• Thứ Hai, 07/01/2008 14:53 (GMT+7)

    EV SSL Certificate – Chứng thực số cao cấp hỗ trợ thương mại điện tử

    Giao thức SSL (Secure Sockets Layer) và chứng thực số (digital certificates) được sử dụng để bảo vệ khách hàng và bảo mật các giao dịch trực tuyến. Chứng thực SSL đã trở nên quen thuộc với biểu tượng ổ khoá màu vàng trên thanh trạng thái trình duyệt đã được coi là dấu hiệu thể hiện sự tin cậy của các web site. Tuy nhiên, cùng với thời gian, khi những thủ đoạn lừa đảo ngày càng tinh vi hơn thì chứng thực số trở nên không đủ bảo đảm. Những kẻ lừa đảo có thể dễ dàng qua mặt các tổ chức cấp chứng thực số CA (certification authority) không có quy trình kiểm tra kỹ lưỡng, một số web site giả có thể sử dụng các chứng thực SSL tự sinh để lừa người dùng cuối. Hầu hết mọi người không thể nhận biết khi gặp phải các chứng thực có vấn đề. Đó là lý do tại sao những trò lừa đảo như phishing và pharming ngày càng trở nên phổ biến.

     

    Các trở ngại

        Nguy cơ  
      CA không xác thực cụ thể định danh của tổ chức xin cấp chứng thực hoặc không kiểm tra quyền sử dụng tên miền của tổ chức đó     Tội phạm có thể giả danh một tổ chức có thực, làm cho khách hàng tin rằng website giả là địa chỉ thực của tổ chức có tên trong chứng thực SSL  
      CA không kiểm tra sự tồn tại của tổ chức xin cấp chứng thực     Tội phạm có thể đóng vai tổ chức không có thực (chưa đăng ký với các cơ quan của chính phủ) để lừa đảo  
      CA không kiểm tra định danh và thẩm quyền của người đứng ra xin cấp chứng thực cho một tổ chức     Một nhân viên không có thẩm quyền của tổ chức có thể xin cấp chứng thực số mang tên tổ chức của anh ta để lừa đảo  

    Nhận thức được những rủi ro, CA/Browser Forum - một tổ chức tự nguyện gồm các CA và các nhà cung cấp phần mềm duyệt web hàng đầu, đại diện của các hiệp hội pháp lý và kiểm toán – đã xây dựng quy định về các chứng thực kiểm tra mở rộng (Extended Validation Certificates). Theo đó, EV Certificate là chứng thực số đặc biệt theo chuẩn X.509 chỉ được cấp sau khi CA kiểm tra định danh một cách kỹ lưỡng, theo những quy định khắt khe. Trước hết, chỉ những CA đã vượt qua cuộc kiểm toán độc lập trong chương trình đánh giá WebTrust (hoặc tương đương) mới có quyền cấp chứng thực EV. Ngoài ra, tất cả các CA trên toàn thế giới đều phải tuân thủ các yêu cầu chi tiết giống nhau khi phát hành chứng thực.

    Khi phát hành chứng thực EV, CA phải kiểm tra các yếu tố:

    • Sự tồn tại của tổ chức xin cấp chứng thực về mặt pháp lý

    • Định danh chính xác của tổ chức xin cấp chứng thực và các thông tin liên quan (bao gồm địa chỉ, số điện thoại, ...)

    • Mã số đăng ký tại các tổ chức chính phủ (ví dụ số giấy phép đăng ký kinh doanh)

    • Quyền sử dụng tên miền

    • Thẩm quyền của cá nhân đứng ra xin cấp chứng thực cho tổ chức

    Các trình duyệt hỗ trợ chứng thực EV sẽ hiển thị thông tin chi tiết đối với loại chứng thực đặc biệt này (nhiều hơn so với các chứng thực thông thường). Internet Explorer 7 là trình duyệt đầu tiên hỗ trợ chứng thực EV. Người dùng Firefox cũng có thể cài đặt thư viện do VeriSign cung cấp để hỗ trợ chứng thực EV do CA này phát hành. Firefox 3 và Opera đều đã thông báo họ sẽ hỗ trợ chứng thực EV trong các phiên bản tương lai.

    Quy định về chứng thực kiểm tra mở rộng yêu cầu các CA tham gia gán một mã định danh EV cụ thể, đăng ký với các nhà cung cấp phần mềm duyệt web hỗ trợ chứng thực EV. Trình duyệt sẽ khớp mã định danh EV trong chứng thực với định danh đã đăng ký: nếu mã đó khớp, chứng thực đó sẽ được hiển thị với các thông tin bổ sung trên giao diện người dùng. Mã định danh đó nằm trong trường mở rộng Certificate Policies, mỗi CA dùng một mã định danh đối tượng (OID) trong trường đó (mô tả trong Certification Practice Statement của CA).

    Sự khác biệt rõ nhất đối với người dùng sử dụng trình duyệt hỗ trợ chứng thực EV là thanh địa chỉ chuyển thành màu xanh lục khi vào một website có chứng thực EV.

     

    CA

        OID     Certification Practice Statement  
      Comodo     1.3.6.1.4.1.6449.1.2.1.5.1     Comodo EV CPS, tr. 28  
      Cybertrust     1.3.6.1.4.1.6334.1.100.1     Cybertrust CPS v.5.2, tr. 20  
      DigiCert     2.16.840.1.114412.2.1     DigiCert EV CPS v. 1.0.1, tr. 47  
      Entrust     2.16.840.1.114028.10.1.2     Entrust EV CPS, tr. 37  
      Thawte     2.16.840.1.113733.1.7.48.1     Thawte EV CPS v. 3.3, tr.95  
      VeriSign     2.16.840.1.113733.1.7.23.6     VeriSign EV CPS v. 3.3, tr.87  

    Ngoài ra, một thanh trạng thái an ninh sẽ xuất hiện ở bên phải thanh địa chỉ. Thanh trạng thái an ninh cũng có màu xanh lục, hiển thị tên và địa chỉ của tổ chức chịu trách nhiệm về website và tên của CA cấp chứng thực (hai thông tin này xuất hiện luân phiên). Tên của CA cũng là một thông tin rất quan trọng vì người dùng sẽ tin tưởng hơn nếu website nhận chứng thực từ một CA danh tiếng. Một số khách hàng có thể sẽ bỏ qua và không giao dịch tiếp nếu biết chứng thực do một CA mà họ chưa nghe tên phát hành.

    Với giao diện mới và chứng thực EV, người dùng có thể tin tưởng khi truy cập các website "màu xanh lục" vì họ biết rằng một CA đáng tin cậy đã kiểm tra kỹ các thông tin cần thiết trước khi cấp chứng thực. Tuy nhiên, để loại chứng thực mới này phát huy tác dụng, vẫn cần một thời gian nữa để các nhà cung cấp phần mềm duyệt web hoàn thiện chương trình và người dùng cuối hiểu được tác dụng của nó trong giao dịch trực tuyến.

    Thông tin tham khảo từ Wikipedia, ảnh lấy từ website của Microsoft (sửa thành tiếng Việt).

    Nguyễn Anh Tuấn
    124 Vương Thừa Vũ, Hà Nội

    ID: A0712_141