Bắt đầu từ hôm nay, tuổi thọ của chứng chỉ TLS mới sẽ bị giới hạn trong 398 ngày, hơn một năm, từ thời hạn sử dụng chứng chỉ tối đa trước đó là 27 tháng (825 ngày).
Trong một động thái nhằm tăng cường bảo mật, Apple, Google và Mozilla được thiết lập để từ chối các chứng chỉ kỹ thuật số được root công khai trong các trình duyệt web tương ứng của họ hết hạn hơn 13 tháng (hoặc 398 ngày) kể từ ngày tạo.
Tuổi thọ của chứng chỉ SSL / TLS đã giảm đáng kể trong thập kỷ qua. Vào năm 2011, Diễn đàn trình duyệt của cơ quan cấp giấy chứng nhận (CA / Browser Forum), một tập hợp các cơ quan cấp giấy chứng nhận và các nhà cung cấp phần mềm trình duyệt, đã đưa ra giới hạn 5 năm, giảm thời hạn hiệu lực của chứng chỉ từ 8 – 10 năm.
Sau đó, vào năm 2015, nó đã được cắt ngắn xuống còn ba năm và hai năm một lần nữa vào năm 2018.
Mặc dù đề xuất giảm thời gian tồn tại của chứng chỉ xuống một năm đã bị loại bỏ trong một lá phiếu tháng 9 năm ngoái, biện pháp này đã được các nhà sản xuất trình duyệt như Apple, Google, Microsoft, Mozilla và Opera ủng hộ nhiệt liệt.
Sau đó vào tháng Hai năm nay, táo trở thành công ty đầu tiên thông báo rằng họ có ý định từ chối các chứng chỉ TLS mới được cấp vào hoặc sau ngày 1 tháng 9 có hiệu lực hơn 398 ngày. Kể từ đó, cả hai Google và Mozilla đã tuân theo để thực thi các giới hạn 398 ngày tương tự.
Các chứng chỉ được cấp trước ngày thực thi sẽ không bị ảnh hưởng, cả những chứng chỉ được cấp từ tổ chức phát hành chứng chỉ gốc (CA) do người dùng thêm hoặc do quản trị viên thêm vào.
“Các kết nối với máy chủ TLS vi phạm các yêu cầu mới này sẽ không thành công”, Apple giải thích trong một tài liệu hỗ trợ. “Điều này có thể gây ra lỗi mạng và ứng dụng và ngăn không cho các trang web tải.”
Về phần mình, Google dự định từ chối các chứng chỉ vi phạm điều khoản hợp lệ có lỗi “ERR_CERT_VALIDITY_TOO_LONG” và coi chúng là chứng chỉ được cấp sai.
Ngoài ra, một số nhà cung cấp chứng chỉ SSL, chẳng hạn như Digicert và Sectigo đã ngừng cấp chứng chỉ có thời hạn hai năm.
Để tránh những hậu quả không mong muốn, Apple khuyến nghị rằng các chứng chỉ được cấp có thời hạn tối đa là 397 ngày.
Tại sao tuổi thọ chứng chỉ ngắn hạn?
Giới hạn thời gian tồn tại của chứng chỉ cải thiện bảo mật trang web bởi vì nó làm giảm khoảng thời gian mà các chứng chỉ bị xâm phạm hoặc không có thật có thể bị lợi dụng để thực hiện các cuộc tấn công lừa đảo và phần mềm độc hại.
Đó không phải là tất cả. Phiên bản di động của Chrome và Firefox không chủ động kiểm tra trạng thái chứng chỉ do các hạn chế về hiệu suất, khiến các trang web có chứng chỉ bị thu hồi tải mà không đưa ra bất kỳ cảnh báo nào cho người dùng.
Đối với các nhà phát triển và chủ sở hữu trang web, quá trình phát triển là thời điểm tốt để triển khai tự động hóa chứng chỉ bằng cách sử dụng các công cụ như Hãy mã hóa và EFF’s CertBot, cung cấp một cách dễ dàng để thiết lập, phát hành, gia hạn và thay thế chứng chỉ SSL mà không cần can thiệp thủ công.
Chris Hickman, giám đốc an ninh của Keyfactor cho biết: “Chứng chỉ hết hạn tiếp tục là một vấn đề lớn, khiến các công ty tiêu tốn hàng triệu đô la do ngừng hoạt động mỗi năm. “Trên hết, các cảnh báo chứng chỉ hết hạn thường xuyên hơn có thể khiến khách truy cập web trở nên thoải mái hơn khi bỏ qua các cảnh báo bảo mật và thông báo lỗi.”
“Tuy nhiên, người đăng ký chứng chỉ thường quên cách thức hoặc thời điểm thay thế chứng chỉ, khiến dịch vụ ngừng hoạt động do hết hạn đột xuất […] khiến họ không đủ trang bị để quản lý các chứng chỉ có tuổi thọ ngắn hơn mới này trên quy mô lớn. “
