Certificate authority là gì? Vai trò và tầm quan trọng của Certificate Authority

1301
13-07-2021
Certificate authority là gì? Vai trò và tầm quan trọng của Certificate Authority

Trong một bài viết gần đây của Bizfly Cloudvề giao thức HTTPS, chúng tôi có nhắc đến khái niệm certificate authority – những nhà cung cấp chứng chỉ bảo mật SSL bên thứ ba để xác thực danh tính của các website. Trong bài viết hôm nay, chúng ta sẽ cùng đi sâu tìm hiểu kỹ hơn về certificate authority và những vấn đề liên quan.

Certificate Authority là gì?

Trong lĩnh vực mã hóa, Certificate Authority (viết tắt là CA) là những tổ chức phát hành các chứng chỉ số có chức năng xác thực các website và các thực thể khác (vd: địa chỉ email, doanh nghiệp, cá nhân,…) và gán chúng cho các khóa mã hóa thông qua việc cấp các chứng chỉ điện tử. Một chứng chỉ điện tử sẽ cung cấp các khả năng:

  • Xác thực (Authentication): xác nhận danh tính một thực thể đã được đăng ký.
  • Mã hóa (Encryption): cung cấp khả năng bảo mật trên môi trường thiếu an toàn như mạng Internet.
  • Đảm bảo toàn vẹn (Integrity): kiểm tra những tài liệu/thông tin được đăng ký với chứng chỉ và xác nhận chúng không bị thay đổi/giả mạo.

Certificate authority đặc biệt phổ biến với giao thức bảo mật SSL của các website sử dụng HTTPS. Certificate Authority giúp xác nhận tên miền của website và có thể cả quyền sở hữu website, sau đó cấp các chứng chỉ SSL được tin tưởng bởi các trình duyệt web như Chrome, Firefox hay Edge. Một cách sử dụng phổ biến khác là việc chính phủ các quốc gia phát hành thẻ định danh cá nhân để sử dụng trong các văn bản ký điện tử.

Cấu trúc của các chứng chỉ CAs được quy định trong các tiêu chuẩn X.509 và EMV.

Certificate authority là gì?

Certificate authority có chức năng xác thực các website

Vai trò của Certificate Authority với SSL?

Để hiểu kỹ vai trò của Certificate Authority trong giao thức bảo mật SSL của HTTPS, trước tiên các bạn cần hiểu cách hoạt động của giao thức SSL (các bạn có thể tìm đọc lại bài viết về HTTPSTLS của chúng tôi). Một cách đơn giản, giao thức SSL cung cấp khả năng thiết lập kết nối mã hóa giữa trình duyệt web và web server thông qua kỹ thuật mã hóa bất đối xứng, sử dụng cặp khóa private key và public key. Quá trình đó diễn ra như sau:

  • Server lưu private key bí mật và an toàn, gửi public key, chứng chỉ SSL và các thông tin cần thiết khác cho trình duyệt khách (client) muốn truy cập website.
  • Client nhận thông tin xác thực chứng chỉ SSL với Certificate Authority. Nếu thất bại thì từ chối giao tiếp, nếu thành công thì sinh một khóa bí mật (secret key) rồi mã hóa bằng public key trước khi gửi cho server.
  • Server dùng private key giải mã phản hồi từ client, thu được secret key (phải có private key mới giải mã được thông điệp mã hóa bằng public key)

Bước thiết lập này tạo ra một khóa bí mật (secret key) của thuật toán mã hóa đối xứng được dùng trong quá trình trao đổi dữ liệu còn lại của phiên duyệt web.

Có thể thấy trong pha thứ hai của quá trình thiết lập kết nối, client đã giao tiếp với Certificate Authority để chứng thực chứng chỉ SSL của server. Điều này giúp đảm bảo server là chủ sở hữu thực sự của website, tránh việc người dùng truy cập vào các trang đã bị giả mạo của tin tặc.

Để đảm bảo tính chính danh và hợp pháp khi cấp chứng chỉ SSL, Certificate Authority xác minh danh tính chủ sở hữu tên miền đối với cá nhân. Đối với xác thực tổ chức (OV) và xác thức mở rộng (EV) thì Certificate Authority sẽ xác minh các tài liệu đăng ký kinh doanh từ nhiều nguồn bao gồm chính phủ. Quá trình kiểm tra có thể kéo dài từ 3 đến 5 ngày làm việc và diễn ra khá nghiêm ngặt.

Vai trò quan trọng của certificate authority đối với SSL

Vai trò quan trọng của certificate authority trong giao thức bảo mật SSL của HTTPS

Những lưu ý khi lựa chọn Certificate Authority

Các biện pháp bảo mật

Certificate Authority bảo đảm bảo mật cho rất nhiều website, do đó nếu tin tặc có thể chiếm quyền kiểm soát và thực hiện thay đổi cơ sở dữ liệu của CA thì đó sẽ thật sự là thảm họa. Dù về lý thuyết, tất cả các Certificate Authority đều phải trải qua các cuộc kiểm tra nghiêm ngặt và do đó trên danh nghĩa là an toàn như nhau. Nhưng thực tế luôn có những chênh lệch về khả năng của các CA, do đó cách tiếp cận tốt nhất là tìm hiểu kỹ các vấn đề của CA trong quá khứ trước khi đưa ra lựa chọn.

Độ tin cậy thương hiệu

Chọn những nhà cung cấp có kinh nghiệm luôn là bảo chứng tốt hơn cho chất lượng dịch vụ, khi họ luôn tuân thủ các quy chuẩn và thậm chí tiên phong thúc đẩy sự cải tiến chất lượng. Một điểm sáng khác là dịch vụ khách hàng của các nhà cung cấp lớn luôn tốt hơn với hỗ trợ 24/7, điều rất cần thiết trong những lĩnh vực nhạy cảm như bảo mật.

Giá thành

Quy luật không đổi là giá thành đi đôi với chất lượng dịch vụ, do đó chọn các CA lớn và uy tín sẽ tốn kém hơn một chút để đổi lại dịch vụ tốt. Tuy nhiên nếu yêu cầu không quá khắt khe thì những CA giá rẻ vẫn có khả năng đáp ứng những tiêu chuẩn cơ bản. Cần cân nhắc kỹ nhất sẽ là những CA miễn phí, nên có sự tìm hiểu kỹ về tên tuổi và độ phổ biến trước khi lựa chọn những CA dạng này.

Cách đăng ký chứng chỉ SSL với Certificate Authority

Có rất nhiều certificate authority trên thị trường, cách đăng ký với mỗi dịch vụ cũng không giống nhau. Tuy nhiên quy trình chung nhất để đăng ký như sau.

Tạo một yêu cầu đăng ký chứng chỉ (CSR – Certificate Signing Request)

Bước đầu tiên trong quy trình đăng ký là là tạo CSR. CSR chứa thông tin chi tiết về tổ chức của bạn, được gửi đến certificate authority của bạn để họ chứng nhận công khai. Chứng chỉ bao gồm tên chủ sở hữu, khóa công khai, tên lĩnh vực và một hoặc nhiều tên thay thế.

Đệ trình CSR với Certificate Authority

Khi yêu cầu cấp chứng chỉ đã được tạo, bạn phải gửi yêu cầu đó đến certificate authority để được chứng nhận. Bạn có thể lấy chứng chỉ SSL từ certificate authority thương mại hoặc công cộng hoặc từ máy chủ CA nội bộ nếu tổ chức của bạn sử dụng chứng chỉ này.

Import chứng chỉ vào website của bạn

Khi Certificate Authority có dữ liệu yêu cầu, họ sẽ xem xét và ký tên vào nó. Sau khi Certificate Authority đã ký chứng chỉ, họ sẽ gửi lại cho bạn, thường là các tệp chứng chỉ gốc hoặc trung gian. Bạn phải tải tất cả các tệp chứng chỉ trong chuỗi chứng chỉ của mình xuống một vị trí an toàn trên server.

Import chứng chỉ để vào Website của bạn

Các Certificate Authority uy tín hiện nay

  • SSL.com
  • Comodo
  • Godaddy
  • Namecheap
  • DigiCert
  • RapidSSL

Trên đây là tổng hợp những chia sẻ và kiến thức cơ bản nhất về Certificate Authority của BizFly Cloud. Hi vọng bài viết của chúng tôi đã mang đến những thông tin hữu ích dành cho bạn. Đừng quên đăng ký chứng chỉ SSL để trải nghiệm những lợi ích an toàn bảo mật và nâng cao uy tín cho website của bạn.

SHARE