Vào ngày 09 tháng 07 năm 2015, OpenSSL đã công bố lỗ hổng bảo mật mới nhất liên quan đến thư viện OpenSSL. Lỗ hổng bảo mật này (OpenSSL Alternative Chains Certificate Forgery Vulnerability) được thông báo cho OpenSSL bởi Adam Langley/David Benjamin (Google/BoringSSL) vào ngày 24/06/2015. Bản nâng cấp đã được phát hành ngay sau đó.
Lỗ hổng này cho phép kẻ tấn công có thể giúp các chứng thư số trung gian không đáng tin cậy vượt qua các quá trình kiểm tra an ninh, từ đó tận dụng các chứng thư thư trung gian này để cấp phát các chứng thư số giả mạo.
Các phiên bản OpenSSL bị ảnh hưởng bao gồm:
- 1.0.2c
- 1.0.2b
- 1.0.1n
- 1.0.1o
Người dùng các phiên bản OpenSSL 1.0.1n và 1.0.1o nên nâng cấp ngay lên phiên bản 1.0.1p.
Người dùng các phiên bản OpenSSLl 1.0.2b và 1.0.2c nên nâng cấp ngay lên phiên bản 1.0.2d.
Địa chỉ tải OpenSSL: https://www.openssl.org/source/
Để tạo CSR trên Microsoft IIS 7/7.5 (Windows Server 2008), bạn thực hiện như sau:
1. Login vào server với quyền Administrator.
2. Chọn mục Control Panel > Administrative Tools > Internet Information Services (IIS) Manager
3. Trong khung bên trái, nhấp chọn tên máy chủ.
4. Trong khung giữa, nhấp đúp vào mục "Server Certificates" trong phần "Security".
5. Trong khung bên phải, nhấp vào mục "Create Certificate Request" trong phần "Actions" để mở màn hình "Request Certificate wizard".
6. Trong màn hình "Distinguished Name Properties", nhập vào các thông tin sau đây:
Common Name: Nhập vào tên miền chính của chứng chỉ số. Lưu ý chỉ nhập tên miền (ví dụ mail.company.com), không nhập https://
Organization: Nhập chính xác tên công ty trong giấy ĐKKD (có thể chọn tên tiếng Việt hoặc tên tiếng Anh). Lưu ý: không sai bất cứ ký tự nào so với ĐKKD
Organizational Unit: Nhập vào phòng ban quản lý chứng chỉ (ví dụ: IT Department)
City/Locality: Nhập vào thành phố nơi công ty đăng ký kinh doanh (ví dụ: Ho Chi Minh)
State/province: Nhập vào tỉnh thành nơi công ty đăng ký kinh doanh (ví dụ: Ho Chi Minh)
Country/region: Chọn quốc gia nơi công ty đăng ký kinh doanh (ví dụ: Viet Nam (VN))
7. Nhấn Next.
8. Trong màn hình "Cryptographic Service Provider Properties", chọn các thông tin sau rồi nhấn Next:
Cryptographic service provider - chọn Microsoft RSA SChannel... từ danh sách
Bit length - chọn 2048 (khuyến khích) hoặc cao hơn.
9. Chọn đường dẫn và tên file để lưu trữ CSR.
10. Kiểm tra lại CSR xem đã hợp lệ hay chưa bằng công cụ sau: https://ssltools.websecurity.symantec.com/checker/views/csrCheck.jsp
11. Bạn có thể gửi tập tin CSR này cho chúng tôi để đăng ký, hoặc dán vào mục CSR trong mẫu đăng ký trực tuyến.
Trong suốt quá trình triển khai chứng chỉ số, chúng tôi sẽ làm việc, trao đổi với khách hàng thông qua email, Live Chat, điện thoại. Tất cả mọi tác vụ sẽ được chúng tôi cung cấp hướng dẫn cụ thể từng bước thao tác. Trong trường hợp khách hàng không thể thực hiện, quý khách có thể yêu cầu chúng tôi hỗ trợ thông qua các chương trình Remote Desktop, Team Viewer,...
Đối với các chứng chỉ số VeriSign, GeoTrust, Thawte, RapidSSL, trong vòng 30 ngày kể từ ngày được cấp chứng chỉ số, nếu mất bản backup và có nhu cầu cấp lại chứng chỉ số khác, quý khách sẽ không phải tốn bất cứ chi phí nào. Quá thời hạn này, quý khách sẽ phải chịu chi phí $200 cho mỗi lần cấp lại.
Thời gian cấp lại chứng chỉ số từ 1-2 ngày làm việc tùy loại chứng chỉ số. Trong những trường hợp khẩn cấp, chúng tôi có thể đề nghị hãng mẹ cấp lại trong vòng 4 giờ làm việc.
Đối với các chứng chỉ số VeriSign, GeoTrust, Thawte, RapidSSL, trong vòng 30 ngày kể từ ngày được cấp chứng chỉ số, quý khách có thể thay đổi common name của chứng chỉ số hoàn toàn miễn phí. Quá thời hạn này, quý khách sẽ phải thanh toán $200 cho mỗi lần thay đổi
