• Thứ Năm, 04/12/2008 07:06 (GMT+7)

    Để các chứng thực EV SSL phát huy tác dụng

    TGVT số tháng 12/2007 (tr.141) có bài viết giới thiệu EV SSL – một loại chứng thực số mới rất hữu ích cho thương mại điện tử. Hiện tại Việt Nam đã có khá nhiều website đang ứng dụng chứng thực số kiểu này. Tuy nhiên, cùng dùng IE7, truy cập các website này ở một số máy thì thấy thanh địa chỉ màu xanh trong khi ở các máy khác lại không. Sau khi bỏ công tìm hiểu, tôi đã phát hiện một vài điều thú vị về cách làm cho các chứng thực EV phát huy tác dụng.

    Kích hoạt tính năng kiểm tra việc thu hồi chứng thực trực tuyến (OCSP) trong IE7

    Trước hết, cần nhấn mạnh rằng không chỉ kiểm tra kỹ các yêu cầu cấp chứng thực số, hạ tầng của các chứng thực kiểu mới (EV) còn bao hàm cơ chế đảm bảo chất lượng và uy tín cho những chứng thực được cấp bằng hai phương thức kiểm tra thời gian thực. Phương thức thứ nhất là Online Certificate Status Protocol (OCSP) cho phép kiểm tra thời gian thực để đảm bảo những chứng thực đã bị thu hồi sẽ không hiển thị như chứng thực tốt trên các trình duyệt tương thích. Phương thức thứ hai là dịch vụ Microsoft Root Store. Vì chứng thực EV chỉ khác chứng thực số thông thường ở một dấu hiệu đơn giản nên cần có cơ chế để ngăn chặn những CA chưa được kiểm tra đầy đủ phát hành chứng thực EV. IE7 sẽ kiểm tra tại Microsoft Root Store để chắc chắn là CA phát hành chứng thực EV đúng đắn. Hơn thế nữa, nếu một CA đã được quyền phát hành chứng thực EV nhưng không vượt qua được kỳ kiểm tra hàng năm hay liên tiếp phát hành chứng thực EV cho khách hàng không đúng, Microsoft cũng có thể loại bỏ chứng thực gốc của CA đó khỏi Microsoft Root Store. Cách làm này đảm bảo loại bỏ thanh địa chỉ màu xanh và các phần tử giao diện bảo mật khác khi trình duyệt nhận được chứng thực EV từ những CA không đảm bảo.

    Vì thế, để trình duyệt có thể kiểm tra các chứng thực EV (và hiển thị thanh địa chỉ màu xanh khi người dùng truy cập các web site có chứng thực EV), người dùng cần kích hoạt khả năng OCSP của IE7. Có hai cách kích hoạt khả năng OCSP: trực tiếp hoặc gián tiếp thông qua tính năng Phishing Filter (và chỉ cần thực hiện một trong hai cách là đủ). Khi cài đặt IE7 trên Windows XP, người dùng đã được giới thiệu và khuyến nghị nên bật tính năng này. Windows Vista còn quyết liệt hơn, nó tự động bật cả hai tính năng OCSP và Phishing Filter.

    Kích hoạt tính năng kiểm tra việc thu hồi chứng thực trực tuyến (OCSP) trong IE7

    Kích hoạt tính năng kiểm tra việc thu hồi chứng thực trực tuyến bằng cách bật tính năng Phishing Filter trong IE7.

    Kích hoạt tính năng kiểm tra việc thu hồi chứng thực trực tuyến bằng cách bật tính năng Phishing Filter trong IE7.

    Nhưng thiết lập cấu hình IE7 như thế đã đủ đảm bảo để trình duyệt hiển thị thanh địa chỉ màu xanh khi người dùng truy cập các web site có chứng thực EV? Để trả lời câu hỏi đó chúng ta phải tìm hiểu tiếp về Microsoft Root Store và những vấn đề kỹ thuật liên quan đến chứng thực EV. Trong bài viết trên TGVT tháng 12/2007, chúng ta đã biết rằng chứng thực EV khác với chứng thực thông thường ở một OID (object identifier) mới. OID đó được định nghĩa trong chứng thực gốc mà CA dùng để ký tất cả các chứng thực EV mà họ phát hành. Tuy nhiên, để các trình duyệt cũ vẫn hiểu được loại chứng thực mới, CA sẽ dùng cả chứng thực gốc (kiểu cũ) để ký trên các chứng thực EV. Khi chứng thực SSL của một máy chủ được chuyển tới trình duyệt trên máy khách có chứa OID EV trùng với chứng thực gốc của CA lưu trong máy, trình duyệt sẽ nhận ra nó là một chứng thực EV. Vì việc so sánh OID được thực hiện ngay tại máy khách nên vấn đề căn bản là làm thế nào để chứng thực gốc kiểu mới được cập nhật vào kho chứng thực trên máy khách. Từ Windows XP, các chứng thực gốc mới được phân phối thông qua tính năng Automatic Root Certificate Update (ARCU) của Windows Update. Khi trình duyệt lần đầu tới một địa chỉ chứa chứng thực ký bởi một chứng thực gốc chưa có trên máy, hệ thống sẽ tải xuống chứng thực gốc mới (nếu có) từ Windows Update. Tuy nhiên, vì Windows được thiết kế theo hướng luôn kiểm tra những chứng thực gốc lưu tại chỗ trước, và ở trên chúng ta đã biết rằng chứng thực EV luôn được ký bằng cả chứng thực gốc kiểu cũ để đảm bảo tính tương thích, nên tính năng ARCU sẽ không được kích hoạt. Như vậy, IE7 trên Windows XP cũng không thể nhận ra chứng thực EV nếu chứng thực gốc dùng để ký các chứng thực EV của CA tương ứng chưa được cập nhật vào kho chứng thực trên máy khách (Windows Vista đã được thiết kế để kết hợp với IE7 tự động cập nhật Root Store).
    Tôi phải trình bày những chi tiết dài dòng trên để các bạn hiểu không phải cứ bật tính năng Phishing Filter thì IE7 sẽ hiện thanh địa chỉ màu xanh khi chúng ta vào các website có chứng thực EV. Việc triển khai chứng thực EV không chỉ đơn giản là cài đặt nó vào máy chủ. Để hiển thị được giao diện mới của chứng thực EV trên IE7 của các máy sử dụng Windows XP, tăng cường lòng tin cho khách hàng, người quản trị cần thực hiện một trong hai phương pháp sau:

    IE7 đề nghị người dùng bật tính năng Phishing Filter sau khi cài đặt

    Cách 1: Hướng dẫn khách hàng tự cập nhật bằng cách chạy gói Microsoft Root Update tại địa chỉ http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. Cách này rất đơn giản nhưng lại rất bất tiện cho khách hàng.

    Cách 2: Tự động kích hoạt việc cập nhật

    Để kích hoạt cơ chế ARCU, cần chuyển cho trình duyệt một chứng thực EV không ký bằng chứng thực gốc kiểu cũ. Nhưng vì các trình duyệt cũ sẽ không nhận được chứng thực đó nên nhiều CA áp dụng cách làm sau: họ tạo ra một chứng thực EV SSL không ký bằng chứng thực gốc kiểu cũ cho chính mình và gắn nó với một phần tử web (một hình ảnh trong suốt cỡ 1x1 pixel) tại một địa chỉ công khai (chẳng hạn như https://ev.cadomain.com/ev.gif, địa chỉ này của Verisign là https://extended-validation-ssl.verisign.com). Khi một doanh nghiệp muốn sử dụng chứng thực EV, họ chỉ cần dùng một HTML script nhỏ trên một trang web để tải xuống hình ảnh 1x1 pixel của CA - điều người dùng cuối không nhận ra - để kích hoạt việc cập nhật chứng thực gốc mới vào Root Store. Lần tiếp theo người dùng truy cập website của doanh nghiệp đó, người dùng sẽ thấy thanh địa chỉ màu xanh. Vì muốn người dùng nhận ra chứng thực EV ngay lần đầu truy cập trang web bảo mật của mình, chúng ta cần kích hoạt việc cập nhật chứng thực gốc EV từ trước. Chẳng hạn như chứng thực EV của doanh nghiệp nằm tại địa chỉ secure.[tên website].com, chúng ta nên kích hoạt việc cập nhật ngay từ trang chủ (www.[tên website].com). Để đơn giản hoá công việc cho người quản trị website, các CA thường tạo ra gói phần mềm tên là EV Upgrader. Khi chạy gói này, việc chèn script kích hoạt cập nhật chứng thực gốc EV vào trang web của bạn sẽ được tự động thực hiện.


    Minh họa quá trình kích hoạt việc cập nhật Root Store
    1. Người dùng truy cập https://www.myEVsite.com
    2. Website chứa script để hướng trình duyệt tới https://ev.cadomain.com
    3. ev.cadomain.com trả về một chứng thực EV không ký bằng chứng thực gốc kiểu cũ
    4. Windows XP không thể kiểm tra được chứng thực EV mới này nên sẽ tải xuống và cài đặt chứng thực gốc EV từ Windows Update (chỉ riêng chứng thực gốc EV của CA này).

    Script mẫu tải xuống hình ảnh 1x1 pixel để kích hoạt việc cập nhật Root Store


    Bùi Huy Đạo
    Email: daobh2004@yahoo.com
    -------------------------------------------------------
    Tài liệu tham khảo:
    - Maximizing Site Visitor Trust Using Extended Validation SSL (Verisign)
    - EV Upgrader: Enabling Windows XP Clients for Extended Validation (Verisign)
    - Internet Explorer Security: Implementing Extended Validation Certificates for Internet Explorer 7 (Microsoft)
    - Entrust EV SSL Certificates FAQ

    ID: A0811_135