Let Encrypt, cơ quan ký chứng chỉ mở (CA) miễn phí, tự động và mở từ Nhóm nghiên cứu bảo mật Internet phi lợi nhuận (ISRG), đã nói rằng cấp một tỷ chứng chỉ kể từ khi ra mắt vào năm 2015.
CA đã ban hành chứng chỉ đầu tiên vào tháng 9 năm 2015, trước khi đạt 100 triệu trong tháng 6 2017. Kể từ cuối năm ngoái, Let Encrypt đã cấp ít nhất 1,2 triệu chứng chỉ mỗi ngày.
Sự phát triển đến từ hơn 80 phần trăm tải trang web đã bắt đầu sử dụng HTTPS trên toàn thế giớivà 91 phần trăm Chỉ riêng ở Mỹ.
HTTPS, phương tiện giao tiếp an toàn mặc định trên internet, đi kèm với ba lợi ích: xác thực, tính toàn vẹn và mã hóa. Nó cho phép các yêu cầu HTTP được truyền qua một kênh được mã hóa an toàn, do đó bảo vệ người dùng khỏi một loạt các hoạt động độc hại, bao gồm giả mạo trang web và thao tác nội dung.
“Kể từ năm 2017, các trình duyệt đã bắt đầu yêu cầu HTTPS để có nhiều tính năng hơn và họ đã cải thiện đáng kể cách thức giao tiếp với người dùng về những rủi ro khi không sử dụng HTTPS”, công ty cho biết. “Khi các trang web khiến người dùng gặp rủi ro khi không sử dụng HTTPS, các trình duyệt lớn hiện hiển thị cảnh báo mạnh mẽ hơn. Nhiều trang web đã phản hồi bằng cách triển khai HTTPS.”
Ra mắt với mục tiêu tăng tốc độ mã hóa của web và giảm chi phí kích hoạt HTTPS, giao thức ACME (Môi trường quản lý chứng chỉ tự động) của Let Encrypt cung cấp một phương tiện dễ dàng để thiết lập và cấp chứng chỉ SSL đó có thể là đổi mới và thay thế không có sự can thiệp thủ công từ quản trị trang web.
Tổ chức biên giới điện tử Giấy chứng nhận là một ứng dụng khách ACME mã nguồn mở, sử dụng miễn phí phổ biến như vậy, cho phép HTTPS trên các trang web bằng cách tự động triển khai các chứng chỉ Mã hóa của Let – chỉ có hiệu lực trong 90 ngày – và quản lý gia hạn.
Nhưng với các diễn viên xấu lạm dụng chứng chỉ Hãy mã hóa HTTPS để che giấu lưu lượng độc hại và hướng người dùng không nghi ngờ đến Trang web độc hại, công ty có thực hiện các bước để “đảm bảo rằng người nộp đơn chứng nhận thực sự kiểm soát tên miền mà họ muốn có chứng chỉ.”
Apple có một bước tiến đáng kể
Nhưng đó không phải là tất cả. Apple đã quản lý để làm điều mà hầu hết các CA đã do dự để hoàn thành tất cả thời gian này: rút ngắn hiệu lực tối đa của các chứng chỉ được cấp xuống còn một năm.
Gã khổng lồ công nghệ gần đây đã tuyên bố rằng bắt đầu từ ngày 1 tháng 9 năm 2020, Safari sẽ từ chối các chứng chỉ HTTPS mới hết hạn hơn 13 tháng (hoặc 398 ngày) kể từ ngày tạo của họ, làm giảm hiệu quả tuổi thọ chứng chỉ tối đa từ 825 ngày.
Điều này theo sau một lá phiếu thất bại được tổ chức vào tháng 9 năm ngoái bởi CA / Browser Forum để giảm tuổi thọ chứng chỉ. Mặc dù Let Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla và Opera đã bỏ phiếu ủng hộ động thái này, gần hai phần ba số CA tham gia đã từ chối ý tưởng này.
Động thái của Apple nhằm rút ngắn tuổi thọ của các chứng chỉ HTTPS có nghĩa là các ứng dụng khách như Encrypt và ACME của CA như Certbot sẽ chỉ trở nên có giá trị hơn trong tương lai, vì điều đó sẽ buộc các quản trị viên trang web phải sử dụng chứng chỉ được cấp trong vòng 1 năm hoặc ít hơn.
Làm thế nào để chứng chỉ ngắn hạn tăng bảo mật?
Giới hạn thời gian sử dụng chứng chỉ giúp cải thiện bảo mật trang web, nhất là vì nó làm giảm khả năng bọn tội phạm đánh cắp các chứng chỉ bị bỏ quên để gắn kết các cuộc tấn công lừa đảo và phần mềm độc hại.
Thứ hai, các phiên bản di động của Chrome và Firefox không chủ động kiểm tra trạng thái chứng chỉ, ngụ ý một trang web có chứng chỉ đã bị thu hồi sẽ vẫn tiếp tục tải mà không đưa ra bất kỳ cảnh báo nào cho người dùng.
Cái này dành cho lý do hiệu suất vì các trình duyệt sẽ phải tải xuống danh sách thu hồi chứng chỉ (CRL) có thể có kích thước khá lớn, ảnh hưởng đến tải trang.
Thay vào đó, Chrome sử dụng CRLSets để “chặn chứng chỉ trong các tình huống khẩn cấp”, trong khi Mozilla đang thử nghiệm CRLite trong các bản dựng hàng đêm của nó.
Bên cạnh những kỹ thuật này, nhà sản xuất Firefox cũng đã công bố các thông số kỹ thuật cho một giao thức mã hóa mới có tên là “Thông tin ủy nhiệm cho TLS, “mà” cho phép các công ty kiểm soát một phần quá trình ký chứng chỉ mới cho chính họ với thời gian hiệu lực không quá 7 ngày và không hoàn toàn dựa vào cơ quan cấp chứng chỉ. “
Không cần phải nói rằng quyết định của Apple để cắt giảm tuổi thọ chứng chỉ là một bước tiến đáng kể cho bảo mật. Và nếu nó giúp chủ động ngăn người dùng kết nối với các trang web bị xâm nhập, thì đó chỉ có thể là một điều tốt.
