Sau ngày 1 tháng 3, người dùng sẽ chỉ thể mua chứng chỉ SSL dưới 2 năm.
Tính từ ngày 1 tháng 3 năm 2018, bạn sẽ không còn có thể mua chứng chỉ SSL 3 năm nữa. Sự thay đổi này đang được thực thi bởi Certificate Authority/Browser Forum (Diễn đàn CAB), vốn là một cơ quan quản lý nhiều CA (Certificate Authority – chứng thực số) hoặc Trình duyệt.
Nếu bạn nhớ lại, bạn thực sự đã sử dụng để có thể nhận được chứng chỉ năm năm. Và tôi sẽ là người đầu tiên thừa nhận, đó là một ý tưởng tồi. Mã hóa đang thay đổi rất nhiều, nhanh đến mức nếu bạn đợi năm năm giữa việc thay đổi chứng chỉ, bạn sẽ dễ bị tấn công trong khi đợi đến lần gia hạn chứng chỉ mới.
Vì vậy, vì lợi ích của sự an toàn của người dùng, các trình duyệt đã đẩy thời gian hiệu lực của chứng chỉ ngắn hơn. Chúng tôi đã đi sâu vào vấn đề tại sao giấy chứng nhận hết hạn và tại sao độ dài chứng chỉ ngắn hơn thực sự là một điều tốt .
Để làm mới bộ nhớ của bạn, bạn phải gia hạn chứng chỉ thường xuyên vì hai lý do:
- Luôn cập nhật triển khai bảo mật của bạn.
- Các CA cần xác thực lại bạn để bạn luôn tin cậy.
Và trước khi chúng tôi nhận được thêm bất kỳ, không có điều này không phải là một số chương trình bất chính của Tổ chức phát hành chứng chỉ để họ có thể bán cho bạn nhiều chứng chỉ hơn. Google và các trình duyệt khác tham gia Diễn đàn CAB thực sự sẽ thích thời hạn hiệu lực không quá 90 ngày. Vì vậy, nó không phải là thực sự các CA kém chất lượng.
Nhưng ở mức nào, thay thế giấy chứng nhận của bạn thường xuyên là quan trọng nhất từ quan điểm bảo mật của bạn. Hãy quay trở lại với chứng chỉ năm năm mà chúng tôi đã đề cập trước đó. Hãy nghĩ về những thuật toán mã hóa mà chúng tôi đã sử dụng cách đây năm năm. Bạn có thể đã phải tái phát hành trên tài khoản của SHA-1, nhưng điều đó nhấn mạnh quan điểm của tôi. SHA-1! SHA-1 rất dễ bị tổn thương đến nỗi Google thực sự đã tạo ra một vụ tấn công để chứng minh cách mà nó đã trở thành lỗi thời .
Mỗi ngày công nghệ mã hóa càng phát triển và việc nghĩ rằng bạn vẫn có thể duy trì mức độ bảo mật đầy đủ năm, hoặc thậm chí ba năm sau khi phát hành chỉ là sai lầm.
Lý do khác để phát hành là các CA phải xác nhận lại bạn. Điều này đảm bảo rằng thông tin của bạn được cập nhật và bạn vẫn được ủy quyền có chứng chỉ được cấp cho miền của bạn. Hãy nhớ rằng, các trình duyệt chỉ ra cho người dùng của họ rằng họ có thể tin tưởng một kết nối với trang web của bạn trên cơ sở bạn đã được một bên thứ ba đáng tin cậy xem xét. Cũng giống như với bằng lái xe của bạn, đôi khi bạn phải kiểm tra với bên thứ ba đó chỉ để đảm bảo rằng tất cả mọi thứ được cập nhật.
Vì vậy, bắt đầu từ ngày 1 tháng 3, hai năm là tuổi thọ tối đa mà bạn có thể nhận được với bất kỳ chứng chỉ SSL nào. Thay đổi này không ảnh hưởng đến chứng chỉ EV, vì hai năm (825 ngày) đã là thời hạn hiệu lực cho phép dài nhất, do mức độ tin cậy (chỉ báo thanh màu xanh lá cây duy nhất) mà EV SSL nhận được.
Đây là cách làm việc này:
- Nếu chứng chỉ SSL của bạn được phát hành trước ngày 1 tháng 3 năm 2018, thì vẫn còn tốt cho dù bạn đã rời đi bao lâu.
- Tất cả chứng chỉ SSL được cấp sau ngày 1 tháng 3 năm 2018, chỉ có thể có thời lượng tối đa là 825 ngày.
- Thông tin xác thực DCV và tổ chức cho chứng chỉ DV và OV chỉ có thể được sử dụng trong 825 ngày.
Đúng vậy, sau 825 ngày CA phải xác nhận lại bạn. Và điều này cũng có hiệu lực, vì vậy, tuy nhiên chứng chỉ hiện tại của bạn cũ, nó được tính vào 825 ngày.
Dưới đây là một số lý do bạn có thể phải cấp lại:
- Thêm tên miền vào chứng chỉ
- Xóa tên miền khỏi chứng chỉ
- Trao đổi tên miền trên chứng chỉ
- Thay đổi thông tin tổ chức (tên, địa chỉ, số điện thoại, v.v.)
- Sao chép chứng chỉ
Vì vậy, nếu bạn đang lập kế hoạch thực hiện bất kỳ điều nào trong ba năm tiếp theo, chỉ cần đăng ký chứng nhận hai năm và cố gắng gia hạn sớm.