Một đề xuất trên Diễn đàn CA / Trình duyệt mới đang được thảo luận bây giờ sẽ rút ngắn tuổi thọ chứng chỉ SSL tối đa xuống còn 13 tháng. Điều này xuất hiện sau khi tuổi thọ giảm từ 39 xuống còn 27 tháng, có hiệu lực vào tháng 3 năm 2018. Nếu được thông qua, những thay đổi này sẽ có hiệu lực vào tháng 3 năm 2020. Blog này phân tích giá trị của đề xuất này và cách lợi ích bảo mật được đề xuất so sánh với tác động đối với người dùng chứng chỉ .
Chứng chỉ một năm có an toàn hơn không?
Trong nhiều năm, các chứng chỉ mà các trang web được bảo vệ có thời gian tồn tại tối đa là ba năm. Các chứng chỉ này chỉ được cấp sau khi xem xét cẩn thận tất cả thông tin có trong chứng chỉ và có thể bị thu hồi nếu thông tin không còn hiệu lực.
Có một nỗ lực trước đây để giảm tuổi thọ chứng chỉ xuống còn một năm, vào đầu năm 2017, đã bị Diễn đàn CA / B từ chối. Bây giờ, đề xuất tương tự đang được thực hiện một lần nữa. Điều gì đằng sau những đề xuất này, và họ có làm gì để tăng tính bảo mật của chứng thư số không?
Bảo vệ lưu lượng truy cập Internet
Trên internet hiện đại, chứng chỉ kỹ thuật số rất cần thiết để bảo vệ lưu lượng truy cập đến và từ các trang web, bao gồm các trang web có giá trị cao nhất. Các thông tin liên lạc này có thể bao gồm tất cả các loại thông tin nhạy cảm, bao gồm thông tin thanh toán, mật khẩu, thông tin sức khỏe được bảo vệ, bí mật thương mại và thông tin bí mật khác liên quan đến công việc. Các trang web này phải bảo vệ ba trụ cột về bảo mật thông tin: bảo mật, toàn vẹn và sẵn có. Tất cả các thông tin liên lạc cần phải được mã hóa, không có khả năng sửa đổi chúng và không có thời gian chết.
Để đảm bảo điều này, những người duy trì các trang web đó phải kiểm soát chặt chẽ về thời điểm và cách thức máy chủ của họ có thể được sửa đổi và phần mềm nào có thể chạy trên máy chủ của họ. Trong nhiều trường hợp, đặc biệt là trong ngành tài chính và chăm sóc sức khỏe, có những yêu cầu kiểm toán và tuân thủ nghiêm ngặt chi phối các quy trình quản lý thay đổi này.
Nói đến vòng đời chứng chỉ ngắn hơn, đặc biệt là dưới một năm, như đã được đề xuất có thể sẽ đến trong tương lai gần, gây ra những chi phí đáng kể. Mỗi thay đổi phải được kiểm tra cẩn thận để đảm bảo rằng nó đã được thực hiện chính xác và không ảnh hưởng tiêu cực đến bảo mật của hệ thống. Thực hiện các thay đổi như vậy theo cách tự động là hấp dẫn, nhưng làm tăng đáng kể độ phức tạp của các hệ thống đó và tăng bề mặt tấn công bằng cách giới thiệu các tác nhân phần mềm mới trên các hệ thống quan trọng. Tệ hơn nữa, những tác nhân phần mềm đó kết nối với internet và tải chứng chỉ trực tiếp lên các hệ thống đáng tin cậy. Cần phải chăm sóc đáng kể để đảm bảo điều này không ảnh hưởng xấu đến an ninh của hệ thống.
Chúng tôi tin rằng mục tiêu cải thiện bảo mật chứng chỉ được phục vụ tốt hơn bằng cách cho phép nhiều thời gian hơn để các công ty tiếp tục sử dụng tự động hóa ngày càng tăng, để kiểm tra hệ thống của họ và chuẩn bị cho những thay đổi này. Điểm chính là bất kỳ lợi ích nào của việc giảm tuổi thọ chứng chỉ là lý thuyết, trong khi rủi ro và chi phí để thực hiện các thay đổi, đặc biệt là trong một khoảng thời gian ngắn, là có thật.
Lợi ích bảo mật được đề xuất
Vì vậy, lợi ích bảo mật được đề xuất mà biện minh cho chi phí này là gì? Rõ ràng là có bất kỳ điều gì cả. Thay đổi này hoàn toàn không ảnh hưởng đến các trang web độc hại, hoạt động trong khoảng thời gian rất ngắn, nhiều nhất là từ vài ngày đến một hoặc hai tuần. Sau đó, tên miền đã được thêm vào các danh sách đen khác nhau và kẻ tấn công chuyển sang một tên miền mới và có được chứng chỉ mới.
Một lợi ích khác đôi khi được đề xuất là chứng chỉ trọn đời ngắn hơn cho phép chuyển đổi nhanh hơn khi các quy tắc tuân thủ thay đổi. Tuổi thọ chứng chỉ hai năm có nghĩa là chứng chỉ được cấp ngày hôm nay vẫn còn khoảng hai năm nữa. Nhưng đó không phải là trách nhiệm của những người quản lý hệ sinh thái chứng chỉ để đưa ra các quy tắc tuân thủ có thể tồn tại ít nhất là lâu? Việc thay đổi liên tục các quy tắc để cấp chứng chỉ với ít thời gian thực hiện sẽ không cho những người triển khai hoặc dựa vào chứng chỉ đủ thời gian để nhận thức được các thay đổi, phân tích chúng và xác định tác động trên hệ thống của họ và chuẩn bị đầy đủ để cập nhật hệ thống của họ một cách có trách nhiệm, bao gồm cả việc tuân thủ tất cả các yêu cầu quy định khác.
Cũng cần lưu ý rằng thay đổi này áp dụng cho tất cả các công ty, bất kể tình huống của họ, trên dòng thời gian tương đối ngắn. Những loại nhiệm vụ ngắn hạn này có nguy cơ chuyển hướng các nguồn lực từ các cải tiến bảo mật quan trọng hơn khác đang được tiến hành tại nhiều công ty.t