Mới đây, Google đã thông báo rằng trình duyệt Chrome của họ sẽ không còn tin cậy chứng thư TLS từ Entrust kể từ ngày 1 tháng 11 năm 2024. Khi người dùng truy cập các trang web sử dụng chứng thư của Entrust, họ sẽ nhận được cảnh báo bảo mật cho biết trang web đó không an toàn.
Quyết định của Google chỉ ảnh hưởng đến người dùng Chrome nhưng có thể có lợi cho tất cả mọi người
Google lập luận rằng quyết định của mình là do phát hiện ra "một số hành vi không tuân thủ” đáng lo ngại đến từ Entrust. Entrust là một trong những nhà cung cấp chứng thư số lớn nhất, cùng tập khách hàng trải dài trên toàn thế giới.
Theo công ty bảo mật AppViewX, quyết định của Google sẽ tác động đến một lượng lớn các trang web. Công ty này tin rằng 21% các công ty nằm trong danh sách Fortune 1000 (1000 công ty lớn nhất của Mỹ được xếp hạng theo doanh thu, do tạp chí kinh doanh Fortune của Mỹ tổng hợp) đang sử dụng chứng thư được cung cấp bởi Entrust. Nhiều công ty trong số này, như ngân hàng và cổng thông tin thương mại điện tử, phục vụ cho cá nhân.
Sau thời hạn, các trang web vẫn đang sử dụng chứng thư của Entrust “sẽ bị đánh dấu là không đáng tin cậy trên trình duyệt Google Chrome”, Murali Palanisamy, giám đốc giải pháp tại AppViewX giải thích.
Palanisamy cho biết: "Trải nghiệm web kém này sẽ không cho phép cá nhân tương tác, giao tiếp hoặc tiến hành kinh doanh với công ty". Điều này sẽ ảnh hưởng tiêu cực đến danh tiếng của công ty và dẫn đến khả năng đánh mất khách hàng và sụt giảm doanh thu.
Ảnh hưởng đến người dùng
Morey Haber, cố vấn an ninh cấp cao của BeyondTrust, tin rằng quyết định của Google đối với Entrust “đánh dấu sự thay đổi đáng kể về niềm tin trong bảo mật Internet”.
Ông cho biết điều này sẽ tác động đến nhiều cá nhân, giao thức tự động trao đổi của mạng lưới máy và trải nghiệm web của họ. Khi người dùng truy cập các trang web sử dụng chứng thư Entrust, họ sẽ nhận được cảnh báo bảo mật cho biết trang web không an toàn.
“Những cảnh báo này không chỉ mang đến sự phiền toái; chúng còn đóng vai trò là chỉ báo quan trọng cho thấy kết nối hoặc trang web có thể bị xâm phạm”, Morey giải thích. Ông cho biết những cảnh báo này khiến người dùng phải thận trọng hoặc tránh xa khi truy cập. Ông tin rằng trong nhiều doanh nghiệp, người dùng có thể bị chặn hoàn toàn khỏi việc truy cập dựa trên chính sách internet của họ.
Haber cho biết: “Điều này có thể dẫn đến sự hiểu nhầm, thất vọng, mất niềm tin… đặc biệt là đối với những người dùng thông thường”.
Alexey Lukatsky, giám đốc điều hành của Positive Technologies, cho rằng mặc dù điều này gây ra không ít khó chịu nhưng tác động của nó cũng hạn chế. “Trước hết, nó sẽ chỉ ảnh hưởng đến người dùng Google Chrome,” Lukatsky giải thích. “Người dùng Firefox, Safari, Edge… sẽ không nhận thấy bất cứ điều gì khác thường, trừ khi nhà sản xuất chúng đưa ra quyết định tương tự.”
Ông cho biết ngay cả người dùng Chrome cũng có thể bỏ qua những cảnh báo này và tiếp tục vào trang web. Tuy nhiên, đây không phải là điều ông khuyến nghị.
Lukatsky cho biết: “Có thể cho rằng người dùng sẽ không truy cập các trang web này thường xuyên trừ khi chủ sở hữu chuyển chứng thư Entrust của họ sang một nhà cung cấp dịch vụ khác, đây sẽ là lựa chọn được chủ sở hữu trang web ưa thích”.
Thực ra đó là một điều tốt
Haber lập luận rằng mặc dù việc hủy bỏ tin cậy với chứng thư của Entrust có vẻ tiêu cực, nhưng ngược lại nó mang đến nhiều kết quả tích cực.
Haber lý giải rằng: “Động thái này nhấn mạnh những rủi ro và hậu quả khi không duy trì các tiêu chuẩn cao nhất trong việc cấp và quản lý chứng thư cũng như đảm bảo tính toàn vẹn và bảo mật của các thông tin liên lạc trực tuyến giữa các trang web công cộng”.
Ông tin rằng quyết định của Google là một bước đi tích cực hướng tới việc củng cố tính bảo mật của Internet. “Nó nhấn mạnh vai trò quan trọng của việc quản lý chặt chẽ chứng thư trong việc bảo vệ dữ liệu người dùng và duy trì tính toàn vẹn của các tương tác trực tuyến.”
Trong thời gian ngắn, người dùng Chrome sẽ gặp khó khăn khi truy cập một số trang web. Tuy nhiên, về lâu dài, điều này sẽ tăng cường bảo mật và sự tin tưởng vào hệ thống web. "Về mặt kỹ thuật, Google đang tăng cường bảo mật tổng thể của Internet."
Trong một blog, Todd Wilkinson, chủ tịch kiêm giám đốc điều hành của Entrust, cho biết công ty rất thất vọng trước quyết định của Google. Mặc dù cho rằng Google đã đưa ra thông tin sai, ông cũng đã nêu ra những thay đổi mà Entrust sẽ thực hiện trong tương lai. "Chúng tôi hiểu điều gì đã đến sự việc lần này. Chúng tôi cam kết cải thiện", Wilkinson nói.
Điều này có vẻ giống như một lời thừa nhận tội lỗi, nhưng Morey tin rằng câu chuyện Google-Entrust chỉ mới bắt đầu.
“Tuy nhiên, chúng ta phải xem liệu bước đi này có hợp pháp hay không”, Morey nói. Ông lập luận rằng quyết định của Google có khả năng gây ra thiệt hại đáng kể về mặt tài chính và uy tín cho Entrust. Điều này khiến ông suy đoán rằng các vụ kiện tụng giữa hai bên sẽ sớm trở thành tiêu đề lớn trên các trang tin công nghệ./.
(NEAC biên dịch)