Việc thu hồi chứng chỉ SSL hoạt động như thế nào?

Một khía cạnh ít được thảo luận của chứng chỉ SSL là việc thu hồi. Chúng tôi nói rất nhiều về lý do tại sao cần chứng chỉ SSL , cách chọn SSL , cách kích hoạt và cài đặt SSL lẫn cách bạn cần nhớ để gia hạn trước khi hết hạn. Nhưng còn việc thu hồi SSL thì sao?

Đối với người không rõ, việc thu hồi SSL là quá trình hiển thị chứng chỉ SSL được cấp là không hợp lệ, xóa kết nối HTTP an toàn khỏi trang web.

Tại sao bạn lại bị thu hồi chứng chỉ SSL?

Có một số lý do khiến ai đó thu hồi chứng chỉ SSL của họ, bao gồm:

  • Khóa riêng của bạn đã bị mất hoặc bị xâm phạm, điều đó có nghĩa là kết nối https của bạn có nguy cơ hoặc không được bảo mật
  • Chứng chỉ SSL của bạn đã được cấp lại và bạn cần thu hồi phiên bản cũ
  • Bạn không muốn sử dụng chứng chỉ SSL cụ thể nữa và không có kế hoạch cấp lại

Đôi khi, Cơ quan cấp chứng chỉ (Certificate Authority) có thể thu hồi chứng chỉ SSL nếu, ví dụ, tên miền bị nghi ngờ là lừa đảo / phần mềm độc hại / v.v., nếu chủ sở hữu chứng chỉ đã vi phạm các điều khoản và điều kiện hoặc nếu chứng chỉ bị cấp sai. Dù lý do chứng chỉ của bạn bị thu hồi, bạn cần đảm bảo bạn xóa nó khỏi trang web của mình và thay thế bằng chứng chỉ được cấp lại ngay lập tức , nếu không trang web của bạn sẽ không được bảo mật.

Điều gì sẽ xảy ra khi bạn thu hồi chứng chỉ SSL

Khi chứng chỉ SSL của bạn bị thu hồi, nhà phát hành của bạn sẽ thêm số sê-ri định danh cho chứng chỉ của bạn vào máy chủ OCSP (Giao thức trạng thái chứng chỉ trực tuyến) và CRL (Danh sách hủy bỏ chứng chỉ), được phân phối bởi Cơ quan cấp chứng chỉ (như Sectigo). Trình duyệt và khách hàng có thể kiểm tra các máy chủ OCSP hoặc CRL để biết trạng thái hủy bỏ chứng chỉ và thông báo cho khách truy cập trang web rằng chứng chỉ SSL cho một trang web cụ thể đã bị thu hồi. Khi người dùng cố gắng truy cập một trang web có chứng chỉ bị thu hồi, một thông báo sẽ xuất hiện với nội dung như, Chứng chỉ bị thu hồi, cảnh báo người dùng rằng kết nối của họ không an toàn. Nếu bạn đã thu hồi chứng chỉ SSL của mình nhưng chưa xóa chứng chỉ này khỏi máy chủ trang web, người dùng của bạn sẽ nhận được thông báo này.

Dưới đây là cách kiểm tra thu hồi chứng chỉ trong trình duyệt hoạt động đối với các phương pháp được nêu ở trên:

OCSP

OCSP là một loại trình duyệt giao thức có thể sử dụng để xác minh trạng thái của chứng chỉ SSL. Trình duyệt liên hệ với một máy chủ được gọi là phản hồi OCSP để tìm hiểu trạng thái hủy bỏ của một chứng chỉ cụ thể. Người trả lời OCSP trả lời với trạng thái hủy bỏ và khóa ký riêng của Cơ quan cấp chứng chỉ, sau đó trình duyệt xác minh.

Ngày nay, một phiên bản của quy trình này có tên OCSP Stapling thường được sử dụng, cho phép các máy chủ nhận được các chữ ký này và lưu trữ nó cùng với chứng chỉ SSL của trang web trong tối đa bảy ngày. Điều này tăng tốc đáng kể quá trình, vì trình duyệt có thể truy cập thông tin cần thiết từ máy chủ trang web, thay vì thực hiện một yêu cầu hoàn toàn riêng biệt với máy chủ khác. Tuy nhiên, không phải tất cả các trang web đều sử dụng ghim OCSP cho chứng chỉ SSL của họ.

CRL

Một số trình duyệt được cấu hình để kiểm tra CRL về tính hợp lệ của chứng chỉ SSL. Cơ quan cấp chứng chỉ xuất bản các danh sách này định kỳ (ví dụ cứ sau 24 giờ) để danh sách này luôn được cập nhật. Khi người dùng cố gắng truy cập một trang web có chứng chỉ SSL, trình duyệt sẽ đưa ra yêu cầu truy cập vào nó và Cơ quan cấp chứng chỉ đã cấp chứng chỉ phản hồi với danh sách các chứng chỉ đã cấp đã bị thu hồi. Nếu chứng chỉ SSL của trang web không có trong danh sách này, nó sẽ tải trang.

Nghe có vẻ tốt đúng không? Thật không may, nó không phải lúc nào cũng hoạt động và mỗi phương pháp kiểm tra thu hồi đều có sai sót.

Những sai sót của phương pháp kiểm tra thu hồi

Các vấn đề với cả CRL và OCSP có thể được tóm tắt bởi ba vấn đề chính: tốc độ; Bảo vệ; và quyền riêng tư.

Tốc độ

Đối với phương pháp CRL, trình duyệt tải xuống và kiểm tra danh sách mọi SSL bị thu hồi của một cơ quan cấp chứng chỉ cụ thể cần có thời gian và có thể làm chậm đáng kể thời gian tải trang, điều này không tuyệt vời từ góc độ trải nghiệm người dùng. Nó thậm chí có thể chi phí khách hàng của bạn nếu mất quá nhiều thời gian. Nhìn chung, OCSP nhanh hơn CRL, nhưng nó cũng có thể phụ thuộc vào tốc độ của máy chủ phản hồi OCSP của cơ quan cấp chứng chỉ.

Riêng tư

Khi trình duyệt kết nối với máy chủ phản hồi OCSP, nhiều dữ liệu riêng tư, chẳng hạn như địa chỉ IP của người dùng, phiên bản trình duyệt của họ và trang web mà họ đang cố truy cập, được truyền giữa hai máy. Mặc dù quyền riêng tư luôn là ưu tiên hàng đầu và trước hết đối với Cơ quan Chứng nhận, nhưng nếu máy chủ OCSP bị xâm phạm, nó có thể dẫn đến rò rỉ thông tin nhạy cảm.

Bảo vệ

Một thực tế đáng tiếc của phương pháp OCSP là nó không phải lúc nào cũng hoàn toàn đáng tin cậy do một số yếu tố, chẳng hạn như các sự cố ứng dụng hoặc độ trễ mạng. Để xử lý các lỗi tiềm ẩn này, nhiều trình duyệt thực hiện OCSP ở chế độ được gọi là chế độ lỗi mềm. Điều này có nghĩa là nếu máy chủ phản hồi OCSP hết thời gian hoặc không thể truy cập, các trình duyệt sẽ không hoàn thành kiểm tra. Khi điều này xảy ra, các trình duyệt sẽ tự động nhận ra chứng chỉ SSL là hợp lệ và hiển thị kết nối HTTPS, ngay cả khi điều này không đúng. Chế độ thất bại mềm được kích hoạt để ngăn chặn sự gián đoạn của hàng triệu người dùng tiềm năng, tuy nhiên nó cũng khiến người dùng dễ bị tấn công giữa chừng.

Có thể bạn đã truy cập một trang web có chứng chỉ SSL bị thu hồi tại một thời điểm và bạn không phải là người khôn ngoan hơn, bởi vì không có chỉ số thông thường nào của trang web không an toàn tự tiết lộ. Trên thực tế, nó thậm chí có thể nói rằng trang web này an toàn, với biểu tượng ổ khóa thông thường xuất hiện trên thanh địa chỉ.

Giải pháp cho lỗi kiểm tra thu hồi chứng chỉ là gì?

Đối với chủ sở hữu trang web, bạn nên kích hoạt tính năng ghim OCSP trên máy chủ của mình để tăng tốc mọi thứ cho người dùng trang web và cũng để tránh các lỗi SSL và trình duyệt tiềm ẩn chặn truy cập vào trang web của bạn với một trang web lỗi không bảo mật.

Đối với người dùng trang web, bạn nên nghiên cứu các phương pháp kiểm tra thu hồi SSL mà mỗi trình duyệt sử dụng. Với thông tin đó, hãy chọn trình duyệt web của bạn dựa trên phương pháp nào bạn cảm thấy thoải mái nhất. Lý tưởng là để trình duyệt của bạn hỗ trợ dập ghim OCSP, nhưng không phải tất cả các trình duyệt đều làm được.

Tin vui là nhiều trình duyệt lớn hỗ trợ OCSP, bao gồm Google Chrome và Mozilla Firefox. Về mặt kiểm tra thu hồi khi OCPS không được bật trên máy chủ trang web, cả hai trình duyệt cũng duy trì danh sách chứng chỉ bị thu hồi tập trung của riêng họ, mà họ kiểm tra thay vì CRL của Cơ quan cấp chứng chỉ.

Tổng hợp

Mặc dù các quy trình kiểm tra trạng thái thu hồi của chứng chỉ SSL vẫn chưa được hoàn thiện, bằng cách luôn cập nhật những phát triển mới nhất trong lĩnh vực này và thực hiện các biện pháp phòng ngừa, cho dù bạn là chủ sở hữu hoặc người dùng trang web, bạn có thể giảm bớt cơ hội dữ liệu của bạn bị xâm phạm.

bình luận

Leave a Comment