Chrome gây lỗi trên các trang web sử dụng chứng chỉ SSL của Symantec

Nếu bạn đã gặp phải lỗi trong tháng qua khi cố gắng truy cập vào các trang web trên máy tính của bạn hoặc điện thoại Android cho phép HTTPS, nó có thể là do một lỗi trong Chrome.

Các lỗi ảnh hưởng đến xác nhận cho một số chứng chỉ SSL do Symantec, một trong những cơ quan chứng nhận lớn nhất thế giới, cũng như của GeoTrust và Thawte, hai CA mà Symantec cũng kiểm soát.

Lỗi này đã được giới thiệu trong phiên bản Chrome 53, mà còn ảnh hưởng đến thành phần WebView Android mà các ứng dụng Android sử dụng để hiển thị nội dung web, ông Rick Andrews, giám đốc kỹ thuật cao cấp của Symantec trong một bài đăng blog hôm thứ Sáu.

Để khắc phục vấn đề này trên Android, người dùng cuối nên nâng cấp lên phiên bản mới nhất của WebView và với phiên bản Chrome sắp tới 55, ông nói. “Các nhà phát triển sử dụng Android mã nguồn mở Platform (AOSP) sẽ cần phải xem xét các ứng dụng riêng của họ để đảm bảo khả năng tương thích.”

Mặc dù đó là một thành phần hệ thống, bắt đầu với Android 5.0 (Lollipop), WebView được phân phối như một gói ứng dụng đó là nâng cấp thông qua cửa hàng Google Play.

Trang 55 của WebView hệ thống Android đã được phát hành vào ngày 01 tháng 12, nhưng Chrome cho Android vẫn đang ở phiên bản 54, được phát hành vào cuối tháng Mười.

Google thực hiện thay đổi trong phiên bản 54 của Chrome trên Windows, Mac, Linux và iOS, cũng như để Chromium và Tab tùy chỉnh Chrome để chứng Symantec không còn lỗi niềm tin kích hoạt. Tuy nhiên, vấn đề là hoàn toàn vá cho tất cả các nền tảng trong phiên bản Chrome 55, Andrews cho biết.

Điểm mấu chốt là để được ở bên an toàn, bạn nên nâng cấp tất cả các phần mềm Chrome của bạn dựa trên phiên bản 55 ngay sau khi nó trở nên có sẵn cho nền tảng của bạn. Đối với nhiều nền tảng, phiên bản này được phát hành vào ngày 01 tháng 12.

Vấn đề thực sự bắt nguồn từ quyết định của Google để buộc Symantec công bố tất cả các chứng chỉ do CA của công ty sau ngày 1 tháng 6 để cấp Chứng minh bạch (CT) ghi công.

Quyết định này được thực hiện sau khi một cuộc điều tra nội bộ Symantec vào phát hành trái phép một giấy chứng nhận xác nhận mở rộng (EV) cho google.com năm ngoái bỏ hơn 150 giấy chứng nhận khác ban hành mà không chấp thuận của chủ sở hữu tên miền. Symantec cho biết tại thời điểm đó đã được cấp cho mục đích thử nghiệm và không bao giờ thực sự rời khỏi công ty.

Kể từ CA phụ thuộc vào các nhà cung cấp trình duyệt để tin tưởng các chứng chỉ gốc của họ bên trong sản phẩm của họ, các công ty như Google, Mozilla, Microsoft và Apple có thể giữ chúng vào tài khoản khi vi phạm các quy định giấy chứng nhận phát hành. Sau sự cố Symantec, Google đã triển khai một cơ chế trong Chrome phiên bản 53 đến chứng chỉ tin tưởng chỉ được phát hành bởi các công ty sau 01 tháng sáu năm 2016, tuân thủ với các chính sách ràng của chứng chỉ.

Tuy nhiên, một cơ chế khác trong trình duyệt đặt ra một giới hạn 10 tuần đã tin tưởng dữ liệu CT, để tránh thông tin đó trở thành cũ. Khi điều này được kết hợp với việc kiểm tra CT-tuân thủ thực thi cấp chứng chỉ Symantec nógây ra thất bại không lường niềm tin ngay cả đối với giấy chứng nhận tuân thủ.

bình luận

Leave a Comment