Google đang có kế hoạch cắt giảm thời gian tồn tại của chứng chỉ SSL xuống còn một năm
Google đang có kế hoạch thực hiện một số thay đổi đối với thời gian tồn tại của chứng chỉ SSL. Các chứng chỉ sẽ chỉ có giá trị trong một năm thay vì hai năm trong trường hợp đó.
Ryan Sleevi, nhân viên của Google, đã trình bày ý tưởng tại cuộc họp F2F của Diễn đàn CA / B được tổ chức vào tháng 6 năm nay. Đối với những người chưa biết, Diễn đàn CA / B về cơ bản là một nền tảng bao gồm các nhà cung cấp trình duyệt, hệ điều hành và tổ chức phát hành chứng chỉ. Đây là một nhóm không chính thức chịu trách nhiệm thiết lập các nguyên tắc ngành điều chỉnh chứng chỉ số.
Các nhà cung cấp Brower đã bỏ phiếu ủng hộ quyết định này
Theo đề xuất, tất cả các chứng chỉ SSL mới sẽ có hiệu lực trong khoảng một năm một tháng (397 ngày). Đáng chú ý, tất cả các chứng chỉ xuất cảnh đều có tuổi thọ hơn hai năm (825 ngày). Đề xuất đã được đa số các nhà sản xuất trình duyệt ủng hộ.
Tuy nhiên, các cơ quan cấp chứng chỉ đã chống lại quyết định này. Đây không phải là lần đầu tiên một ý tưởng như vậy được đưa ra thảo luận. Chứng chỉ SSL ban đầu có hiệu lực trong khoảng tám năm. Các mối đe dọa an ninh ngày càng tăng đã buộc các nhà chức trách phải cắt nó xuống còn ba và sau đó là hai năm sau một cuộc kháng chiến lớn.
Diễn đàn CA / B đã từ chối một đề xuất tương tự đã được trình bày vào năm 2017. Ý tưởng là giảm tuổi thọ xuống còn một năm. Các cơ quan cấp chứng chỉ cho rằng thật không công bằng khi thay đổi thời gian tồn tại của chứng chỉ SSL một lần nữa.
Giảm thời gian tồn tại mang lại lợi ích bảo mật
Mặc dù CA phản đối ý tưởng này, tuy nhiên, nó mang lại rất nhiều lợi ích về bảo mật cùng với nó. Không cần phải nói, các quy tắc tuân thủ thay đổi hàng tháng. Sự thay đổi này sẽ giúp các công ty chuyển đổi dễ dàng hơn với các quy định mới.
Có rất nhiều công ty bảo vệ hệ thống của họ với sự trợ giúp của chứng chỉ kỹ thuật số. Chúng tôi không thể phủ nhận một thực tế rằng sự thay đổi cũng sẽ dẫn đến chi phí bổ sung cho hàng nghìn công ty như vậy. Quan trọng nhất, không có cải tiến bảo mật lớn nào đang được triển khai do tuổi thọ giảm.
Họ vẫn cần phải đối phó với tất cả các tác nhân độc hại thường xuyên lên kế hoạch tấn công lừa đảo. Họ ngày càng khó bảo vệ khách hàng của mình mà không có bất kỳ lợi thế rõ ràng nào. Cuộc chiến giữa các nhà cung cấp trình duyệt và tổ chức phát hành chứng chỉ không phải là điều gì mới mẻ. Vấn đề chỉ là thời gian để xem liệu Google có tiếp tục thành công trong nỗ lực của mình hay không.
