Google muốn giảm tuổi thọ của chứng chỉ SSL (được sử dụng để bảo mật lưu lượng được mã hóa HTTPS) từ hai năm hiện tại xuống chỉ còn hơn một năm.
Đề xuất này được đưa ra bởi Ryan Handi, đại diện của Google, tại một cuộc họp F2F của Diễn đàn CA / B ở Thessaloniki, Hy Lạp, vào tháng 6.
Diễn đàn CA / B là một nhóm ngành không chính thức được tạo thành từ các cơ quan cấp chứng chỉ (CA; công ty phát hành chứng chỉ SSL) và các nhà sản xuất trình duyệt.
Chưa có phiếu bầu nào được tổ chức
Đề xuất của Per Handi, bắt đầu từ tháng 3 năm 2020 với mong muốn tuổi thọ của tất cả các chứng chỉ SSL mới được cấp sẽ trở thành 397 ngày (khoảng một năm và một tháng) thay vì 825 ngày hiện tại (khoảng hai năm và ba tháng).
Không có phiếu bầu được tổ chức theo đề xuất; tuy nhiên, hầu hết các nhà cung cấp trình duyệt bày tỏ sự ủng hộ của họ đối với tuổi thọ của chứng chỉ SSL mới.
Mặt khác, các cơ quan cấp chứng chỉ không quá vui mừng, để nói rằng ít nhất. Trong thập kỷ rưỡi qua, các nhà sản xuất trình duyệt đã giảm tuổi thọ của chứng chỉ SSL, cắt giảm từ tám năm xuống còn năm, sau đó xuống còn ba, rồi xuống còn hai.
Thay đổi cuối cùng xảy ra vào tháng 3 năm 2018, khi các nhà sản xuất trình duyệt cố gắng giảm tuổi thọ chứng chỉ SSL từ ba năm xuống còn một, nhưng đã bị xâm phạm trong hai năm sau khi bị đẩy lùi từ các cơ quan cấp chứng chỉ.
Bây giờ, chỉ hai năm sau khi thay đổi cuối cùng, các cơ quan cấp chứng chỉ cảm thấy bị bắt nạt bởi các nhà sản xuất trình duyệt chấp nhận kế hoạch ban đầu của họ, bất kể phiếu bầu năm 2018.
DigiCert không ủng hộ
Timothy Hollebeek, đại diện của DigiCert tại Diễn đàn CA / B, gần đây đã viết một bài đăng trên blog thể hiện quan điểm của công ty về đề xuất mới, điều này, không ngạc nhiên, không ủng hộ kế hoạch của Google.
“Vì vậy, lợi ích bảo mật được đề xuất là gì để chứng minh chi phí này? Không rõ ràng rằng có bất kỳ điều gì cả”, Hollebeek nói.
“Thay đổi này hoàn toàn không ảnh hưởng đến các trang web độc hại, hoạt động trong khoảng thời gian rất ngắn, từ vài ngày đến một hoặc hai tuần. Sau đó, tên miền đã được thêm vào danh sách đen khác nhau và kẻ tấn công chuyển sang tên miền mới và có được chứng chỉ mới. “
Giám đốc điều hành DigiCert giải thích rằng, thay vào đó, việc thay đổi tuổi thọ chứng chỉ SSL ngắn hơn này sẽ tạo ra nhiều chi phí hơn cho khách hàng của họ (người dùng / người mua SSL certs), hiện phải phân bổ nhiều nhân lực hơn để giữ cho chứng chỉ SSL được cập nhật hoặc thực hiện cập nhật bảo trì khi hết hạn.
Hơn nữa, Hollebeek cũng lập luận rằng “chứng chỉ trọn đời ngắn hơn cho phép chuyển đổi nhanh hơn khi quy tắc tuân thủ thay đổi” cũng không phải là lý do chính đáng vì các tiêu chuẩn không nên thay đổi thường xuyên ở nơi đầu tiên.
Vấn đề “thu hồi SSL”
Nhưng trong một chủ đề Twitter phản ứng với bài đăng trên blog của Hollebeck, nhà nghiên cứu bảo mật Scott Helme lập luận rằng lợi ích bảo mật của tuổi thọ chứng chỉ SSL ngắn hơn không liên quan gì đến các trang web lừa đảo hoặc phần mềm độc hại, mà thay vào đó là quy trình thu hồi chứng chỉ SSL.
Helme tuyên bố rằng quy trình này đã bị hỏng và chứng chỉ SSL xấu tiếp tục tồn tại trong nhiều năm sau khi bị bỏ lỡ và bị thu hồi – do đó, lý do khiến ông lập luận trở lại vào đầu năm 2018 rằng tuổi thọ ngắn hơn cho chứng chỉ SSL sẽ khắc phục vấn đề này vì chứng nhận SSL xấu sẽ được loại bỏ nhanh hơn.
Sectigo (trước đây là Comodo), cơ quan chứng nhận lớn nhất trên thị trường, đã có một giai điệu tích cực hơn đối với sự thay đổi, so với lập trường đối lập mạnh mẽ hơn của DigiCert. Công ty đã tận dụng cơ hội của sự thay đổi tiềm năng để làm nổi bật các công cụ của mình để tự động gia hạn chứng chỉ SSL , thay vì tham gia vào cuộc chiến công khai với các nhà sản xuất trình duyệt.
Trình duyệt tạo quy tắc
Và cuộc chiến này giữa CA và các nhà sản xuất trình duyệt đã xảy ra trong bóng tối trong nhiều năm. Như HashingOut, một blog dành riêng cho các tin tức liên quan đến HTTPS, chỉ ra, đề xuất này liên quan nhiều đến việc chứng minh ai kiểm soát cảnh quan HTTPS hơn tất cả mọi thứ.
“Nếu các CA bỏ phiếu cho biện pháp này, có khả năng các trình duyệt có thể hành động đơn phương và chỉ buộc thay đổi,” HashingOut nói . “Điều đó không phải không có tiền lệ, nhưng nó cũng không bao giờ xảy ra đối với một vấn đề truyền thống phổ biến như thế này.
“Nếu đúng như vậy, sẽ rất công bằng khi hỏi quan điểm của Diễn đàn CA / B là gì. Bởi vì vào thời điểm đó, các trình duyệt về cơ bản sẽ được phán quyết bằng nghị định và toàn bộ bài tập sẽ chỉ là một trò hề.”
Trong khi đó, DigiCert đang thực hiện một cuộc khảo sát ẩn danh giữa các khách hàng của mình để xem tuổi thọ chứng chỉ SSL rút ngắn một năm sẽ ảnh hưởng đến hoạt động của họ như thế nào. Nếu khách hàng phàn nàn – và bạn có thể chắc chắn về điều đó – thì rất có thể DigiCert sẽ sử dụng kết quả khảo sát để chống lại đề xuất của Google.