Microsoft vừa chính thức đưa ra thông báo về việc một loạt phiên bản .NET Framework sử dụng thuật toán băm bảo mật 1 (Secure Hash Algorithm 1 - SHA-1) kế thừa và không an toàn sẽ bước vào giai đoạn kết thúc hỗ trợ (khai tử) vào năm 2022.
.NET Framework là khung phát triển phần mềm miễn phí lâu đời và tương đối nổi tiếng. Nó giúp các nhà phát triển xây dựng ứng dụng, trang web, dịch vụ .NET, và người dùng có thể chạy chúng trên nhiều nền tảng hệ điều hành (bao gồm cả Windows), bằng cách sử dụng các cách triển khai khác nhau của .NET. Nếu có thời gian dài sử dụng Windows, bạn chắc chắn đã từng nhìn thấy hoặc nghe nói về .NET của Microsoft. Có thể vì một ứng dụng yêu cầu bạn cài đặt nó, hoặc bạn thấy nó trong danh sách các chương trình đã cài đặt của mình.
“.NET Framework 4.5.2, 4.6 và 4.6.1 sẽ chính thức hết thúc hỗ trợ vào ngày 26 tháng 4 năm 2022”, Jamshed Damkewala, Giám đốc kỹ thuật chính của .NET, tuyên bố. “Sau mốc thời gian đó, chúng tôi sẽ không còn cung cấp bất kỳ bản cập nhật mới nào, trong đó bao gồm cả các bản sửa lỗi bảo mật hoặc hỗ trợ kỹ thuật cho những phiên bản .NET Framework này nữa”.
Tuy nhiên, sẽ có một ngoại lệ duy nhất, đó là phiên bản .NET Framework 4.6 đi kèm với Windows 10 Enterprise LTSC 2015 sẽ tiếp tục được hỗ trợ kéo dài đến tháng 10 năm 2025, khi nền tảng hệ điều hành này bị khai tử (theo kế hoạch).
Các nhà phát triển .NET được khuyến nghị nên lập tức bắt tay vào việc di chuyển các ứng dụng của họ sang ít nhất là phiên bản .NET Framework 4.6.2 trở lên trước ngày 26 tháng 4 năm 2022 để tiếp tục nhận được các bản cập nhật bảo mật và hỗ trợ kỹ thuật cần thiết.
.NET Framework 4.6.2 (ra mắt gần 5 năm trước) và .NET Framework 4.8 (được phát hành cách đây 2 năm) đều là những runtime ổn định và có khả năng tương thích thay thế “tại chỗ”, vốn đã "được triển khai rộng rãi cho hàng trăm triệu máy tính thông qua Windows Update (WU)".
“Nếu ứng dụng của bạn được xây dựng để nhắm tới .NET Framework 4 - 4.6.1, chúng sẽ vẫn tiếp tục chạy trên .NET Framework 4.6.2 trở lên mà không có bất kỳ thay đổi nào trong hầu hết các trường hợp. Vì lẽ đó, chúng tôi thực sự khuyên bạn nên thực hiện các quy trình kiểm tra cần thiết để đảm bảo rằng chức năng của ứng dụng không bị ảnh hưởng khi chạy trên phiên bản runtime mới hơn, trước khi bạn triển khai runtime mới trong môi trường phát triển của mình”.
Xu hướng chuyển dịch sang SHA-2
Như đã nói, một trong những nguyên nhân chủ yếu khiến Microsoft quyết định khai tử các phiên bản .NET Framework này bởi chúng được ký điện tử bằng các chứng chỉ sử dụng thuật toán băm mật mã SHA-1 kế thừa, hiện đã không còn an toàn.
Đã có không ít báo cáo quan trọng được đưa ra liên quan đến mối liên hệ giữa các lỗ hổng của SHA-1 và các cuộc tấn công có thể cho phép hacker giả mạo chứng chỉ kỹ thuật số nhằm mạo danh các tổ chức, doanh nghiệp hoặc trang web.
Bắt đầu từ tháng sau, cụ thể là từ ngày 9 tháng 5, tất cả các dịch vụ và quy trình chính của Microsoft (bao gồm ký mã, băm tệp và chứng chỉ TLS) sẽ sử dụng riêng thuật toán SHA-2.
Microsoft cũng đã gỡ bỏ tất cả nội dung SHA-1 Windows khỏi Microsoft Download Center vào tháng 8 năm 2020, sau khi thay đổi cách thức ký các bản cập nhật Windows sử dụng thuật toán SHA-2 một năm trước đó.
Tuy nhiên, cũng cần lưu ý rằng mặc dù Microsoft chỉ hỗ trợ các nội dung chính thức được ký SHA-2, tệp thực thi Windows được ký bằng chứng chỉ doanh nghiệp hoặc SHA-1 cài đặt thủ công vẫn có thể chạy trong hệ điều hành.