất trong tất cả các giao dịch này với chương trình gốc của Google. Giả định rõ ràng là Google Chrome sẽ sử dụng chương trình gốc của Google. Mặc dù trình duyệt Firefox của Mozilla dựa trên chương trình gốc của Mozilla, Google Chrome thực sự sử dụng cửa hàng gốc hiện diện trên bất kỳ hệ điều hành nào đang chạy trên đó (Apple, Microsoft, v.v.). Chương trình gốc của Google dành cho hệ điều hành Android.
Vậy làm thế nào Google có thể không tin tưởng một root trong Chrome trước khi các chương trình gốc không tin tưởng nó? Danh sách đen. Google lọc rễ dựa vào danh sách cấm của chính nó, cho phép nó không tin tưởng vào nguồn gốc mà không cần chạy chương trình gốc của riêng nó cho Chrome.
Tôi cần làm gì nếu chứng chỉ SSL của tôi sẽ không tin cậy?
Đừng hoảng sợ. Vẫn còn khoảng một tuần trước khi Google tung ra Chrome 70. Nhưng bạn cần phải hành động ngay bây giờ, Chrome là trình duyệt được sử dụng nhiều nhất trên thế giới, với hơn 50% thị phần.
Nếu trang web của bạn đang sử dụng chứng chỉ SSL bị ảnh hưởng, bạn nên liên hệ với bên cung cấp dịch vụ SSL cho bạn và yêu cầu trợ giúp trong vấn đề này.
Và do thực tế rằng nhiều chứng chỉ SSL này sẽ cần phải được gia hạn trong vòng vài tháng sau khi phát hành lại, DigiCert cũng đã mở rộng cửa sổ cho các gia hạn . Bây giờ chủ sở hữu trang web có thể gia hạn và thực hiện tối đa bảy tháng đối với chứng chỉ mới của họ. Điều này sẽ giúp giảm gánh nặng hành chính đáng kể.
Và một điều cuối cùng, các thương hiệu của Symantec CA đáng tin cậy một lần nữa khi chúng được điều hành bởi DigiCert. Tất cả các chứng chỉ SSL thương hiệu Symantec CA – Symantec, GeoTrust, Thawte & RapidSSL – chuỗi trở lại các nguồn tin cậy DigiCert kể từ ngày 1 tháng 12 năm 2017.
Vì vậy, một lần cuối cùng: đây là cơ hội cuối cùng của bạn để thay thế bất kỳ chứng chỉ SSL thương hiệu gốc Symantec CA nào được phát hành trước ngày 1 tháng 12 năm 2017 trước khi trang web của bạn bị hỏng. Đừng chờ đợi về điều này.