Bằng cách này Chrome sẽ trở thành trình duyệt đầu tiên triển khai hỗ trợ chính sách Certificate Transparency Log Policy. Các nhà phát triển trình duyệt khác cũng sẽ hỗ trợ cơ chế này trong tương lai, mặc dù hiện tại họ chưa cung cấp các thông tin chi tiết cụ thể.
Chính sách mới này được các kỹ sư của Google đề xuất đầu tiên vào năm 2016 và dự kiến sẽ có hiệu lực vào tháng 10/ 2017, nhưng sau đó đã bị trì hoãn đến năm 2018.
Chrome sẽ hiển thị cảnh báo các chứng chỉ SSL chưa đăng ký Certificate Transparency (CT)
Nhà cung cấp chứng thực số (CA) phải ghi nhật ký tất cả chứng chỉ SSL mới được phát hành
Chính sách đăng ký CT buộc các nhà cung cấp chứng thực số (Certificate Authority - CA), các tổ chức phát hành chứng chỉ SSL hỗ trợ kết nối HTTPS, phải xuất bản nhật ký có tất cả các chứng chỉ SSL mà họ đã phát hành mỗi ngày.
Các nhật ký này phải được công khai, vì vậy các nhà phát triển trình duyệt, CA hoặc các nhà nghiên cứu độc lập có thể tự do điều tra các trường hợp chứng chỉ bị loại bỏ bất kỳ lúc nào.
CA lưu trữ nhật ký các chứng chỉ mà họ đã phát hành riêng tư và chứng chỉ này chỉ được cung cấp cho các nhà sản xuất trình duyệt khi họ điều tra các trường hợp chứng chỉ bị sai sót.
Hầu hết các CA đang xuất bản nhật ký CT
Với thị phần hơn 60%, Chrome đã được thiết lập triển khai chính sách mới cho. "Chrome sẽ yêu cầu tất cả các chứng chỉ máy chủ TLS được phát hành sau ngày 30/4/2018 đều tuân thủ chính sách Chromium CT Policy", theo kỹ sư Devon O'Brien của Googke chia sẻ trong cuộc thảo luận trên Google Groups hồi đầu năm nay.
"Sau ngày 30/4/2018, khi Chrome kết nối với trang web phân phối chứng chỉ tin cậy công khai không tuân thủ chính sách Chromium CT Policy, người dùng sẽ bắt đầu nhìn thấy cảnh báo toàn trang cho biết kết nối của họ không tuân thủ CT", O'Brien nhấn mạnh thêm. "Các tài nguyên phụ được phân phối thông qua kết nối HTTPS không tuân thủ CT sẽ không thể tải được và sẽ hiển thị thông báo lỗi trong Chrome DevTools".
Trước hết các thay đổi này được triển khai cho nền tảng Chrome cho máy tính, bao gồm Chrome cho ChromeOS, Linux, macOS và Windows.
Các kỹ sư của Google cũng bổ sung thêm flag Chrome policy cho phép các Admin vô hiệu hóa các hành vi kiểm tra nhật ký CT trong trường hợp Chrome được triển khai bên trong mạng nội bộ.
Xem thêm cách phân biệt HTTP, HTTPS và SSL
Policy CT mới chưa có hiệu lực
Policy CT mới chưa có hiệu lực. Điều này có nghĩa là các chứng chỉ cũ hơn được phát hành trước hôm nay chưa được ghi lại trong nhật ký CT sẽ vẫn tiếp tục hoạt động.
Nhưng nếu một CA phát hành chứng chỉ SSL mới bắt đầu kể từ hôm nay và không ghi lại chứng chỉ trong nhật ký CT công khai, Chrome sẽ hiển thị thông báo lỗi.
Tin vui là nhiều CA đã bắt đầu đăng nhập chứng chỉ trong nhật ký công khai và chia sẻ dữ liệu cho nhau. Merkle Town (do CloudFlare quản lý) và Crt.sh (do Comodo quản lý) là hai trang web tổng hợp nhật ký CT.
Các công cụ này được phát hành vào hồi đầu năm nay khiCA do chính phủ Hàn Quốc kiểm soát đã được cấp chứng chỉ SSL cho toàn bộ miền cấp cao * .go.kr, cho phép nhà điều hành chặn lưu lượng truy cập cho tất cả các trang web bằng TLD.
Phát hiện này được một nhà nghiên cứu bảo mật độc lập tìm ra, và với các bản ghi CT công khai hiện nay trở thành một tiêu chuẩn thực tế, hy vọng các trường hợp tương tự sẽ xuất hiện trong tương lai.
Nếu bạn không thích sử dụng Chrome, bạn có thể lựa chọn sử dụng trình duyệt Mozilla Firefox. Mới đây, Firefox 59.0.3 hiện có sẵn cho Windows 10, bao gồm một số bản sửa lỗi giúp cho trải nghiệm người dùng được tốt hơn rất nhiều.