Chính sách này vừa được tiết lộ tại cuộc họp của Diễn đàn của các CA/Browser (Certification Authority Browser Forum). Cụ thể, từ ngày 01/9/2020, bất kỳ chứng thực trang web mới nào có hiệu lực trong hơn 398 ngày sẽ không được trình duyệt Safari tin tưởng và bị từ chối. Các chứng thực cũ hơn, được phát hành trước thời hạn đó sẽ không bị ảnh hưởng bởi quy tắc này.
Safari sẽ loại bỏ các chứng thực mới có hiệu lực trên 13 tháng
Chủ nhật, 04/10/2020 19:45
Cuối năm 2020, Safari sẽ không chấp nhận các chứng thực HTTPS mới có hiệu lực trên 13 tháng kể từ ngày tạo. Điều đó có nghĩa là các trang web sử dụng các chứng thực SSL/TLS có tuổi thọ cao được ban hành sau thời điểm giới hạn sẽ khiến trình duyệt của Apple hiển thị lỗi bảo mật.
Bằng cách triển khai chính sách mới này trong trình duyệt Safari, Apple sẽ thực thi nó trên tất cả các thiết bị sử dụng hệ điều hành iOS và macOS. Điều này sẽ gây áp lực lên các quản trị viên và nhà phát triển khi phải đáp ứng các yêu cầu của Apple. Chính sách mới cũng có nguy cơ gây ảnh hưởng đến danh tiếng các trang web.
Tim Callan, một thành viên cao cấp tại công ty quản lý PKI và SSL Sectigo chia sẻ rằng, Apple đã thông báo trực tiếp tại Diễn đàn CA/Browser về việc sẽ giới hạn thời hạn hiệu lực chứng thực TLS xuống 398 ngày kể từ ngày 01/9/2020. Chứng chỉ được cấp kể từ ngày đó với thời hạn vượt quá 398 ngày sẽ không được tin cậy trong các sản phẩm của Apple.
Việc giảm tuổi thọ của chứng thực đã được Apple và các thành viên khác của Diễn đàn CA/Browser đã được xem xét trong nhiều tháng. Chính sách này có những lợi ích và hạn chế của nó.
Mục đích của động thái này là cải thiện độ bảo mật của các trang web bằng cách đảm bảo các nhà phát triển sử dụng chứng thực với các tiêu chuẩn mật mã mới nhất và để giảm số lượng chứng thực cũ, bị bỏ quên, có khả năng bị đánh cắp và sử dụng lại cho các cuộc tấn công mã độc và lừa đảo. Nếu các nhà nghiên cứu hoặc những người khác có thể phá vỡ mật mã theo tiêu chuẩn SSL/TLS, chứng thực tồn tại trong thời gian ngắn sẽ đảm bảo mọi người chuyển sang sử dụng các loại chứng thực an toàn hơn trong khoảng một năm.
Việc rút ngắn tuổi thọ của chứng thực cũng tồn tại một số nhược điểm. Bằng cách tăng tần suất thay thế chứng thực, chủ sở hữu các trang web và các doanh nghiệp phải quản lý chứng thực và tuân thủ một cách nghiêm ngặt hơn. Các công ty cần phải tìm cách tự động hóa để hỗ trợ triển khai, gia hạn và quản lý vòng đời chứng thực để giảm chi phí nhân công và nguy cơ phát sinh lỗi khi tần suất thay thế chứng thực tăng lên.
Lưu ý rằng, Let Encrypt cấp các chứng thực HTTPS miễn phí hết hạn sau 90 ngày và cung cấp các công cụ để tự động gia hạn. Vì vậy, các chứng thực do Let Encrypt cấp sẽ hoạt động ổn định và hiện tại chúng được sử dụng trên rất nhiều các trang web.
GitHub.com sử dụng chứng thực có hạn hai năm, điều này sẽ vi phạm các quy tắc của Apple mặc dù chứng thực mà họ dùng đã được cấp trước thời điểm giới hạn. Tuy nhiên, nó sẽ được gia hạn vào tháng 6/2020.
Hãng Microsoft sử dụng chứng thực dot-com có thời hạn hai năm, sẽ hết hạn vào tháng 10/2020. Nếu Microsoft gia hạn thêm hai năm nữa, nó sẽ vi phạm chính sách của Safari.
Dường như không có thông báo công khai nào được đưa ra bởi Apple. Digicert đã có một chuyên trang về chính sách này vào ngày 19/2/2020. Tuy nhiên, họ đặt ra nghi vấn về việc tại sao Apple đơn phương quyết định thực thi một thời gian chứng thực ngắn hơn. Người phát ngôn của Apple cho rằng, hành động này là để bảo vệ người dùng. Thời gian tồn tại của chứng thực dài hơn là một thách thức với việc thay thế chứng thực trong trường hợp xảy ra sự cố bảo mật lớn. Chứng thực tồn tại trong thời gian ngắn sẽ cải thiện mức độ bảo mật vì chúng làm giảm thời gian phơi nhiễm nếu bị xâm phạm. Chúng cũng sẽ đảm bảo việc cập nhật hàng năm các thông tin như tên công ty, địa chỉ và tên miền đang hoạt động. Việc rút ngắn thời gian sống của chứng thực nên được cân bằng với mức độ khó khăn mà người dùng chứng thực cần vượt qua để thực hiện những thay đổi này.