Gần đây, mối quan hệ giữa các công ty cấp chứng chỉ SSL và nhà sản xuất trình duyệt khá căng thẳng, và sự căng thẳng này dường như đã lên đến đỉnh điểm với đề xuất của Google nhằm rút ngắn ngày hết hạn của chứng chỉ SSL.
Google muốn giảm thời hạn sử dụng của chứng chỉ SSL dùng để bảo vệ lưu lượng truy cập được mã hóa HTTPS từ hai năm xuống còn một năm. Người đưa ra lời đề nghị là Ryan Sleevi, người đã tham dự cuộc họp F2F tại Diễn đàn CA/B ở Hy Lạp với tư cách là đại diện của Google.
CA: Các công ty phân phối chứng chỉ SSL.
B: Nhà sản xuất máy quét.
phiếu bầu
Thời gian tồn tại của chứng chỉ SSL là 825 ngày (đại khái) theo đề xuất của Sleevi bắt đầu từ tháng 3 năm 2020. 2 năm 3 tháng) thay vì 397 ngày (1 năm 1 tháng) sẽ được. Hiện tại, đề xuất này chưa được bỏ phiếu, nhưng nhiều nhà cung cấp trình duyệt đã báo cáo rằng họ hỗ trợ ưu đãi hết hạn chứng chỉ SSL mới.
Mặt khác, không thể nói rằng các cơ quan cấp chứng chỉ không mấy hài lòng về vấn đề này. Trong thập kỷ qua, các nhà sản xuất trình duyệt đã liên tục rút ngắn ngày hết hạn của chứng chỉ SSL. Ban đầu nó được giảm từ tám xuống còn năm năm, sau đó xuống còn ba năm và cuối cùng là hai năm.
Trước đó, thay đổi cuối cùng xảy ra vào tháng 3 năm 2018, các nhà sản xuất trình duyệt đã cố gắng giảm thời hạn sử dụng của chứng chỉ SSL từ ba năm xuống còn một năm, nhưng sau áp lực từ cơ quan cấp chứng chỉ, nó đã được quyết định là hai năm. Có vẻ như các nhà sản xuất trình duyệt vẫn chưa từ bỏ kế hoạch ban đầu của mình.
Phản ứng với lời đề nghị mới
Timothy Hollbeek, đại diện của DigiCert tại Diễn đàn CA/B, đã viết về lập trường của công ty đối với lời đề nghị mới trong bài đăng trên blog của mình.
Người quản lý DigiCert, người nói rằng điều này sẽ làm tăng chi phí của khách hàng, tuyên bố rằng không nên thay đổi các tiêu chuẩn trong thời gian ngắn như vậy.
Vấn đề khôi phục SSL
Nhà nghiên cứu bảo mật Scott Helme Twitter Chỉ trích bài đăng trên blog của Hollbeek, ông tuyên bố rằng lợi ích trọn đời của chứng chỉ SSL ngắn hạn không liên quan gì đến các trang web độc hại hoặc lừa đảo, mà là quá trình lấy chứng chỉ SSL.
Helme cho biết quá trình này có vấn đề và chứng chỉ SSL xấu tiếp tục được sử dụng trong nhiều năm sau khi chúng được cấp và thu hồi, vì vậy chứng chỉ SSL ngắn có thể giải quyết vấn đề này vì chứng chỉ SSL xấu sẽ hết hạn nhanh hơn.
Trình duyệt tạo ra các quy tắc
Cuộc chiến giữa nhà cung cấp chứng chỉ và nhà sản xuất trình duyệt đã diễn ra trong nhiều năm. HashedOut, một blog liên quan đến HTTPS, tuyên bố rằng ưu đãi này thực chất là nhằm chứng minh ai kiểm soát miền HTTPS và mọi thứ khác.
Trong khi đó, DigiCert đang thực hiện một cuộc khảo sát ẩn danh giữa các khách hàng của mình, hỏi xem thời hạn sử dụng chứng chỉ SSL một năm sẽ ảnh hưởng đến hoạt động của họ như thế nào. Nếu khách hàng phàn nàn về điều này (điều này có thể xảy ra), DigiCert sẽ sử dụng những kết quả nghiên cứu này để chống lại ưu đãi của Google.
Nguồn: https://www.zdnet.com/article/google-wants-to-reduce-lifespan-for-https-certificates-to-one-year/
