Let’s Encrypt, cơ quan ký chứng chỉ mở (CA) miễn phí, tự động và mở từ Tập đoàn nghiên cứu bảo mật Internet phi lợi nhuận (ISRG), cho biết họ đã cấp một tỷ chứng chỉ kể từ khi ra mắt năm 2015.
CA này đã cấp chứng chỉ đầu tiên vào tháng 9 năm 2015, trước khi đạt 100 triệu vào tháng 6 năm 2017. Kể từ cuối năm ngoái, Let Encrypt đã cấp ít nhất 1,2 triệu chứng chỉ mỗi ngày.
Sự phát triển đến từ hơn 80 phần trăm trang web đã bắt đầu sử dụng HTTPS trên toàn thế giới và 91 phần trăm chỉ riêng ở Hoa Kỳ.
HTTPS, phương tiện giao tiếp an toàn mặc định trên internet, đi kèm với ba lợi ích: xác thực, tính toàn vẹn và mã hóa. Nó cho phép các yêu cầu HTTP được truyền qua một kênh được mã hóa an toàn, do đó bảo vệ người dùng khỏi một loạt các hoạt động độc hại, bao gồm giả mạo trang web và thao tác nội dung.
“Kể từ năm 2017, các trình duyệt đã yêu cầu website sử dụng giao thức HTTPS để có nhiều tính năng hơn và họ đã cải thiện đáng kể cách thức giao tiếp với người dùng về những rủi ro khi không sử dụng HTTPS”, công ty cho biết. “Khi các trang web khiến người dùng gặp rủi ro khi không sử dụng HTTPS, các trình duyệt lớn hiện hiển thị cảnh báo mạnh mẽ hơn. Nhiều trang web đã phản hồi bằng cách triển khai HTTPS.”
Ra mắt với mục tiêu tăng tốc độ mã hóa của web và giảm chi phí kích hoạt HTTPS, giao thức ACME (Môi trường quản lý chứng chỉ tự động) của Encrypt cung cấp một phương tiện dễ dàng để thiết lập và cấp chứng chỉ SSL có thể được gia hạn và thay thế mà không cần can thiệp thủ công từ những người quản trị trang web. Chứng chỉ điện tử Frontier Foundation là một ứng dụng khách ACME mã nguồn mở, sử dụng miễn phí phổ biến như vậy, cho phép HTTPS trên các trang web bằng cách tự động triển khai chứng chỉ Encrypt – chỉ có hiệu lực trong 90 ngày – và quản lý gia hạn.
–> Xem cách cài đặt chứng chỉ SSL miễn phí Let’s Encrypt
Nhưng với các tác nhân xấu lạm dụng chứng chỉ Let’s Encrypt HTTPS để che giấu lưu lượng độc hại và hướng người dùng không nghi ngờ đến các trang web độc hại , công ty đã thực hiện các bước để “đảm bảo rằng người đăng ký chứng chỉ thực sự kiểm soát tên miền mà họ muốn có chứng chỉ.”
Apple có một bước tiến đáng kể
Nhưng đó không phải là tất cả. Apple đã quản lý để làm điều mà hầu hết các CA đã do dự để hoàn thành tất cả thời gian này: rút ngắn thời gian hoạt động của các chứng chỉ SSL xuống còn một năm.
Gã khổng lồ công nghệ gần đây đã tuyên bố rằng bắt đầu từ ngày 1 tháng 9 năm 2020, Safari sẽ từ chối các chứng chỉ HTTPS mới hết hạn hơn 13 tháng (hoặc 398 ngày) kể từ ngày tạo của họ, giúp giảm thời gian chứng nhận tối đa từ 825 ngày.
Điều này diễn ra sau một cuộc bỏ phiếu thất bại được tổ chức vào tháng 9 năm ngoái bởi Diễn đàn CA / Browser để giảm tuổi thọ chứng chỉ. Mặc dù Let Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla và Opera đã bỏ phiếu ủng hộ động thái này, gần hai phần ba số CA tham gia đã từ chối ý tưởng này.
Động thái của Apple nhằm rút ngắn tuổi thọ của các chứng chỉ HTTPS có nghĩa là các ứng dụng khách như Let Encrypt và ACME của CA như Certbot sẽ chỉ trở nên có giá trị hơn trong tương lai, vì điều đó sẽ buộc các quản trị viên trang web phải sử dụng chứng chỉ được cấp trong vòng 1 năm hoặc ít hơn.
Làm thế nào để chứng chỉ ngắn hạn tăng bảo mật?
Giới hạn thời gian sử dụng chứng chỉ giúp cải thiện bảo mật trang web, nhất là vì nó giảm khả năng bọn tội phạm đánh cắp các chứng chỉ bị bỏ quên để gắn kết các cuộc tấn công lừa đảo và phần mềm độc hại.
Thứ hai, các phiên bản di động của Chrome và Firefox không chủ động kiểm tra trạng thái chứng chỉ, ngụ ý một trang web có chứng chỉ đã bị thu hồi sẽ vẫn tiếp tục tải mà không đưa ra bất kỳ cảnh báo nào cho người dùng.
Điều này là vì lý do hiệu suất vì các trình duyệt sẽ phải tải xuống danh sách thu hồi chứng chỉ (CRL) có thể có kích thước khá lớn, ảnh hưởng đến tải trang.
Thay vào đó, Chrome sử dụng CRLSets để “chặn chứng chỉ trong các tình huống khẩn cấp”, trong khi Mozilla đã thử nghiệm với CRLite trong các bản dựng.
Bên cạnh các kỹ thuật này, nhà sản xuất Firefox cũng đã công bố các thông số kỹ thuật cho một giao thức mã hóa mới có tên là ” Thông tin được ủy quyền cho TLS “, “cho phép các công ty kiểm soát một phần quá trình ký chứng chỉ mới cho chính họ với thời gian hiệu lực là không dài hơn 7 ngày và hoàn toàn không phụ thuộc vào cơ quan cấp chứng chỉ. “
Quyết định của Apple nhằm cắt giảm tuổi thọ chứng chỉ là một bước tiến đáng kể cho bảo mật. Và nếu nó giúp chủ động ngăn người dùng kết nối với các trang web bị xâm nhập, thì đó chỉ có thể là một điều tốt.