Trình duyệt Chome cảnh báo SSL không an toàn.
Gần đây Mysun có nhận được rất nhiều email hỏi về việc các hệ thống tích hợp chứng chỉ
SSL sử dụng các trình duyệt firefox, IE … thì vẫn truy cập bình thường. Nhưng khi sử dụng trình duyệt chome thì chứng chỉ đều báo không tin tưởng. Mặc
dù các chứng chỉ SSL đều được mua của hảng cung cấp lớn như của thế giới như: GlobalSign,
VeriSign… Vậy nguyên nhân do đâu.
- Hình ảnh trình duyệt chome với SSL public (Mua của hãng) .
- Hình ảnh SSL được cấp phát bởi local CA (certification authority)
Nguyên nhân:
Nếu bạn nhìn kỹ vào thông báo của trình duyệt (hình ảnh), bạn sẽ nhận thấy trình duyệt có đưa ra một thông báo kèm theo đó là: "Chứng chỉ SSL đang sử dụng thuật toán băm bằng SHA1".
SHA1 là thuật toán đã được chứng minh có thể phá vỡ cách đây 3 năm, từ 2012.
Bạn có thể tham khảo: https://www.schneier.com/blog/archives/2012/10/when_will_we_se.html
Vậy SHA 1 không còn an toàn sao gần đây trình duyệt chome mới đưa ra cảnh báo này? Và các nhà cung cấp chứng chỉ số SSL vẫn chưa thay đổi sử dụng thuật toán băm trong ký số?
Vậy SHA 1 không còn an toàn sao gần đây trình duyệt chome mới đưa ra cảnh báo này? Và các nhà cung cấp chứng chỉ số SSL vẫn chưa thay đổi sử dụng thuật toán băm trong ký số?
Mọi việc không phải đơn giản vậy, thay đổi thuật toán hàm băm tương đương họ phải thay đổi lại cấu trúc hệ thống, cài đặt lại toàn bộ hệ thống liên quan, thay đổi hạ tầng…. Chính vì vậy tất cả việc thay đổi đều phải có lộ trình.
Hiện tại Microsoft đã đưa ra thông báo họ sẽ không chấp nhận chứng chỉ SSL sử dụng thuật toán hàm băm SHA 1 sau năm 2016. Tương tự đại diện Google cũng cho biết họ sẽ xử phạt các hệ thống dùng ssl SHA1 từ 2016 và sau đó.
Tham khảo: https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
Qua các khảo sát của của chuyên gia bảo mật cho thấy đến hết năm 2014 chỉ mới 15% hệ thống
trên toàn thế giới sử dụng cert có thuật toán băm phiên bản cao hơn SHA 1. Như
vậy theo lời cảnh báo của Microsoft và Google thì chúng ta chỉ có một năm ( 2015) để các tổ chức chủ động xin cấp SSL phiên bản mới có sử dụng thuật toán cao hơn SHA 1 trong thuật toán băm của chữ ký số.
Cảnh báo:
Tháng 8/2015 Mysun đã thực hiện check ngẫu nhiên 10 hệ thống của các cơ quan tài
chính Việt Nam, và Mysun nhận được kết quả 9 site vẫn đang sử dụng thuật toán SHA 1, và
1 site sử dụng phiên bản cao hơn SHA1. Như vậy tỷ lệ 9/10.
Hệ thống duy nhất check đảm bảo an toàn đang sử dụng thuật
toán băm SHA 256, đây là thuật toán mã hóa cao thay thế SHA1. Đó là site của Ngân
hàng techcombank.
Site này Mysun xin để hình ảnh rõ :
9 Site còn lại đều đang sử dụng SHA1, giao thức hàm băm cũ. Đặc biệt hơn Mysun nhận thấy, các hệ thống của cơ quan tài chính này, dù mới xin cấp hoặc renew cert
SSL trong tháng 6/2015 vừa qua, nhưng vẫn sử dụng cert có chứa thuật toán SHA1 trong chứng chỉ SSL. Có lẽ các tổ chức chưa biết được thông tin này chăng.
Hiện tại các
hệ thống sử dụng SHA1 mới được cảnh báo từ Google tương đương với trình duyệt chome, có thể Microsoft sẽ có cảnh báo ngay sau đây. Tuy nhiên theo cảnh báo năm 2016 nếu hệ
thống vẫn sử dụng phiên bản này, thì hệ thống chúng ta có thể không truy cập sử
dụng được. (tức truy cập vào site sẽ bị lỗi do cert mà không thể vào được hệ thống) và một điều lưu ý nữa chứng chỉ SSL chúng ta hoàn toàn bị phá vỡ khi chứng chỉ SSL sử dụng thuật toán SHA1 .
Vậy Mysun muốn viết bài này để các bạn chủ động với các hệ thống của mình nhé, tránh việc khách hàng không sử dụng được site mới biết lỗi do SSL, nhất là site thanh toán trực tuyến của các cơ quan tài chính.
Vậy Mysun muốn viết bài này để các bạn chủ động với các hệ thống của mình nhé, tránh việc khách hàng không sử dụng được site mới biết lỗi do SSL, nhất là site thanh toán trực tuyến của các cơ quan tài chính.
Để kiểm tra hệ thống của quan mình đã sử dụng hàm băm phiên bản
cao hơn SHA1 trong Cert thì bạn chó thể kiểm tra bằng tay hoặc bạn có thể sử dụng tool online sau.