Hãng Symantec vừa thông báo sẽ nâng cấp Norton Secured Seal áp dụng cho tất cả các dòng chứng chỉ số SSL: Secure Site, Secure Site with EV, Secure Site Pro, Secure Site Pro with EV vào cuối tháng 4/2014.
Theo đó, Symantec sẽ thay đổi dòng "Powered by VeriSign" sang "Powered by Symantec". Quá trình chuyển đổi này diễn ra hoàn toàn tự động. Khách hàng không cần phải thay đổi cấu hình của server cũng như website.
** Lưu ý ** Đây là hướng dẫn áp dụng cho các website lần đầu triển khai SSL. Nếu bạn đang muốn tạo CSR để gia hạn chứng thư số SSL, xin vui lòng nhấp vào đây để xem hướng dẫn.
Để tạo CSR trên Microsoft IIS 5.x hoặc 6.x (Windows Server 2003), bạn thực hiện như sau:
1. Login vào server với quyền Administrator.
2. Từ mục Administrative Tools trong Control Panel, chọn mục Internet Information Services.
3. Nhấp chuột phải vào website cần triển khai SSL và chọn Properties. Sau đó chọn tab Directory Security, và nhấn nút Server Certificate.
4. Nhấn nút Next. Chọn mục 'Create a new certificate' và nhấn Next.
5. Chọn mục 'Prepare the request now, but send it later' và nhấn Next.
6. Nhập vào tên của chứng thư số (nên chọn tên giúp bạn gợi nhớ, ví dụ Symantec SSL 2015). Chọn bit-length 2048. Vui lòng không chọn các check-box.
7. Trong mục 'Organization', nhập vào tên công ty được ghi trong giấy đăng ký kinh doanh mới nhất (nhập chính xác từng ký tự, không ghi tắt). Trong mục 'Organization Unit', nhập vào 'IT Department'.
8. Nhập vào tên miền chính xác của website (ví dụ: www.yourdomain.com). Lưu ý rằng trong lĩnh vực chứng thư số, sub.domain.com và www.domain.com được xem là hai tên miền khác nhau.
9. Nhập vào nơi mà công ty bạn đã đăng ký kinh doanh. Ví dụ: chọn VN cho Country, Ho Chi Minh cho State, Ho Chi Minh cho City nếu công ty của bạn được đăng ký tại TP.HCM.
6. 
10. Chọn tên file và đường dẫn sẽ lưu trữ tập tin CSR. Nhằm tránh trùng lặp với các file CSR cũ có thể đang tồn tại trên máy chủ, bạn nên chọn tên file theo năm, ví dụ certreq2015.txt.
11. Nhấn Next để tạo file CSR.
12. Kiểm tra lại CSR xem đã hợp lệ hay chưa bằng công cụ sau: https://ssltools.websecurity.symantec.com/checker/views/csrCheck.jsp
13. Bạn có thể gửi tập tin CSR này cho chúng tôi để đăng ký, hoặc dán vào mục CSR trong mẫu đăng ký trực tuyến.
** Lưu ý quan trọng ** - Khi bạn đã hoàn tất các bước trên, một "pending request" sẽ được tạo ra trên website. Bạn phải giữ nguyên trạng thái "pending request" này của website (tức là bạn không được xóa website này trên IIS hoặc không được tạo lại CSR khác cho website này, tuy nhiên bạn có thể cập nhật nội dung hoặc mã nguồn của website bình thường). Sau khi nhận được chứng thư số SSL từ hãng, bạn phải cài đặt chứng thư vào đúng website đã được dùng tạo ra CSR đã dùng để đăng ký trước đó.
Để tạo CSR trên Microsoft IIS 8/8.5 (Windows Server 2012), bạn thực hiện như sau:
1. Login vào server với quyền Administrator.
2. Chọn mục Tools > Internet Information Services (IIS) Manager
3. Chọn mục Server Certificates
4. Từ khung bên phải, chọn mục Create Certificate Request
5. Nhập vào đầy đủ các thông tin trong màn hình CSR:
- Common Name: Nhập vào tên miền chính của chứng chỉ số. Lưu ý chỉ nhập tên miền (ví dụ mail.company.com), không nhập https://
- Organization: Nhập chính xác tên công ty trong giấy ĐKKD (có thể chọn tên tiếng Việt hoặc tên tiếng Anh). Lưu ý: không sai bất cứ ký tự nào so với ĐKKD
- Organizational Unit: Nhập vào phòng ban quản lý chứng chỉ (ví dụ: IT Department)
- City/Locality: Nhập vào thành phố nơi công ty đăng ký kinh doanh (ví dụ: Ho Chi Minh)
- State/province: Nhập vào tỉnh thành nơi công ty đăng ký kinh doanh (ví dụ: Ho Chi Minh)
- Country/region: Chọn quốc gia nơi công ty đăng ký kinh doanh (ví dụ: Viet Nam (VN))
6. Chọn Next
7. Chọn 2048 từ danh sách Bit Length
8. Chọn Next
9. Chọn đường dẫn và tên file để lưu CSR. Ví dụ certreq.csr.
10. Chọn Finish
11. Kiểm tra lại CSR xem đã hợp lệ hay chưa bằng công cụ sau: https://ssltools.websecurity.symantec.com/checker/views/csrCheck.jsp
12. Bạn có thể gửi tập tin CSR này cho chúng tôi để đăng ký, hoặc dán vào mục CSR trong mẫu đăng ký trực tuyến.
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện và được định danh là DROWN, có thể ảnh hưởng đến rất nhiều hệ thống website đang chạy HTTPS mà máy chủ được cấu hình cẩu thả.
Lỗ hổng này có thể xuất hiện nếu máy chủ được kích hoạt giao thức SSL 2.0, vốn đã được vô hiệu hóa mặc định trong các hệ điều hành và phần mềm hiện đại. Tuy nhiên, các máy chủ Windows Server 2003, một hệ điều hành vẫn đang còn được sử dụng rất rộng rãi, lại mặc định hỗ trợ SSL 2.0.
Mặc dù các trình duyệt (web, email,...) hiện đại đều đã mặc định không còn hỗ trợ SSL 2.0, và kết nối HTTPS giữa người dùng và máy chủ đều được thực hiện trên giao thức TLS, nhưng các hacker vẫn có thể tận dụng việc cấu hình sai của các nhà quản trị máy chủ (kích hoạt SSL 2.0 hoặc không vô hiệu hóa việc mặc định hỗ trợ SSL 2.0) để thực hiện việc tấn công và đánh cắp dữ liệu.
Để kiểm tra máy chủ của mình có bị ảnh hưởng bởi lỗ hổng bảo mật DROWN hay không, bạn thực hiện như sau:
Dùng tiện ích OpenSSL:
openssl s_client -connect www.yourdomain.com:443 -ssl2
Nếu kết quả trả về "Secure Renegotiation IS NOT supported" thì tức là máy chủ của bạn đã an toàn (SSL 2.0 không được hỗ trợ). Ngược lại nếu kết quả trả về "Secure Renegotiation IS supported" thì bạn phải tiến hành vô hiệu hóa SSL 2.0 ngay lập tức.
Dùng công cụ kiểm tra SSL:
Digicert SSL Checker (Bạn cần phải check vào mục "Check for common vulnerabilities")
Bạn cần kiểm tra phần "Protocol Supported. Nếu xuất hiện SSL 2.0 trong danh sách tức là máy chủ của bạn đã bị ảnh hưởng bởi lỗ hổng bảo mật DROWN và bạn cần phải fix ngay lập tức.
Kể từ sau ngày 1/1/2016, hầu hết các trình duyệt đều sẽ bắt đầu hiển thị cảnh báo an ninh đối với các website dùng chứng chỉ số SSL với giải thuật băm SHA1. Để đảm bảo website của mình vượt qua các tiêu chuẩn bảo mật mới, quý khách cần kiểm tra ngay lập tức chứng chỉ số SSL đang được cài đặt trên máy chủ đã được nâng cấp lên SHA256 hay chưa. Trong trường hợp vẫn đang dùng SHA1, quý khách cần phải đề nghị hãng cấp lại chứng chỉ số mới hỗ trợ SHA256.
Làm thế nào để kiểm tra?
Quý khách có thể kiểm tra bằng công cụ sau: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
Nếu kết quả trả về SHA256, quý khách không cần phải nâng cấp chứng thư số.
Ngược lại nếu là SHA1, quý khách cần phải nâng cấp chứng thư số sớm nhất có thể. Vui lòng liên hệ với chúng tôi để được hỗ trợ.
Quý khách cũng có thể kiểm tra bằng một công cụ mạnh mẽ hơn: Qualys SSL Test
Nếu kết quả trả về như hình bên dưới, quý khách cần nâng cấp lên SHA256.
Điều gì sẽ xảy ra nếu quý khách không nâng cấp lên SHA256?
1. Nếu chứng thư số SSL của quý khách hết hạn trước ngày 31/12/2015, quý khách sẽ không thấy cảnh báo nào từ trình duyệt.
2. Nếu chứng thư số SSL của quý khách hết hạn từ ngày 1/1/2016 đến 31/12/2016, quý khách sẽ thấy cảnh báo "minor errors" như sau:
3. Nếu chứng thư số SSL của quý khách hết hạn sau ngày 31/12/2016, quý khách sẽ thấy cảnh báo "broken https" như sau:
Rất may mắn là các trình duyệt sẽ không hiển thị các cửa sổ cảnh báo "un-trusted" như khi quý khách dùng các chứng thư số SSL "self-signed". Điều đó có nghĩa người dùng sẽ vẫn có thể truy cập website của quý khách bình thường.
