Hiện nay, chứng chỉ SSL được xem là tiêu chuẩn chứng minh tính xác thực của website. Từ đó đảm bảo được uy tín và tránh rủi ro. SSL được cấp bởi Certificate Authority (CA). Vậy Certificate Authority là gì?
Certificate Authority là gì?
Certificate Authority (Nhà cung cấp chứng chỉ số – CA) cung cấp các Chứng chỉ số (Digital Certificate). Chứng chỉ số là các file dữ liệu nhỏ chứa thông tin xác thực. Chúng giúp trang web, người dùng và các thiết bị thể hiện danh tính trực tuyến của họ.
CA đóng một vai trò quan trọng trong cách thức hoạt động của internet. Cùng với đó là cách các giao dịch đáng tin cậy, minh bạch có thể diễn ra trực tuyến. CA phát hành hàng triệu Chứng chỉ số hằng năm. Các Chứng chỉ này dùng để bảo vệ thông tin, mã hóa hàng tỷ giao dịch trên thế giới. Đồng thời còn cho phép các giao tiếp an toàn được diễn ra.
Chứng chỉ số SSL
Chứng chỉ SSL (SSL Certificate) là một loại Chứng chỉ số phổ biến. Chúng liên kết chi tiết quyền sở hữu của máy chủ web (và web) với các khóa mật mã (cryto key). Các khóa này được sử dụng trong giao thức SSL/TLS. Chúng có tác dụng kích hoạt phiên bảo mật giữa trình duyệt và máy chủ web SSL. Để trình duyệt có thể tin cậy SSL và thiết lập SSL/TLS session mà không bị cảnh báo bảo mật, SSL phải chứa domain name của trang web sử dụng nó (được cấp bởi CA và còn hạn).
Theo trang phân tích Netcraft, vào tháng 8 năm 2012, có gần 2.5 triệu Chứng chỉ SSL được sử dụng cho các trang web công khai. Trên thực tế, có lẽ con số thật sự còn lớn hơn, khoảng 1.5 lần, nhưng Netcraft không thể xác định được. Điều này làm cho SSL trở thành một trong những công nghệ bảo mật phổ biến nhất hiện nay.
Ba cấp độ của chứng chỉ SSL gồm Extended Validation (EV), Organization Validated (OV) và Domain Validdated (DV). Trong đó, EV là chứng chỉ mức cao nhất.
Cách xác minh độ tin cậy của Certificate Authority là gì?
Các trình duyệt, hệ điều hành cũng như thiết bị di động vận hành các chương trình ”membership” CA đã được ủy quyền. Trong đó, CA phải đáp ứng các tiêu chí chi tiết để được chấp nhận là thành viên. Sau đó, CA có thể cấp Chứng chỉ SSL – được trình duyệt tin cậy – để mọi người và thiết bị đều dựa vào Chứng chỉ đó. Có một số lượng tương đối nhỏ các CA được ủy quyền từ các công ty tư nhân đến chính phủ. Thông thường, CA hoạt động càng lâu thì các Chứng chỉ càng được tin cậy.
Để các chứng chỉ được tin cậy một cách minh bạch, chúng phải có khả năng tương thích ngược với các trình duyệt cũ. Đặc biệt là trên các thiết bị di động đời cũ. Đặc điểm này được gọi là tính phổ biến. Đồng thời cũng là một trong những tính năng quan trọng nhất mà CA có thể cung cấp.
Trước khi cấp một Chứng chỉ số, CA sẽ tiến hành một số kiểm tra về danh tính của người nộp đơn. Việc kiểm tra liên quan đến loại chứng chỉ đang được áp dụng. Lấy ví dụ, chứng chỉ SSL xác thực domain sẽ xác minh quyền sở hữu domain name được đưa vào Chứng chỉ. Trong khi đó, SSL xác thực mở rộng sẽ bao gồm thông tin bổ sung về công ty. Các thông tin này sẽ được xác thực bởi CA qua nhiều lần kiểm tra.
Bên cạnh SSL, CA còn có thể cấp các loại chứng chỉ kỹ thuật số cho các mục đích khác như:
- Chứng chỉ chữ ký code được dùng bởi các nhà phát triển phần mềm và lập trình viên để ký vào phần mềm mà họ phân phối.
- Chứng chỉ email cho phép các thực thể ký, mã hóa và xác thực email bằng giao thức S/MIME (Secure Multipurpose Internet Mail Extension) để đảm bảo an toàn khi truy cập tập tin đính kèm.
- Chứng chỉ thiết bị được cấp cho các thiết bị IoT để cho phép quản lý và xác thực cập nhật firmware hoặc phần mềm một cách an toàn.
- Chứng chỉ đối tượng có thể được dùng để ký và xác thực bất cứ đối tượng phần mềm nào.
- Chứng chỉ người dùng hoặc khách hàng, được sử dụng bởi các cá nhân cho các mục đích xác thực khác nhau và đôi khi được gọi chung là chữ ký số.
PKI và Trust Hierarchy
Các trình duyệt và thiết bị tin tưởng một Certificate Authority bằng cách chấp nhận root certificate (root certificate) vào kho lưu trữ gốc của nó. Về cơ bản thì là một cơ sở dữ liệu, gồm các CA đã được phê duyệt, được cài sẵn với trình duyệt hay thiết bị. Lấy ví dụ, Windows cũng vận hành một kho lưu trữ gốc, giống như Apple hay Mozilla. Ngoài ra, mỗi nhà cung cấp dịch vụ di động cũng thường vận hành một kho lưu trữ như vậy.
Các CA sử dụng root certificate được cài đặt sẵn này để cấp root certificate trung gian và end entity certificate. CA nhận các yêu cầu cấp chứng chỉ, xác thực, cấp Chứng chỉ và công bố trạng thái hiệu lực. Từ đó, bất kỳ ai dựa trên Chứng chỉ đều có thể biết được thời gian hiệu lực của nó.
CA thường tạo ra một số root certificate CA trung gian (Intermediate CA – ICA). Chúng được sử dụng để cấp end entity certificate (như SSL). Đây được gọi là hệ thống phân cấp tin cậy (Trust Heriarchy).
CA không cấp Chứng chỉ số trực tiếp từ Root CA của họ mà thông qua một hoặc nhiều ICA để làm việc này. Sỡ dĩ là như thế là vi CA cần phải tuân theo các tiêu chuẩn bảo mật khắt khe để hạn chế tối đa việc bị lộ Root CA vào tay các attacker.
Điều gì xảy ra khi vận hành một Certificate Authority?
Là một trusted anchor của internet, Certificate Authority rõ ràng có trách nhiệm vô cùng lớn. Vì vậy, việc chạy một Certificate Authority là một nhiệm vụ phức tạp. Cơ sở hạ tầng của Certificate Authority bao gồm các yếu tố hoạt động, phần cứng, phần mềm, khuôn khổ chính sách. Ngoài ra còn có kiểm toán, cơ sở hạ tầng bảo mật, nhân sự. Nói chung, các phần tử đó được gọi là PKI (Public Key Infrastructure).
Các Chứng chỉ có nhiều định dạng khác nhau, từ đó có thể hỗ trợ xác thực mọi người và thiết bị, bên cạnh SSL. Đồng thời, nó còn làm tăng tính hợp pháp cho code và các tài liệu. Vietnix vừa giải thích Certificate Authority là gì và sự quan trọng của nó đối với bảo mật thông tin, hy vọng qua bài viết này bạn có thể biết thêm nhiều kiến thức mới.
Cách đăng ký SSL với Certificate Authority
Các website đăng ký chứng chỉ SSL hiện nay có thể thực hiện khá dễ dàng. Một số nhà cung cấp tên miền, hosting… có bán kèm các gói dịch vụ chứng chỉ số khi mua tên miền hoặc hosting của họ. Trong trường hợp bạn muốn sử dụng dịch vụ SSL từ các nhà cung cấp khác có thể tham khảo quy trình làm việc dưới đây.
- Bước 1: Tạo CSR (Certificate Signing Request) trên máy chủ (server) hoặc các Control Panel Hosting với tên miền cần đăng ký.
- Bước 2: Thực hiện nhập CSR theo hướng dẫn trong Email.
- Bước 3: Tùy theo từng loại SSL, Certificate Authority sẽ gửi mail xác nhận đến email chủ sở hữu tên miền hoặc email tên miền.
- Bước 4: Hoàn tất chứng thực tên miền, kiểm tra hộp thư Email để nhận thông tin chứng chỉ từ Certificate Authority.
- Bước 5: Kiểm tra chứng chỉ SSL bằng cách truy cập địa chỉ tên miền trên trình duyệt. Lúc này bạn sẽ có thể truy cập vào địa chỉ có dạng https://yourdomain.com và xuất hiện một biểu tượng ổ khóa ngay phía trước.
