Chứng chỉ SSL EV bị khai tử? Sự đáng sợ của các nhà cung cấp trình duyệt

Chứng chỉ EV giúp cung cấp sự đảm bảo của người dùng và niềm tin của người hâm mộ. Loại bỏ chúng sẽ mở ra cánh cửa cho các vấn đề an ninh lớn hơn.

Khi nói đến bảo mật trình duyệt web, tất cả chúng ta đều được thông báo rằng biểu tượng ổ khóa có nghĩa là trang web chúng ta đang truy cập là an toàn. Đằng sau ổ khóa nhỏ đó là chứng chỉ SSL đáng tin cậy công khai, một công cụ kỹ thuật số được thiết kế để xác thực tính xác thực và danh tính của công ty hoặc bên đứng sau trang web. Điều này rất quan trọng vì hai lý do: Về phía người tiêu dùng, các khóa móc này cho chúng tôi niềm tin vào các tương tác trực tuyến và cảm giác an toàn tương đối trong trình duyệt trực tuyến của chúng tôi. Về mặt kinh doanh, danh tiếng, nó cho phép một công ty cung cấp cho trình duyệt trang web sự tự tin và tin tưởng vào danh tính của mình.

Về mặt kỹ thuật, chứng chỉ SSL / TLS cung cấp một đường hầm mã hóa giữa máy chủ web và trình duyệt. Về cơ bản có ba cấp độ khác nhau của chứng chỉ tin cậy công khai. Đầu tiên là mã hóa cơ bản, được cung cấp bởi những gì được gọi là chứng chỉ xác thực tên miền (DV). Chứng chỉ DV rất dễ lấy, thường không yêu cầu nhiều thậm chí còn miễn phí. Chứng chỉ thứ hai, được gọi là chứng nhận hợp lệ (OV) của tổ chức, yêu cầu nhiều công việc hơn khi chúng được cấp sau khi nhận dạng trang web có thể được liên kết với một công ty. Thứ ba là tăng cường xác nhận (EV). Chứng chỉ EV thường được sử dụng bởi các doanh nghiệp vừa cho các doanh nghiệp lớn, vì chúng cung cấp mức độ đảm bảo và khả năng hiển thị cao nhất cho người dùng. Chứng chỉ EV là một chi phí và mất nhiều thời gian hơn để có được, nhưng thời gian và chi phí rất xứng đáng với mức độ tin cậy và tin cậy của trang web mà nó cung cấp. Chứng chỉ EV cũng đặt tên công ty vào thanh địa chỉ bằng biểu tượng ổ khóa. Tất cả các cấp chứng chỉ được tạo và cung cấp thông qua cơ quan cấp chứng chỉ, nhưng không phải tất cả các chứng chỉ đều được tạo như nhau. Các nhà sản xuất trình duyệt lớn, Google, Safari, Firefox và Microsoft, là bước cuối cùng để phát hành, chấp nhận hoặc từ chối chứng nhận của trang web.

Trở lại năm 2005, một nhóm các cơ quan cấp chứng chỉ đã thành lập một diễn đàn với các nhà sản xuất trình duyệt có tên là Diễn đàn CA / Browsers . Công việc của diễn đàn, với tư cách là một tập thể, là liên tục thiết kế và sửa đổi các công cụ và biện pháp với mục tiêu bảo mật internet .

Trong tháng trước, Diễn đàn CA / Browsers và các nhà sản xuất trình duyệt lớn đã công bố các biện pháp thay đổi riêng biệt sẽ tác động mạnh mẽ đến bối cảnh của internet, có lẽ không được biết đến đối với người tiêu dùng trung bình.

Đầu tháng 8, diễn đàn đã công bố đề xuất giảm hiệu lực tối đa của chứng chỉ SSL / TLS từ hai năm (như thông lệ ngày nay) xuống còn một năm, bắt đầu từ tháng 3 năm 2020. Đồng thời, Google và Firefox tuyên bố kế hoạch ngừng hiển thị tên công ty trong thanh URL, có nghĩa là loại bỏ chứng chỉ EV.

Các nhà sản xuất trình duyệt trích dẫn một số lý do cho sự thay đổi, cụ thể là bao gồm tên công ty trong thanh địa chỉ chiếm một vị trí có giá trị. Họ cũng tuyên bố rằng không có nhiều bằng chứng chứng minh EV chứng nhận tăng cường bảo mật của trang web chống lại sự thỏa hiệp hoặc tấn công. Cách khác, họ đề xuất, là làm cho việc cấp chứng chỉ có thể truy cập và tiêu chuẩn cho tất cả mọi người thông qua một nhà cung cấp như Let Encrypt. Không giống như các cơ quan cấp chứng chỉ, Let Encrypt cung cấp miễn phí chứng chỉ SSL đáng tin cậy cho tất cả các trang web cho các trang web. Đây là một khái niệm đầy hứa hẹn, đặc biệt là với số lượng trang web ngày nay không có chứng chỉ SSL liên kết với trang web của họ. Vấn đề với cách tiếp cận một kích cỡ phù hợp là các yếu tố khác biệt và rào cản nhập cảnh mà chứng chỉ EV cung cấp bị tước bỏ. Điều này có tác động tiềm năng đáng kể trong thế giới kinh doanh, nơi các công ty đang tiến hành chiến tranh chống lại các tin tặc giành chiến thắng thông qua hành vi trộm cắp danh tính, mạo danh và lừa đảo. Đối với người dùng trung bình, mọi trang web sẽ trông giống nhau từ góc độ bảo mật, có nghĩa là niềm tin sẽ bằng niềm tin, khiến họ không có cách nào để nói với một cơ quan có thẩm quyền từ một trang web độc hại.

Mặc dù có tranh luận về việc cung cấp chứng chỉ có sẵn cho tất cả các trang web, điều này sẽ đưa chúng đến mức hợp lệ tiêu chuẩn, nhưng thực tế là tiêu chuẩn sẽ vẫn ở mức thấp, vì Let Encrypt và các công ty khác chỉ cấp chứng chỉ DV, hoặc mã hóa cơ bản. Tin tặc vẫn sẽ mạo danh các doanh nghiệp, xin giấy chứng nhận và xây dựng các trang web nhân bản với mục đích lừa đảo khách hàng và khách hàng tiềm năng của doanh nghiệp. Một quy trình ứng dụng đơn giản, chi phí thấp có nghĩa là một hacker được trang bị thông tin cơ bản của công ty có thể hoàn tất quy trình và xây dựng một thực thể giống nhau có thể lừa khách truy cập trang web một cách dễ dàng.

Bên ngoài các biện pháp hướng dẫn của Diễn đàn CA / Trình duyệt, web trên toàn thế giới vẫn chưa được kiểm soát, có nghĩa là nó trở thành cơ hội cho các tin tặc cơ hội sẵn sàng đưa công việc vào và là cơn ác mộng cho những người truy cập trang web không tin tưởng và tin tưởng.

Trong chương trình bảo mật lớn, các nguyên tắc cơ bản như chứng chỉ thường được coi là được cấp và đánh giá thấp trong vai trò của chúng đối với an ninh của người tiêu dùng và doanh nghiệp trên thị trường kỹ thuật số. Tuy nhiên, chúng ta đã bước vào thời đại giám sát an ninh và cải cách quy định. Các quy định về quyền riêng tư dữ liệu, hướng dẫn của chính phủ và ngành có nghĩa là mọi doanh nghiệp đều cam kết bảo vệ dữ liệu của khách hàng cũng như thương hiệu và uy tín của chính họ. Loại bỏ khả năng của một công ty để chứng minh mức độ xác thực của mình đối với khách truy cập thông qua chứng nhận tước trách nhiệm bảo mật và trách nhiệm bảo mật của công ty. Nó cũng vô tình mở ra một loạt các rủi ro bảo mật mới.

Chứng chỉ tin cậy công khai thể hiện mức độ tin cậy trong một mạng internet không tin cậy. Là chuyên gia bảo mật và tin cậy, nhiệm vụ của chúng tôi là giúp thúc đẩy niềm tin kỹ thuật số; một bản cập nhật trình duyệt dường như vô hại như thế này có khả năng loại bỏ niềm tin vào một thao tác đơn giản.

bình luận

Leave a Comment