Việc áp dụng IPv6 đã phát triển theo cấp số nhân và giao thức này hiện được hỗ trợ trong tất cả các hệ điều hành hiện đại và bởi nhiều nhà mạng. Trước đây, các nhà cung cấp dịch vụ đám mây thường thiếu kết nối IPv6, nhưng hiện tại Amazon AWS và Microsoft Azure đều đã hỗ trợ IPv6 hoàn toàn. Các nhà cung cấp CDN cũng đã triển khai IPv6 để nội dung được tăng tốc và lưu trữ. Tuy nhiên vẫn còn một vài lĩnh vực thiếu hỗ trợ IPv6; ví dụ, một thứ chúng tôi đã đề cập gần đây là định vị địa lý IPv6 . Một điều nữa là có bao nhiêu Certificate Authorities (CA) trong lịch sử thiếu kết nối IPv6. Và bài viết này sẽ tìm hiểu về việc phát triển IPv6 của các cơ quan chứng nhận CA.
Tầm quan trọng của Certificate Authorities
Internet hiện phụ thuộc rất nhiều vào chứng chỉ Transport Layer Security (TLS) và X.509 để cho phép các trang web sử dụng HTTPS và mã hóa các truy cập. Các sự kiện trong những năm gần đây đã nâng cao nhận thức về việc nghe lén và giám sát hàng loạt làm xói mòn quyền riêng tư cá nhân. Do đó, xu hướng toàn cầu đang dịch dần sang việc sử dụng nhiều HTTPS hơn và sử dụng ít HTTP hơn.Các tổ chức dựa vào các CA này cũng nhận thức được sự đáng tin cậy của chính CA đã đưa ra các vi phạm an ninh năm 2011 ảnh hưởng đến Comodo và DigiNotar cùng với sự cố bảo mật CA-Trustwave 2012. Do đó, hiệu suất, tính khả dụng và độ tin cậy của CA rất quan trọng đối với mọi người sử dụng dịch vụ của họ.
Các tổ chức yêu cầu CA kích hoạt IPv6
Khi nói đến các dịch vụ và ứng dụng web đối mặt với tổ chức, kết nối nhanh và đáng tin cậy cùng với yêu cầu các dịch vụ này hoạt động bằng cả hai phiên bản giao thức Internet là bắt buộc. Hầu như tất cả các máy chủ web như Apache, Nginx và Microsoft IIS đều hỗ trợ IPv6. Theo lẽ tự nhiên, các tổ chức muốn các trang web hiển thị với người dùng của họ có thể truy cập được bằng các mảng khách hàng rộng nhất và những khách hàng đó có thể trải nghiệm hiệu suất tốt hơn khi sử dụng IPv6 . Khi tổ chức của bạn cố gắng chạy một giao thức (IPv6) và hoạt động để vận hành một trung tâm dữ liệu chỉ có IPv6, bạn sẽ muốn biết tất cả các hệ thống vẫn chỉ sử dụng giao thức kế thừa IPv4 duy nhất. Nếu CA không hỗ trợ IPv6, thì bạn sẽ không thể thực hiện DNS-based Authentication of Named Entities (Dane) xác thực chéo tên DNS và chứng chỉ chỉ bằng cách sử dụng truyền tải IPv6. Do đó, việc Internet CA của bạn sử dụng cả IPv4 và IPv6 một cách hiệu quả là rất quan trọng.
CA thiếu hỗ trợ IPv6
Việc thiếu sự hỗ trợ IPv6 của các Certificate Authorities đã là một vấn đề được ghi nhận trong nhiều năm nay. Nghiên cứu cũ hơn cho thấy nhiều CA hàng đầu không hỗ trợ IPv6. Sau đây là hình ảnh từ nghiên cứu được thực hiện bởi x509labs.com vào năm 2013 (thật không may, trang web của họ không còn tồn tại nữa). Từ biểu đồ này, chúng ta có thể thấy rằng chỉ có một vài CA hỗ trợ IPv6 chỉ bốn năm trước.
Nghiên cứu của họ cũng cho thấy một số CA hoạt động nhanh hơn những CA khác. Điều này có thể liên quan đến độ trễ Internet thấp do vị trí mạng nơi thử nghiệm được thực hiện (hoặc có thể nêu bật tính phổ biến tương đối của cơ sở hạ tầng Internet CA).
Ngoài biểu đồ trên, một nhóm nghiên cứu khác được thực hiện vào giữa năm 2012 cho thấy hầu hết các CA không hỗ trợ IPv6 cho Danh sách thu hồi chứng chỉ (CRL) hoặc các dịch vụ Giao thức trạng thái chứng chỉ trực tuyến (OCFC) ( RFC 6960 ) của họ.
Từ cả hai phân tích phổ biến này, chúng ta có thể thấy rằng nhiều Cơ quan cấp chứng chỉ hàng đầu cấp chứng chỉ kỹ thuật số không hỗ trợ IPv6. Bây giờ chúng tôi sẽ muốn xác định xem đây có phải là trường hợp nếu các CA đã cải thiện kết nối IPv6 của họ hay không.
CA phổ biến nhất
Có rất nhiều CA thương mại, nhưng chỉ có một vài công ty là CA thương mại chiếm ưu thế với phần lớn thị phần. Chúng ta có thể thấy những công ty nào là CA hàng đầu bằng cách xem trang Khảo sát Công nghệ Web Toàn cầu (W3Techs) hiển thị các CA Internet phổ biến nhất . Để giới hạn phân tích của chúng tôi với một nỗ lực hợp lý, chúng tôi sẽ tập trung vào một vài nhà lãnh đạo trong thị trường CA thương mại có nhiều khách hàng và chứng chỉ nhất.
Trong những năm gần đây đã có sự hợp nhất của CA khi các vụ sáp nhập và mua lại đã xảy ra. Tại một thời điểm, Verisign là CA thương mại được công nhận nhất với hơn 3 triệu chứng chỉ được cấp.Verisign mua lại Thawte vào năm 1999 và doanh nghiệp CA của GeoTrust vào năm 2005. Năm 2010, Verisign đã bán doanh nghiệp PKI của họ cho Symantec. Gần đây, Bảo mật trang web Symantec cùng với các dịch vụ PKI của họ đã được bán cho DigiCert . Do đó, DigiCert sẽ sớm tiếp quản hoạt động của doanh nghiệp PKI DigiCert / Symantec / Verisign / GeoTrust / Thawte.
Chúng tôi đang thêm Let Encrypt vào phân tích của mình như một đề cập đáng trân trọng vì họ cung cấp dịch vụ ủy quyền chứng chỉ X.509 miễn phí để giúp thúc đẩy các thực tiễn tốt nhất về bảo mật Internet. Let Encrypt là một tổ chức lợi ích công cộng của người Viking, được điều hành bởi Nhóm nghiên cứu bảo mật Internet (ISRG) và họ tận dụng tự động hóa để giúp các tổ chức sử dụng CA công cộng dễ dàng và không tốn kém.
Yếu tố khác cần xem xét là các CA được cấu hình theo mặc định trong trình duyệt của máy khách.Tùy thuộc vào tác nhân người dùng trình duyệt web , có thể có một bộ CA mặc định khác nhau được cài đặt và tin cậy. Tất cả các CA thương mại được xếp hạng hàng đầu này được tin tưởng bởi hầu như tất cả các trình duyệt.
Do đó, với mục đích đánh giá này, chúng tôi sẽ chỉ tập trung vào Comodo, IdenTrust, DigiCert, GoDaddy, GlobalSign và Let Encrypt.
Phân tích Hỗ trợ IPv6 của các CA chính
Bảng sau đây cho thấy kết quả kiểm tra kết nối IPv6 cho từng CA thương mại phổ biến này. Đầu tiên, chúng tôi đã kiểm tra xem trang web của họ có thể truy cập bằng cả hai phiên bản IP hay không. Tiếp theo, chúng tôi đã thử nghiệm để xem liệu các name server DNS có thẩm quyền của họ có thể truy cập được thông qua cả IPv4 và IPv6 hay không. Trong cột thứ tư, chúng tôi hiển thị nếu Danh sách thu hồi chứng chỉ (CRL) của họ có thể truy cập qua IPv6. Trong cột thứ năm, chúng tôi hiển thị nếu dịch vụ Giao thức trạng thái chứng chỉ trực tuyến (OCSP) của họ có thể truy cập được qua truyền tải IPv6. Nếu mục nhập được tô sáng màu xanh lục thì dịch vụ có thể truy cập bằng cả IPv4 và IPv6 (giao thức kép), nếu mục nhập được tô sáng màu đỏ thì dịch vụ chỉ có thể truy cập bằng cách sử dụng chỉ IPv4.
Lưu ý: Hầu hết các CA này có nhiều máy chủ DNS. Danh pháp của # # được sử dụng để chỉ ra rằng có một số số khác nhau được sử dụng trong FQDN của các máy chủ DNS và mỗi máy chủ tên này đã được kiểm tra kết nối IPv6. Ví dụ, Symantec sử dụng UltraDNS, nhưng udns1. và udns2. các máy chủ chỉ có IPv4, trong khi các máy chủ tên pdns1., pdns2., (v.v. thông qua pdns6.) là các máy chủ tên giao thức kép.
Chúng tôi cũng nên đề cập rằng thử nghiệm thô sơ của chúng tôi là thử nghiệm tại thời điểm được thực hiện tại thời điểm bài viết này được xuất bản. Kết nối IPv6 của các CA này có thể thay đổi mà không cần thông báo trước.
Trong thử nghiệm của chúng tôi, chúng tôi đã phát hiện ra rằng một số CA thương mại quy mô lớn này dựa vào Mạng phân phối nội dung (CDN) và dịch vụ DNS dựa trên đám mây để cung cấp dịch vụ Internet nhanh chóng và đáng tin cậy. Chúng tôi đã chứng kiến rằng nhiều nhà cung cấp CDN phổ biến hỗ trợ IPv6 và là sản phẩm phụ, điều đó làm cho nhiều dịch vụ CA này có khả năng IPv6.
Kết luận
Từ nghiên cứu cơ bản này, hiển nhiên là ngành công nghiệp CA thương mại đã tăng cường sử dụng IPv6. Nhưng vẫn còn chỗ để cải thiện. Có bốn dịch vụ CA mà chúng tôi thấy có hỗ trợ IPv6 toàn diện: Comodo, DigiCert / Verisign, GlobalSign và Let Encrypt. GlobalSign dường như đã hỗ trợ IPv6 lâu nhất trong số các CA vì chúng được ghi nhận bởi nghiên cứu trước đó là hỗ trợ IPv6 hoàn toàn.Nghiên cứu của chúng tôi cũng chỉ ra rằng có ba CA thương mại lớn cần cải thiện việc áp dụng IPv6: IdenTrust, DigiCert và GoDaddy. Hy vọng, trong năm tới, DigiCert có thể áp dụng các thực tiễn tốt nhất IPv6 trong số các hoạt động mua lại của họ và áp dụng các thực tiễn tốt nhất đó cho dịch vụ CA của riêng họ.
Bạn nên biết những CA nào đang sử dụng IPv4 và IPv6. Nếu CA thương mại hiện tại của bạn hoặc CA mà bạn đang xem xét, không tích cực sử dụng IPv6 vào ngày này, thì nó có thể đặt ra câu hỏi về độ tinh vi của đội kỹ thuật của CA đó. Nếu bạn đang mua chứng chỉ công khai từ một trong những CA phổ biến này, bạn có thể muốn chọn một CA là adroit với việc sử dụng IPv6 cũng như IPv4 kế thừa.