Microsoft gần đây đã quyết định loại bỏ chứng chỉ bảo mật khỏi hai công ty Trung Quốc theo các tiêu chuẩn bảo mật kém. Do đó, Internet Explorer và Edge không còn chấp nhận chứng chỉ bảo mật từ WoSign và StartCom.

Xin nhắc lại, các trình duyệt sử dụng chứng chỉ bảo mật để xác thực các kết nối an toàn đến các trang web. Quyết định của Microsoft được đưa ra sau khi các báo cáo tiết lộ rằng hai công ty đã sử dụng các biện pháp bảo mật không thể chấp nhận được. Cụ thể hơn, cả hai công ty đều cung cấp chứng chỉ miễn phí và sử dụng các biện pháp không trung thực để tăng cơ sở người dùng của họ.

Đây là tuyên bố chính thức của Microsoft về vấn đề này:

Microsoft đã kết luận rằng Cơ quan Chứng nhận Trung Quốc (CA) WoSign và StartCom đã không duy trì các tiêu chuẩn theo yêu cầu của Chương trình Root đáng tin cậy của chúng tôi. Các thực tiễn bảo mật không được chấp nhận quan sát bao gồm chứng nhận SHA-1 có niên đại trở lại, cấp giấy chứng nhận sai, thu hồi chứng chỉ ngẫu nhiên, số sê-ri chứng chỉ trùng lặp và vi phạm nhiều yêu cầu cơ bản của Diễn đàn CAB (BR).

Microsoft coi trọng cộng đồng Chứng chỉ toàn cầu và chỉ đưa ra các quyết định này sau khi xem xét cẩn thận xem điều gì là tốt nhất cho bảo mật của người dùng của chúng tôi.

Microsoft không phải là công ty duy nhất đưa ra quyết định này. Những gã khổng lồ công nghệ khác, bao gồm Google và Apple đã thu hồi niềm tin vào các chứng chỉ từ WoSign và StartCom. Nhiều khả năng, các công ty khác sẽ sớm làm theo.

Microsoft bắt đầu gỡ bỏ chứng chỉ vào tháng 9

Công ty sẽ bắt đầu khấu hao tự nhiên các chứng chỉ này vào tháng tới. Nói cách khác, tất cả các chứng chỉ hiện có sẽ tiếp tục hoạt động cho đến khi chúng tự hết hạn. Sau tháng 9 năm 2017, Windows 10 sẽ không tin tưởng bất kỳ chứng chỉ mới nào do hai công ty cấp.

Nếu bạn có chứng chỉ WoSign và StartCom trong sản xuất, giải pháp tốt nhất là chỉ cần thay thế bằng chứng chỉ khác do Cơ quan cấp chứng chỉ tin cậy và đáng tin cậy cấp.