Google mới đây đã tuyên bố sẽ không chấp nhận mọi chứng chỉ số EV được cấp bởi Symantec sau khi phát hiện ra hơn 30.000 chứng chỉ số EV không hợp lệ được phát hành bởi Symantec trong vài năm gần đây.
Chứng chỉ số EV (Extended validation) là một hình thức xác minh đặc biệt của các nhà cung cấp dịch vụ xác thực chứng chỉ số (Certificate Authority – CA). Việc có được chứng chỉ này sẽ làm tăng độ tin cậy của website đối với người dùng. Trước khi cấp chứng chỉ, tổ chức phát hành Chứng chỉ phải xác minh đầy đủ sự tồn tại hợp pháp về tư cách pháp nhân của một tổ chức hoặc cá nhân bất kỳ tại nước sở tại. Mỗi CA có một tiêu chuẩn và quy trình xác minh riêng, nhưng tất cả phải đảm bảo một cách chặt chẽ, chính xác.
Những chứng chỉ số EV được Symantec phát hành sẽ không còn được công nhận bởi trình duyệt Chrome ít nhất là một năm cho đến khi Symantec khắc phục các quy trình phát hành chứng chỉ của mình về đúng với quy chuẩn chất lượng.
Động thái này có hiệu lực ngay lập tức sau khi Ryan Sleevi, một kỹ sư phần mềm của nhóm Google Chrome đã đưa ra thông báo này vào thứ Năm trong diễn đàn trực tuyến của Google.
Sleevi cho rằng: "Việc Symantec cấp những chứng chỉ không đạt quy chuẩn chất lượng cũng kéo theo một số rắc rối nhất định, khiến chúng tôi đánh mất hoàn toàn lòng tin đối với các chính sách cũng như tính thực tiễn của những chứng chỉ được cấp bởi Symantec trong vài năm trở lại đây".
Một trong những phần quan trọng của hệ thống SSL là lòng tin, nhưng nếu các nhà cung cấp dịch vụ xác thực chứng chỉ không kiểm chứng được sự tồn tại và nhận dạng hợp pháp trước khi cấp chứng chỉ EV cho các tên miền thì sự tin cậy của các chứng chỉ đó sẽ bị giảm đi đáng kể.
Nhóm Google Chrome đã bắt đầu tiến hành điều tra vào ngày 19 tháng 1 và nhận thấy rằng tiêu chuẩn và quy trình xác minh để cấp chứng chỉ của Symantec trong những năm gần đây là không trung thực, điều này có thể đe doạ đến tính toàn vẹn của hệ thống TLS được sử dụng để xác thực và bảo mật dữ liệu và kết nối thông qua mạng Internet.
Theo động thái này, nhóm Google Chrome đã đề xuất ra những quyết định dưới đây như là một hình phạt nhắm thẳng vào Symantec:
1. Chứng chỉ EV được cấp phát bởi Symantec tính đến ngày hôm nay sẽ bị hạ cấp xuống thành các chứng chỉ xác thực tên miền kém an toàn, có nghĩa là trình duyệt Chrome sẽ ngay lập tức dừng hiển thị tên miền đã xác thực trên thanh địa chỉ trong vòng ít nhất một năm.
2. Để hạn chế nguy cơ xuất hiện những chứng chỉ kém tin cậy khác, tất cả chứng nhận mới được cấp phát phải có thời hạn hiệu lực không được vượt quá 9 tháng (có hiệu lực từ bản phát hành Chrome 61) nếu muốn được tin cậy trong Google Chrome.
3. Giảm dần thời gian hiệu lực của những chứng chỉ được cấp bởi Symantec đối với những phiên bản Chrome gần đây, cụ thể:
- Chrome 59 (Dev, Beta, Stable): có hiệu lực trong 33 tháng (1023 ngày)
- Chrome 60 (Dev, Beta, Stable): có hiệu lực trong 27 tháng (837 ngày)
- Chrome 61 (Dev, Beta, Stable): có hiệu lực trong 21 tháng (651 ngày)
- Chrome 62 (Dev, Beta, Stable): có hiệu lực trong 15 tháng (465 ngày)
- Chrome 63 (Dev, Beta): có hiệu lực trong 9 tháng (279 ngày)
- Chrome 63 (Stable): có hiệu lực trong 15 tháng (465 ngày)
- Chrome 64 (Dev, Beta, Stable): có hiệu lực trong 9 tháng (279 ngày)
Điều này có nghĩa là bắt đầu với Chrome 64, dự kiến ra mắt vào đầu năm 2018, trình duyệt Chrome sẽ chỉ tin cậy các chứng chỉ của Symantec được cấp trong vòng chín tháng (279 ngày) trở xuống.
Google tin rằng động thái này sẽ đảm bảo rằng các nhà phát triển web nhận thức được sự không trung thực và dưới quy chuẩn chất lượng đối với những chứng chỉ do Symantec phát hành, để tránh xảy ra những tình huống đáng tiếc trong tương lai.
Cuộc chiến giữa Symantec càng trở nên căng thẳng hơn khi mà công ty này cho rằng cáo buộc trên của Google là phóng đại và gây ra sự hiểu nhầm.
Symantec đã phản hồi lại động thái trên của Google rằng: "Chúng tôi kịch liệt phản đối hành động mà Google đã nhắm tới chứng chỉ SSL/TLS của Symantec trong trình duyệt Chrome. Hành động này của Google thực sự quá bất ngờ với chúng tôi, và chúng tôi tin rằng bài đăng trên blog là một sự vô trách nhiệm của Google".
"Google đã cho rằng chỉ có những chứng chỉ được cấp phát bởi Symantec mới không đủ tiêu chuẩn chất lượng, trong khi phát hiện của Google lại liên quan đến rất nhiều CA khác".