Thời hạn hiệu lực của chứng chỉ TLS chính thức được rút ngắn còn 47 ngày

 (digicert.com)
16 điểm bởi GN⁺ 2025-04-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Rút ngắn thời hạn hiệu lực của chứng chỉ TLS: CA/Browser Forum đã quyết định rút ngắn thời hạn hiệu lực của chứng chỉ TLS. Đến năm 2029, thời hạn hiệu lực của chứng chỉ sẽ được rút xuống còn 47 ngày
  • Tầm quan trọng của tự động hóa: Việc rút ngắn thời hạn hiệu lực của chứng chỉ khiến tự động hóa trở nên bắt buộc. Apple cho rằng tự động hóa là yếu tố thiết yếu trong quản lý vòng đời chứng chỉ
  • Vấn đề về độ tin cậy của thông tin chứng chỉ: Độ tin cậy của thông tin chứng chỉ giảm dần theo thời gian, vì vậy cần tái xác minh thường xuyên
  • Vấn đề của hệ thống thu hồi chứng chỉ: Hệ thống thu hồi chứng chỉ sử dụng CRL và OCSP không đáng tin cậy, và thời hạn hiệu lực ngắn có thể giúp giảm nhẹ vấn đề này
  • Chi phí và giải pháp tự động hóa: Chi phí thay thế chứng chỉ dựa trên gói thuê bao hằng năm, và nhiều trường hợp chủ động chọn chu kỳ thay thế nhanh hơn thông qua tự động hóa

Rút ngắn thời hạn hiệu lực của chứng chỉ TLS

  • CA/Browser Forum đã chính thức quyết định rút ngắn thời hạn hiệu lực của chứng chỉ TLS
  • Từ tháng 3 năm 2026, thời hạn hiệu lực của chứng chỉ sẽ giảm còn 200 ngày, đến năm 2027 là 100 ngày, và đến năm 2029 là 47 ngày
  • Thời gian tái sử dụng thông tin xác minh tên miền và địa chỉ IP cũng sẽ được rút xuống còn 10 ngày vào năm 2029

Ý nghĩa của 47 ngày

  • 47 ngày là khoảng thời gian gồm 1 tháng (31 ngày), một nửa của 30 ngày (15 ngày), và thêm 1 ngày dư
  • Apple nhấn mạnh rằng tự động hóa là yếu tố thiết yếu trong quản lý vòng đời chứng chỉ

Vấn đề về độ tin cậy của thông tin chứng chỉ

  • Độ tin cậy của thông tin chứng chỉ giảm dần theo thời gian, vì vậy cần tái xác minh thường xuyên
  • Hệ thống thu hồi chứng chỉ không đáng tin cậy, và thời hạn hiệu lực ngắn có thể giúp giảm nhẹ vấn đề này

Sự cần thiết của tự động hóa

  • Việc rút ngắn thời hạn hiệu lực của chứng chỉ khiến tự động hóa trở nên bắt buộc
  • DigiCert cung cấp nhiều giải pháp tự động hóa khác nhau thông qua Trust Lifecycle Manager và CertCentral

Thông tin bổ sung và đăng ký blog

  • Có thể xem thông tin mới nhất về quản lý chứng chỉ, tự động hóa và TLS/SSL trên blog của DigiCert
  • Có thể liên hệ với DigiCert để biết thêm chi tiết về các giải pháp tự động hóa

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-04-17
Ý kiến Hacker News

  • "Tò mò không biết mục tiêu cuối cùng ở đây là gì. Tôi đồng ý với ý kiến phản đối. Tại sao không làm luôn thành 30 giây?"

    • "Nếu đã vượt qua ngưỡng mà mọi thứ đều phải được tự động hóa đến mức việc dùng TLS nếu không thì không còn khả thi nữa, thì tôi không hiểu tại sao lại cần cấp thời hạn dài hơn 48 giờ"
    • "Cảm giác đây giống một sứ mệnh mang tính ý thức hệ hơn là thực dụng. Tôi không rõ có lợi ích tài chính/quyền lực nào trong việc buộc toàn bộ hạ tầng phải thay đổi mỗi tháng hay không"

  • "Khi làm việc với các tập đoàn lớn, tôi thấy rằng khi thời hạn hết hạn ngày càng ngắn đi, hầu hết đều chuyển sang dùng chứng chỉ ký nội bộ"

    • "Chứng chỉ công khai được dùng cho thiết bị biên/load balancer, nhưng các dịch vụ nội bộ thì dùng chứng chỉ do CA nội bộ ký với thời hạn dài"
    • "Vì có rất nhiều ứng dụng khiến việc dùng chứng chỉ trở nên phiền phức"

  • "Như đã nói ở một luồng khác, điều này sẽ loại bỏ khả năng tự tạo CA riêng cho các subdomain của chính mình"

    • "Chỉ những CA lớn được tích hợp sẵn trong trình duyệt mới có thể có chứng chỉ CA riêng với thời hạn họ muốn"
    • "Về mặt bảo mật, đây là con dao hai lưỡi"
    • "Nếu mọi người đều quen với việc chứng chỉ liên tục thay đổi và certificate pinning biến mất, thì sẽ khó nhận ra hơn khi Trung Quốc hay một công ty nào đó cung cấp chứng chỉ giả"
    • "Thay vì hệ thống khép kín, mọi máy trên toàn thế giới sẽ phải gần như kết nối thường trực tới các máy chủ chứng chỉ ngẫu nhiên để cập nhật hệ thống"
    • "Nếu máy chủ của Digicert hay Letsencrypt, hoặc 'client cập nhật chứng chỉ', bị hack hay gặp sự cố bảo mật, thì phần lớn máy chủ trên toàn thế giới có thể bị xâm phạm trong thời gian rất ngắn"

  • "Tôi đã bật cười trước lời giải thích sau trong bài"

    • "47 ngày có thể trông như một con số tùy tiện, nhưng đó là một chuỗi logic đơn giản"
    • "47 ngày = tối đa một tháng (31 ngày) + 1/2 của 30 ngày (15 ngày) + 1 ngày đệm"
    • "Vậy nên 47 không phải là tùy tiện, nhưng 1 tháng, 1/2 tháng và 1 ngày thì lại không tùy tiện à"

  • "Với tư cách là một tổ chức cấp chứng chỉ, một trong những câu hỏi khách hàng hỏi chúng tôi nhiều nhất là liệu việc thay chứng chỉ thường xuyên hơn có tốn thêm tiền hay không"

    • "Câu trả lời là không. Chi phí dựa trên gói đăng ký hằng năm"
    • "Digicert, dừng lại chút đi. Giá cả dựa trên gói đăng ký hằng năm. Chi phí phía CA thực ra có tăng lên một chút, nhưng vốn dĩ đã gần như bằng 0 rồi"
    • "Vận hành CA là một trong những mô hình kinh doanh dễ nhất thế giới"

  • "Chúng tôi cấu hình hệ thống giám sát để gửi cảnh báo không quan trọng kiểu 'có thể đợi đến thứ Hai' khi SSL certificate còn dưới 14 ngày là hết hạn, và gửi cảnh báo kiểu 'không được làm phiền' khi chỉ còn 48 giờ nữa là hết hạn"

    • "Vài năm trước cert-manager từng rơi vào một trạng thái kỳ lạ, nên lần tới tôi muốn biết trước"

  • "Tôi ước gì việc mã hóa và danh tính không bị gắn quá chặt với nhau trong chứng chỉ"

    • "Khi cấp chứng chỉ, người ta luôn quan tâm đến mã hóa, nhưng đôi khi lại không quan tâm đến danh tính"
    • "Khi tôi chỉ quan tâm đến mã hóa, tôi vẫn phải gánh thêm phần phức tạp phát sinh từ việc phải quan tâm đến danh tính"

  • "Tôi tự hỏi nếu điều này được áp dụng thì liệu toàn bộ Chromecast có lại ngừng hoạt động không"

    • "Nhìn vào phản ứng của Google trong đợt Chromecast ngừng hoạt động hồi đầu năm nay, có vẻ Chromecast được vận hành với nhân lực tối thiểu và không có nguồn lực để tự động hóa việc gia hạn chứng chỉ"

  • "Tự động hóa và chứng chỉ ngắn hạn đang khiến tổ chức cấp chứng chỉ trở nên giống OpenID Provider"

    • "Phần quan trọng của bảo mật sẽ tập trung vào cách tổ chức cấp chứng chỉ xác minh quyền sở hữu tên miền"
    • "Có thể client sẽ tự thực hiện việc xác minh trực tiếp thay vì phụ thuộc vào chứng chỉ"
    • "Ví dụ, khi kết nối tới máy chủ, client gửi hai giá trị duy nhất, và máy chủ phải tạo một bản ghi DNS"
    • "Đó là xác thực qua DNS. Chúng ta sẽ phải tăng tốc hệ thống DNS"

  • "Điều này sẽ phá vỡ sự phụ thuộc vào certificate pinning ở hai nơi thú vị"

    • "Ứng dụng di động"
    • "API doanh nghiệp. Nhiều công ty pin chứng chỉ, và họ phàn nàn khi chúng tôi xoay vòng chứng chỉ"
    • "Mốc 47 ngày sẽ buộc họ phải tự động xoay vòng pinning"

  • "Giả định ở đây là khóa riêng tư có thể bị xâm phạm dễ hơn so với bí mật/cơ chế dùng để cấp chứng chỉ"

    • "Tôi không chắc về điểm đó"