Bắt đầu từ ngày 1 tháng 9, Safari sẽ không còn tin tưởng các chứng chỉ SSL / TLS có thời gian hiệu lực dài hơn 398 ngày.
Bắt đầu từ ngày 1 tháng 9, trình duyệt Safari của Apple sẽ không còn tin tưởng các chứng chỉ SSL / TLS có hiệu lực hơn 398 ngày. Điều này tương đương với chứng chỉ hoạt động trong một năm cộng và một tháng. Các loại giấy chứng nhận SSL / TLS khác, bao gồm cả trung gian và gốc, không bị ảnh hưởng.
Apple đã công bố quyết định đơn phương của họ tại cuộc họp trực tiếp của Diễn đàn CA / Trình duyệt (Diễn đàn CA / B) vào ngày 19 tháng 2, đây là nhóm tiêu chuẩn công nghiệp bao gồm chủ yếu là các cơ quan cấp chứng chỉ và một số trình duyệt chính.
Mặc dù không có bài đăng chính thức nào đến từ Apple tuy nhiên chúng tôi có thể xác minh thông tin này với một số đối tác CA của chúng tôi. Tin tốt là sự thay đổi này không thực sự gây ngạc nhiên và tất nhiên ngành công nghiệp SSL đã sẵn sàng cho nó – vì vậy sẽ không có bất kỳ tác động lớn nào đến khách hàng hoặc nhà cung cấp dịch vụ.
Vì vậy, những gì chính xác đã xảy ra ở đây? Và, quan trọng hơn, tất cả điều này có ý nghĩa gì đối với bạn, người dùng hoặc người bán chứng chỉ SSL / TLS?
Hiệu lực ngắn hơn là một điều tốt?
Chúng tôi biết đó chỉ là vấn đề thời gian trước khi ý kiến này được thực hiện. Năm ngoái, các ý kiến về việc rút ngắn hiệu lực của chứng chỉ SSL xuống còn một năm đã trở lại trên lá phiếu của Diễn đàn CA / B. Ý tưởng ở đây là thời gian hiệu lực của chứng chỉ SSL / TLS càng ngắn, chứng chỉ càng an toàn.
Đó là lập luận được đưa ra trong vài năm vì lý do tại sao các trình duyệt muốn giới hạn hiệu lực tối đa cho chứng chỉ SSL / TLS thành 1 năm. Lý thuyết là bằng cách yêu cầu chứng chỉ SSL / TLS được gia hạn sau một thời gian ngắn hơn:
- Khi bất kỳ cập nhật bảo mật nào cho chứng chỉ được thực hiện, chúng sẽ được đưa vào thực hiện nhanh hơn.
- Về mặt lý thuyết, nó cũng làm cho các trang web an toàn hơn bằng cách đảm bảo rằng các khóa mới được tạo thường xuyên.
Chứng chỉ SSL / TLS được sử dụng để có hiệu lực tối đa năm năm (đối với chứng chỉ xác thực tên miền và tổ chức). Tuy nhiên, một thỏa hiệp cuối cùng đã xảy ra dẫn đến hiệu lực của chứng chỉ bị giảm xuống tối đa ba năm, và sau đó, nó đã bị giới hạn ở mức hai năm đối với tất cả các giấy phép SSL / TLS.
Năm ngoái, Ryan Handi của Google đã góp một lá phiếu tại Diễn đàn CA / B trong việc thúc đẩy hiệu lực tối đa một năm cho các chứng chỉ SSL / TLS. Sáng kiến cuối cùng đã thất bại, nhưng có vẻ như Apple đã chọn nơi Google rời đi trong cuộc chiến giành hiệu lực ngắn hơn.
Hôm nay, Tim Callan tại Sectigo đã đăng bài sau trên trang LinkedIn của mình:
Thành thật mà nói, chúng tôi biết đó chỉ là vấn đề thời gian trước khi động thái này được thực hiện. Chúng tôi chỉ cần hình dung đó sẽ là Google hoặc Mozilla thực hiện bước đầu tiên. Nhưng, bất kể ai thực hiện bước đầu tiên, có một vài điều bạn nên biết.
Điều này có ý nghĩa gì với trang web và khách hàng của bạn?
Safari là một trong hai trình duyệt web hàng đầu của internet. W3Count liệt kê thị phần trình duyệt của Safari ở mức 17,7% kể từ tháng 1 năm 2020. Điều này chỉ thua Google Chrome (58,2%) và lớn hơn Microsoft Internet Explorer và Edge (7,1%). Vì vậy bạn nên cài SSL để đảm bảo rằng trang web của bạn – và trang web của khách hàng – được Safari tin tưởng.
Quản trị viên trang web cần biết gì
Về cơ bản, mọi chứng chỉ SSL / TLS được cấp trước ngày 1 tháng 9 năm 2020 đều không bị ảnh hưởng bởi thay đổi này. Chúng sẽ vẫn còn hiệu lực (cấm mọi sự hủy bỏ chứng chỉ không liên quan) trong toàn bộ thời gian hai năm và sẽ không cần phải sửa đổi hoặc thay thế. Tuy nhiên, bất kỳ chứng chỉ nào được cấp vào hoặc sau ngày 1 tháng 9 sẽ cần được gia hạn hàng năm để được Safari tin cậy.
Điều này có nghĩa là bạn sẽ muốn hợp lý hóa và cải thiện các hoạt động quản lý chứng chỉ hiện có của mình. Đối với các tổ chức lớn hơn, một phần, điều này đòi hỏi phải sử dụng giải pháp quản lý chứng chỉ đáng tin cậy và không còn phụ thuộc vào quản lý chứng chỉ thủ công.
Những gì người bán lại chứng chỉ cần biết
Tóm lại, bạn có thể tiếp tục cấp chứng chỉ hai năm cho đến ngày 31 tháng 8 năm 2020 mà khách hàng của bạn có thể sử dụng cho đến khi hết hạn. Tuy nhiên, bất kỳ chứng chỉ nào bạn cấp sau ngày đó sẽ cần phải được cấp với hiệu lực một năm để duy trì hiệu lực theo như Safari có liên quan.
Điều này có nghĩa là bất kỳ chứng chỉ hai năm nào bạn bán sẽ cần phải được cấp lại sau một năm để tiếp tục được trình duyệt tin cậy.
Tùy chọn mới: SSL đăng ký nhiều năm
May mắn cho bạn, các CA hàng đầu đã nhìn thấy hướng đi mới. Họ quyết định tạo ra các tùy chọn tự động hóa vòng đời chứng chỉ mới và các gói thuê bao giúp quản lý chứng chỉ dễ dàng hơn cho vòng đời chứng chỉ ngắn hơn.
Một số CA đã công bố một tùy chọn mới để mua / triển khai SSL. Sectigo đã triển khai kế hoạch đăng ký SSL của họ vài tháng trước và DigiCert sẽ triển khai kế hoạch nhiều năm trước tháng Chín. Với các dịch vụ SSL dựa trên đăng ký nhiều năm này, quản trị viên web có thể mua bảo hiểm trong thời gian dài hơn và cấp lại chứng chỉ của họ bao nhiêu lần khi họ cần với thời gian hiệu lực tối đa được phép.
Có một vài lợi ích cho tùy chọn này:
- Chi phí: Nó cho phép khách hàng tiếp tục nhận được chiết khấu giá nhiều năm, giúp tiết kiệm tiền và
- Thời gian: Khách hàng chỉ phải mua đăng ký một lần và không phải lo lắng về việc đó một lần nữa trong năm năm (đặc biệt hữu ích nếu bạn cần mua hàng được phê duyệt bởi bộ phận kế toán của bạn).
Vì vậy, về cơ bản, khách hàng có thể mua bảo hiểm SSL trong một khoảng thời gian dài (ví dụ: 5 năm) và sau đó chỉ cần cấp lại chứng chỉ mỗi năm để cập nhật nó trong khi tiết kiệm tiền và thời gian. Nghe có vẻ như một chiến thắng cùng có lợi cho tất cả mọi người.
Việc gì sẽ xảy ra tiếp theo
Chỉ là vấn đề thời gian trước khi chúng ta thấy loại thông báo này có hiệu lực trong một năm bởi một trong các trình duyệt. Khi một trình duyệt thực hiện di chuyển, điều đó có nghĩa là tất cả các CA sẽ thay đổi chứng chỉ của họ từ hai năm thành một năm bất kể các trình duyệt khác làm gì.
Chúng tôi không lo lắng và bạn cũng không nên. Động thái này của Apple sẽ không khiến bạn bị mắc kẹt như một khách hàng hoặc đại lý bán lẻ vì các CA đã đưa ra các giải pháp giúp ích. Với các gói đăng ký SSL và các giải pháp quản lý chứng chỉ có sẵn, đây sẽ là một quá trình chuyển đổi khá đơn giản mà hy vọng sẽ có hiệu quả như mong muốn – bảo mật trang web lớn hơn và quản lý chứng chỉ được cải thiện.