Điều gì sẽ xảy ra khi chứng chỉ SSL của bạn hết hạn? Hãy cùng tìm hiểu với ssl.vn nhé.
Một trong những câu hỏi phổ biến nhất mà chúng tôi nhận được về SSL ngoài sửa lỗi đó là “điều gì sẽ xảy ra khi chứng chỉ SSL của bạn hết hạn?” Hoặc “điều gì sẽ xảy ra nếu bạn không gia hạn giấy chứng nhận SSL đúng giờ?” Đây cũng là tình trạng chung của nhiều người khi chứng chỉ SSL Symantec không còn được tin cậy.
Và câu trả lời là chứng chỉ SSL của bạn sẽ không còn nữa.
Đó là một ngày đen tối đối với website của bạn…
Ok, tuy có hơi làm quá lên một chút. Nhưng giấy chứng nhận SSL hết hạn có thể mang lại một số hậu quả nghiêm trọng. Hôm nay chúng ta sẽ nói về những gì xảy ra khi chứng chỉ SSL của bạn hết hạn, chúng tôi sẽ tung ra một số ví dụ khắt khe về chứng chỉ hết hạn và cách tránh việc để giấy chứng nhận SSL của bạn hết hạn.
Hãy phân tích nó nào!
Điều gì sẽ xảy ra khi chứng chỉ SSL của bạn hết hạn?
Hãy bắt đầu bằng cách trả lời câu hỏi mà chúng tôi đã đặt ra và sau đó chúng tôi sẽ nghiên cứu kỹ về một số điều tối thiểu. Chứng chỉ SSL sẽ hỗ trợ việc mã hóa dữ liệu khi chuyển tiếp. Bằng cách cài đặt chứng chỉ SSL trên máy chủ của trang web, nó cho phép website chạy trên HTTPS và tạo các kết nối an toàn, được mã hóa giữa trang web của bạn và khách truy cập. Điều này bảo vệ thông tin liên lạc. SSL cũng có trách nhiệm xác thực máy chủ.
Tuy nhiên, chứng chỉ SSL không dùng mãi mãi được. Chúng sẽ hết hạn. Có một diễn đàn, Diễn đàn Cấp chứng chỉ / Trình duyệt Chứng chỉ (Certificate Authority/Browser Forum – CAB), hoạt động như một cơ quan quản lý thực tế cho ngành công nghiệp SSL / TLS. Diễn đàn CAB quy định các yêu cầu cơ sở mà Tổ chức phát hành chứng chỉ phải tuân thủ để phát hành chứng chỉ SSL đáng tin cậy. Những yêu cầu này quy định rằng chứng chỉ SSL có thể có tuổi thọ không quá 27 tháng (hai năm + bạn có thể thực hiện tối đa ba tháng khi bạn gia hạn thời gian còn lại trên chứng chỉ trước đó).
Điều đó có nghĩa là mỗi trang web cần phải gia hạn hoặc thay thế chứng chỉ SSL ít nhất hai năm một lần. Vậy điều gì sẽ xảy ra khi chứng chỉ SSL của bạn hết hạn?
Khi trình duyệt của người dùng đến trang web của bạn, nó kiểm tra tính hợp lệ của chứng chỉ SSL trong vòng mili giây (đó là một phần của bắt tay SSL). Nếu chứng chỉ hết hạn, nó sẽ đưa ra cảnh báo như sau:
Có thể website bạn có lưu lượng truy cập trang web, doanh thu cao như thế nào nữa thì việc này cũng ảnh hưởng ít nhiều. Trong khi hầu hết các trình duyệt cung cấp một tùy chọn để nhấp qua cảnh báo, hầu như không ai làm điều đó. Người dùng internet trung bình có thể không biết nhiều về an ninh mạng , nhưng họ biết hai điều: máy tính đắt tiền và phần mềm độc hại làm hỏng máy tính. Vì vậy, nếu trình duyệt của họ cho họ biết một trang web không an toàn hoặc trong trường hợp này kết nối của họ không an toàn, họ có thể sẽ không truy cập vào nữa.
Bạn cũng thử đặt mình vào trường hợp này xem, truy cập vào một website bị cảnh báo không an toàn vậy bạn có muốn tiếp tục nữa không?
Tại sao chứng chỉ SSL hết hạn?
Đây là một chủ đề mà chúng tôi đã thảo luận khá nhiều trong quá khứ , nhưng đây là một tóm tắt nhanh chóng. Như chúng tôi đã đề cập trước đó, chứng chỉ SSL giúp tạo điều kiện cho hai điều: mã hóa và xác thực. Sau này là thủ phạm lớn hơn cho chứng chỉ hết hạn. Tất cả chứng chỉ SSL đều xác thực điều gì đó, thậm chí chứng chỉ xác thực tên miền xác thực máy chủ. Như với bất kỳ hình thức xác thực nào, đôi khi bạn cần phải xác thực lại thông tin bạn đang sử dụng để đảm bảo thông tin đó chính xác.
Điều đó đặc biệt đúng trên internet. Mọi thứ thay đổi hàng ngày. Trang web thay đổi hằng ngày. Các công ty được mua và bán. Và SSL / TLS dựa trên mô hình tin cậy có thể bị phá hoại bởi điều đó. Vì vậy, điều quan trọng đối với Tổ chức phát hành chứng chỉ là cấp chứng chỉ tin cậy để đảm bảo rằng thông tin họ đang sử dụng để xác thực máy chủ và tổ chức được cập nhật và chính xác nhất có thể.
Hãy xem xét một ví dụ thực tế. Circuit City là một nhà bán lẻ đồ điện tử và thiết bị đã không hoạt động được khoảng một thập kỷ trước. Bây giờ, hãy tưởng tượng một chút rằng chứng chỉ SSL không hết hạn. Tài sản của Circuit City đã bị bán hết hoặc bị hủy bỏ, điều gì sẽ xảy ra nếu ai đó lấy chứng chỉ và tên miền được cấp cho nó. Bây giờ họ được tự do làm bất cứ điều gì họ muốn với tên miền đó (cho đến khi chứng chỉ bị thu hồi, nhưng đó là một mớ hỗn độn hoàn toàn riêng biệt) và trình duyệt của mọi người sẽ xem trang web này là bài viết hợp pháp. Một người nào đó đã không nhận ra công ty đã không còn tồn tại có thể dễ dàng bị lừa. Sau khi tất cả, giấy chứng nhận là hợp pháp.
Điều đó không thể xảy ra. Tại một thời điểm, thời gian giấy chứng nhận SSL có thể được cấp là năm năm. Sau đó, nó bị giảm xuống còn ba. Sau đó, năm ngoái đã giảm xuống còn hai – đó là một sự thỏa hiệp vì đề xuất ban đầu của Google là một năm. Trong thời hạn hiệu lực của giấy chứng nhận trong tương lai có thể ngắn tới 3-6 tháng. Hãy mã hóa vấn đề chứng chỉ 3 tháng ngay bây giờ.
Xác thực không phải là thủ phạm duy nhất cho hết hạn giấy chứng nhận. Việc có thời hạn hiệu lực chứng chỉ ngắn hơn cũng giúp ngành công nghiệp dễ dàng triển khai các thay đổi nhanh hơn. Ví dụ, một vài năm trước, ngành công nghiệp SSL / TLS không còn sử dụng SHA-1 như một thuật toán băm. Như bất kỳ ai đã từng yêu cầu chứng chỉ SSL, bạn chọn thuật toán băm trong quá trình tạo. Với thời hạn ba năm, trong một số trường hợp, bạn có thể phải chờ là 39 tháng sau thời hạn trước khi chứng chỉ hết hạn và SHA-1 không được trang web đó phản đối.
Thời gian hiệu lực ngắn khắc phục điều này. Nếu chúng tôi loại bỏ SHA-2 có lợi cho SHA-3 (đừng lo lắng, điều đó sẽ không đến sớm), bạn có thể đặt ngày giới hạn để cấp chứng chỉ SHA-2 và trong vòng 27 (hoặc 15 nếu giảm xuống còn một năm) ) tháng SHA-2 sẽ hoàn toàn không được chấp nhận.
Hạn chế chứng chỉ SSL hồ sơ cao
Nếu bạn vô tình quên gia hạn đúng thời hạn và để chứng chỉ SSL của bạn hết hạn, bạn có thể yên tâm khi biết rằng bạn không đơn độc. Dưới đây, chúng tôi sẽ giữ một danh sách đang chạy các expirations SSL cao cấp:
Giấy chứng nhận SSL của Cisco hết hạn
Gần đây, Cisco có một vấn đề về thay thế giấy chứng nhận SSL hết hạn thường xuyên — Cisco đã hết hạn root. Như chúng ta đã thảo luận cách đây vài ngày, chứng chỉ Roots là một phần không thể tách rời của mô hình tin cậy SSL / TLS . Ngồi ở phía trên cùng của cây ngôn ngữ, Chứng chỉ gốc được sử dụng để ký và phát hành các chứng chỉ trung gian và chứng chỉ SSL của người dùng cuối. Trong trường hợp này, thư mục gốc được gắn vào một trong các VPN của Cisco, nghĩa là mọi chứng chỉ được cấp cho người dùng cuối cũng có thể có khả năng trở thành không hợp lệ. May mắn thay, điều đó dường như không xảy ra, người dùng chỉ bị chặn tạo điểm kết thúc mới.
Giấy chứng nhận SSL của LinkedIn hết hạn
Vào đầu tháng 12 năm 2017, LinkedIn đã cho phép một trong các chứng chỉ SSL của mình hết hạn. Nó đã loại bỏ các trang LinkedIn ở Mỹ, Anh và Canada. Là phó chủ tịch của Venafi, Kevin Bocek cho biết vào thời điểm đó:
“Sai lầm của LinkedIn cho thấy lý do tại sao giữ kiểm soát chứng chỉ là rất quan trọng. Trong khi LinkedIn sẽ có hàng ngàn chứng chỉ để theo dõi, việc ngừng hoạt động như ngày hôm qua cho thấy nó chỉ mất một thời hạn để gây ra vấn đề. Để nắm quyền kiểm soát, các tổ chức nên tìm cách tự động hóa việc khám phá, quản lý và thay thế từng chứng chỉ trên mạng của mình ”.
LinkedIn nhanh chóng khắc phục sự cố với chứng chỉ SSL được chứng thực của Tổ chức DigiCert.
Cách tránh cho phép chứng chỉ SSL của bạn hết hạn
Doanh nghiệp doanh nghiệp có một tập hợp các vấn đề khác nhau khi nói đến quản lý chứng chỉ. Trong khi các doanh nghiệp vừa và nhỏ (SMB) có thể chỉ có một hoặc một số chứng chỉ, các công ty của doanh nghiệp có mạng lưới lớn, vô số các thiết bị được kết nối và nhiều bề mặt hơn. Ở cấp độ doanh nghiệp, chứng chỉ SSL hết hạn thường là kết quả của sự giám sát, không phải là không đủ năng lực.
Chúng tôi làm việc với rất nhiều công ty Doanh nghiệp về những thách thức này. Dưới đây là một số lời khuyên hữu ích về việc tránh hết hạn giấy chứng nhận.
- Bất kể dịch vụ CA hoặc SSL nào cung cấp chứng chỉ SSL của bạn cũng sẽ gửi cho bạn thông báo hết hạn trong khoảng thời gian đã định bắt đầu sau 90 ngày. Đảm bảo rằng bạn đặt những lời nhắc này sẽ được gửi tới danh sách phân phối chứ không phải chỉ một cá nhân. Điểm liên hệ bạn đã sử dụng khi nhận chứng chỉ được cấp có thể không có tại thời điểm hết hạn. Có lẽ họ đã tiếp tục, được thăng chức hoặc chỉ uống quá nhiều tại văn phòng tiệc Giáng sinh và bị đóng hộp — bất kể trường hợp nào bạn cần để đảm bảo thông báo đến đúng người.
- Xác định các kênh phù hợp để báo cáo lời nhắc là cách tiếp cận ngày hết hạn. Ví dụ: sau 90 ngày, bạn có thể chỉ muốn gửi thông báo đến danh sách phân phối của mình. Vào 60 ngày bạn có nó được gửi đến danh sách của bạn, và quản trị hệ thống của bạn. Vào 30 ngày bạn gửi nó đến cả danh sách và quản trị viên hệ thống, và bây giờ quản lý CNTT của bạn được looped in.
- Tìm một nền tảng quản lý chứng chỉ tốt. Một trong những thách thức lớn nhất mà doanh nghiệp phải đối mặt là khả năng hiển thị. Bạn không thể thay thế giấy chứng nhận hết hạn nếu bạn không thể thấy chúng. Chúng tôi cố gắng giữ nhà cung cấp bất khả tri, nhưng DigiCert, Comodo và Venafi đều có nền tảng khổng lồ có thể giúp các doanh nghiệp xem và quản lý chứng chỉ kỹ thuật số trên toàn bộ cơ sở hạ tầng của họ. Ngoài ra, hãy đảm bảo bạn đăng nhập thường xuyên để bạn có thể tiếp tục được đăng ký khi bạn gia hạn.
- Quyết định những gì CA (s) bạn muốn làm việc với và sau đó thiết lập hồ sơ CAA để hạn chế những người có thể phát hành cho tên miền của bạn. Điều này sẽ giúp loại bỏ khả năng các chứng chỉ giả mạo mới được phát hành. Càng có nhiều bạn có thể củng cố PKI của bạn thành một nền tảng duy nhất, bạn càng có nhiều khả năng.
- Nói về các chứng chỉ giả mạo, hãy tìm một công cụ quét tốt và sau đó sử dụng nó thường xuyên để tìm và theo dõi các chứng chỉ giả mạo.
Vì vậy, đó là những gì sẽ xảy ra khi chứng chỉ SSL của bạn hết hạn
Việc quên làm mới hoặc thay thế chứng chỉ SSL hết hạn có thể xảy ra với bất kỳ ai. Nhưng có rất nhiều công cụ có sẵn để giúp giảm thiểu rủi ro gây ra. Điều quan trọng, như chúng tôi đã thảo luận, là có khả năng hiển thị và các đường giao tiếp tốt để bạn có thể thoát ra trước khi hết hạn.
Cuối cùng, mọi thứ sẽ được tự động hóa đến mức mà chúng ta thậm chí không cần phải suy nghĩ về điều này, nhưng chúng ta chưa hoàn toàn ở đó. Vì vậy, hãy chờ đợi thêm một chút nữa.