01 Aug
2017

Thông tin về việc xử lý chứng thư số Symantec được cấp phát trước ngày 01/06/2016

Cập nhật lúc 01-08-2017 05:01 PM

Trong vài ngày gần đây, một số nguồn tin thông báo rằng Google Chrome sẽ chấm dứt sự tin cậy đối với các chứng thư số SSL được cấp phát bởi Symantec khiến nhiều khách hàng của chúng tôi hoang mang. Những thông tin này chưa thật sự chính xác và nhằm mục đích lôi kéo khách hàng không lành mạnh.

Là công ty Việt Nam có cấp đối tác Symantec Website Security Partner cao nhất tại Việt Nam trong lĩnh vực phân phối các sản phẩm chứng thư số Symantec SSL, chúng tôi có trách nhiệm cung cấp thông tin đầy đủ, chính xác, trung thực cho khách hàng của mình, đồng thời hỗ trợ kỹ thuật kịp thời cho khách hàng của mình trong trường hợp cần thiết.
 

Tin đồn thất thiệt

Việc một số đối thủ tung tin đồn thất thiệt cho rằng Google sẽ không trusted chứng thư số Symantec sau ngày 08/08/2017 là một tin đồn thất thiệt, không có căn cứ, nhằm mục đích chính là hạ thấp uy tín của Symantec và cạnh tranh không lành mạnh! 

Không có một chứng thư số Symantec nào đang hoạt động sẽ bị bất cứ tác động nào sau ngày 08/08/2017 như những gì mà nhiều đối thủ và trang tin Việt Nam loan báo trong những ngày qua.

 

Sự cố là có thật

Truớc hết, chúng tôi xin khẳng định: Sự cố sai sót trong quy trình xác thực dẫn đến việc Symantec (và các đối tác) cấp phát chứng thư số khi chưa đủ điều kiện xác thực là có thật. Tuy nhiên, con số chính thức được Symantec xác nhận sau kiểm toán đến nay là 127 chứng thư. Và đây là những chứng thư được cấp phát cho các hệ thống thử nghiệm phần mềm, nhưng bằng cách nào đó đã được cài đặt vào các máy chủ công khai trên Internet. Sau khi kiểm toán độc lập, Symantec đã sa thải toàn bộ các nhân viên liên quan cũng như chấm dứt hợp tác ngay lập tức với các đối tác xác thực liên quan đến sự cố.

Chi tiết về số lượng chứng thư số bị cấp phát sai quy trình: https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=INFO4154

 

Sai sót luôn kèm theo hình phạt

Tất cả các hãng xác thực (CA) khi tham gia vào ngành công nghiệp xác thực đều công bằng như nhau. Tất cả đều phải tuân thủ các định được tổ chức quản lý các hãng xác thực (CA) và nhà phát triển trình duyệt (browser) có tên gọi CA/B Forum.

Google là đơn vị đầu tiên phát hiện sự cố. Ngay sau khi thông báo cho Symantec, Google đã đưa ra bản dự thảo cứng rắn với việc đề xuất ngừng tin cậy các chứng thư số do Symantec cấp phát. Dự thảo này đã vấp phải sự phản đối của Symantec cũng như giới  công nghệ. Nhiều ý kiến cho rằng, những sai sót này có thể xảy ra đối với mọi hãng xác thực, do nhiều quy định xác thực cũng như cấp phát chứng thư số của CA/B Forum đã bị lỗi thời và tồn tại nhiều lỗ hổng. Bản thân Symantec luôn là nhà tiên phong trong việc đưa ra các cải tiến cho ngành công nghiệp này, như các quy định về DNS CAA hoặc Certificate Transperancy (CT logs).

Là hãng xác thực CA lớn nhất, uy tín nhất trong nền công nghiệp xác thực, với tinh thần cầu thị, Symantec đã triển khai rất nhiều cuộc họp với Google để thảo luận và phản biện về bản dự thảo của Google. Và hiện tại, bản dự thảo mới nhất của Google đã giảm mức độ nghiêm trọng xuống rất nhiều lần. Và dù cho Google công bố là bản dự thảo sẽ có hiệu lực vào ngày 08/08/2017, hiện tại chưa có nguồn tin chính thức nào khẳng định Google sẽ thực thi bản dự thảo này.

Theo bản dự thảo cuối cùng mà Google công bố, kể từ ngày 01/05/2018, Google Chrome sẽ ngừng tin cậy đối với các chứng thư số Symantec được cấp phát trước ngày 01/06/2016.

Nguồn bản dự thảo mới nhất kèm theo phản hồi của Symantec: https://www.symantec.com/connect/blogs/symantec-s-response-google-s-subca-proposal
 

Luôn có giải pháp xử lý sự cố

Dù chưa có nguồn tin khẳng định chắc chắn rằng Google sẽ thực thi bản dự thảo vào ngày 08/08/2017, nhưng Symantec đã khuyến cáo khách hàng của mình thực hiện việc Reissue các chứng thư được cấp phát trước ngày 01/06/2016, nhằm đảm bảo các chứng thư này được xác thực lại và việc xác thực này được lưu lại trong CT log.

Có rất nhiều hãng CA chưa thực hiện việc lưu trữ CT log trước ngày 01/06/2016. Do đó, nếu bản dự thảo này được thực thi, không chỉ các chứng thư số Symantec bị ảnh hưởng mà có thể còn có nhiều chứng thư số của các hãng CA khác cũng không được Google Chrome tin cậy nếu chứng thư số đó không hỗ trợ CT log.

Đây chính là lý do vì sao những đối thủ và một số trang tin Việt Nam, vì thiếu kiến thức và với động cơ cạnh tranh không lành mạnh, đã tung tin đồn rằng Google sẽ ngừng tin cậy với chứng thư số Symantec sau ngày 08/08/2017. Thật sự là Google sẽ ngừng tin cậy với mọi chứng thư số của mọi hãng CA cấp phát trước ngày 01/06/2016 mà không hỗ trợ CT log.

Chúng tôi đã rà soát lại tất cả chứng thư số của khách hàng đang sử dụng được cung cấp thông qua chúng tôi, và khuyến cáo khách hàng thực hiện việc Reissue này. Quá trình này không mất nhiều thời gian và hoàn toàn miễn phí.

Việc Reissue này chỉ áp dụng đối với những khách hàng có khả năng bị ảnh hưởng. Do đó, nếu không nhận được thông báo từ chúng tôi thì có nghĩa chứng thư số mà quý khách đang dùng là hoàn toàn an toàn và tin cậy.

Trong trường hợp cần thêm thông tin, quý khách có thể liên hệ với chúng tôi theo thông tin sau:

  • Email: support@vietnamssl.com
  • Điện thoại: 8428-62680611 (ext 102, 114)
  • Skype: chungchiso
  • Hotline: 0903.935 506