Buzz
Chrome sẽ là trình duyệt hàng đầu triển khai chính sách Certificate Transparency Log Policy, trong tương lai, các trình duyệt khác cũng sẽ hỗ trợ
Chính sách mới này được đề xuất bởi các kỹ sư Google từ năm 2016 và dự kiến sẽ có hiệu lực từ tháng 10/2017, sau đó đã bị trì hoãn đến năm 2018
Chrome sẽ tự động hiển thị cảnh báo khi phát hiện chứng chỉ SSL chưa tham gia Certificate Transparency (CT)
Các nhà cung cấp chứng thực số (CA) phải ghi lại nhật ký cho tất cả các chứng chỉ SSL mới được phát hành
Chính sách đăng ký CT yêu cầu các CA và tổ chức phát hành SSL phải công bố nhật ký chứa tất cả các chứng chỉ SSL họ đã phát hành hàng ngày
Nhật ký này phải được công khai, giúp cho các nhà phát triển trình duyệt, CA hoặc các nhà nghiên cứu độc lập có thể tự do điều tra các trường hợp chứng chỉ bị thu hồi bất cứ lúc nào
Công ty CA lưu trữ nhật ký của tất cả các chứng chỉ mà họ đã phát hành riêng tư và chỉ cung cấp chúng cho các nhà sản xuất trình duyệt khi họ điều tra các trường hợp chứng chỉ bị lỗi.
Đa số các công ty CA đều đang xuất bản nhật ký về CT
Với thị phần trên 60%, Chrome đã thiết lập việc triển khai chính sách mới. 'Chrome sẽ yêu cầu tất cả các chứng chỉ máy chủ TLS được phát hành sau ngày 30/4/2018 đều tuân thủ chính sách Chromium CT Policy', theo kỹ sư Devon O'Brien của Google chia sẻ trong cuộc thảo luận trên Google Groups vào đầu năm nay.
'Sau ngày 30/4/2018, khi Chrome kết nối với trang web phân phối chứng chỉ tin cậy công khai không tuân thủ chính sách Chromium CT Policy, người dùng sẽ bắt đầu nhìn thấy cảnh báo toàn trang cho biết kết nối của họ không tuân thủ CT', O'Brien nhấn mạnh thêm. 'Các tài nguyên phụ được phân phối thông qua kết nối HTTPS không tuân thủ CT sẽ không thể tải được và sẽ hiển thị thông báo lỗi trong Chrome DevTools'.
Trước hết, các thay đổi này được áp dụng cho phiên bản Chrome dành cho máy tính, bao gồm Chrome cho ChromeOS, Linux, macOS và Windows.
Các chuyên gia của Google cũng thêm vào cờ Chrome policy cho phép các quản trị viên vô hiệu hóa các chức năng kiểm tra nhật ký CT trong trường hợp Chrome được triển khai trong mạng nội bộ.
Tìm hiểu thêm về cách phân biệt giữa HTTP, HTTPS và SSL
Chính sách CT mới vẫn chưa có hiệu lực
Chính sách CT mới vẫn chưa có hiệu lực. Điều này có nghĩa là các chứng chỉ cũ được phát hành trước ngày hôm nay và chưa được ghi lại trong nhật ký CT sẽ tiếp tục hoạt động.
Tuy nhiên, nếu một CA phát hành chứng chỉ SSL mới bắt đầu từ hôm nay mà không ghi lại chứng chỉ trong nhật ký CT công khai, Chrome sẽ hiển thị thông báo lỗi.
Tin vui là nhiều CA đã bắt đầu ghi lại chứng chỉ trong nhật ký công khai và chia sẻ dữ liệu cho nhau. Merkle Town (do CloudFlare quản lý) và Crt.sh (do Comodo quản lý) là hai trang web tổng hợp nhật ký CT.
Các công cụ này được phát hành vào đầu năm nay khi một CA do chính phủ Hàn Quốc kiểm soát đã phát hành chứng chỉ SSL cho toàn bộ miền cấp cao * .go.kr, cho phép các nhà điều hành chặn lưu lượng truy cập đến tất cả các trang web sử dụng TLD.
Phát hiện này được một nhà nghiên cứu bảo mật độc lập phát hiện, và với các bản ghi CT công khai ngày nay trở thành một tiêu chuẩn thực tế, hy vọng sẽ có nhiều trường hợp tương tự xuất hiện trong tương lai.
Nếu bạn không ưa thích sử dụng Chrome, bạn có thể chọn sử dụng trình duyệt Mozilla Firefox. Gần đây, Firefox 59.0.3 đã có sẵn cho Windows 10, bao gồm một số bản sửa lỗi để cải thiện trải nghiệm người dùng.
