Chứng chỉ SSL DST Root CA X3 đã hết hạn 30-09-2021

Hôm này ngày 1 tháng 10 năm 2021 có rất nhiều khách hàng phản ánh với LPTech là website của họ không thể truy cập được và hiện thông báo "Kết nối của bạn không phải là kết nối riêng tư". 

Kết nối của bạn không phải là kết nối riêng tư
Những kẻ tấn công có thể đang cố gắng đánh cắp thông tin của bạn từ website (ví dụ: mật khẩu, thư hoặc thẻ tín dụng). Tìm hiểu thêm
NET::ERR_CERT_DATE_INVALID

LPTech mới tiến hành điều tra và có nhận được thông tin nóng hổi của ngành IT vừa được cập nhật cách đó vài giờ. Tin thật buồn khi có khả năng các thiết bị di động cũ sẽ không thể truy cập Internet được kể từ ngày 1/10/2021 vì lý do chứng chỉ ssl của các thiết bị cũ này đang sử dụng đã hết hạng và ngừng hoạt động.

Danh sách các thiết bị được LPTech đề cập bên dưới gồm các dòng máy tính sử dụng hệ điều hành cũ như Windows XP, Android 7.1.1 hoặc iPhone chạy iOS 10 trở về trước, sẽ bị ảnh hưởng bởi sự thay đổi sắp diễn ra và không thể kết nối Internet. Hiện tại, iPhone 5 là chiếc smartphone cuối cùng đang được hỗ trợ nền tảng iOS 10, các phiên bản iPhone trở về sau đều có thể nâng cấp lên iOS 11 hoặc mới hơn.

Ảnh: Lỗi Kết nối của bạn không phải là kết nối riêng tư

Ngừng sử dụng chứng chỉ DST Root CA X3

Let's Encrypt sẽ ngừng sử dụng chứng chỉ DST Root CA X3. Theo Let's Encrypt, về cơ bản sự thay đổi này không ảnh hưởng nhiều đến hầu hết người dùng Internet trên toàn thế giới, tuy nhiên, vẫn còn hàng triệu smartphone, laptop, máy tính hay máy chơi game… vẫn đang sử dụng các tiêu chuẩn mã hóa thế hệ cũ, điều này sẽ khiến các thiết bị không thể truy cập Internet nếu không cập nhật lên phiên bản phần mềm mới.

Vào ngày 30 tháng 9 năm 2021, sẽ có một thay đổi nhỏ về cách các trình duyệt và thiết bị cũ tin tưởng chứng chỉ Let's Encrypt. Nếu bạn chạy một trang web thông thường, bạn sẽ không nhận thấy sự khác biệt - đại đa số khách truy cập vẫn chấp nhận chứng chỉ Let's Encrypt của bạn. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn có thể phải chú ý hơn một chút đến sự thay đổi.

Let's Encrypt có một "chứng chỉ gốc (root certificate)" được gọi là ISRG Root X1 . Các trình duyệt và thiết bị hiện đại tin tưởng chứng chỉ Let's Encrypt được cài đặt trên trang web của bạn vì chúng bao gồm ISRG Root X1 trong danh sách chứng chỉ gốc của chúng. Để đảm bảo chứng chỉ Let's Encrypt phát hành đáng tin cậy trên các thiết bị cũ hơn, Let's Encrypt cũng có “chữ ký chéo” từ chứng chỉ gốc cũ hơn: DST Root CA X3.

Khi Let's Encrypt bắt đầu, chứng chỉ gốc cũ hơn đó (DST Root CA X3) đã giúp Let's Encrypt khởi đầu và được hầu hết mọi thiết bị tin tưởng ngay lập tức. Chứng chỉ root mới hơn (ISRG Root X1) hiện cũng được tin cậy rộng rãi - nhưng một số thiết bị cũ hơn sẽ không bao giờ tin tưởng nó vì chúng không nhận được bản cập nhật phần mềm (ví dụ: iPhone 4 hoặc HTC Dream). Nhấp vào đây để xem danh sách các nền tảng tin cậy ISRG Root X1 .

DST Root CA X3 sẽ hết hạn vào ngày 30 tháng 9 năm 2021. Điều đó có nghĩa là những thiết bị cũ hơn không tin tưởng ISRG Root X1 sẽ bắt đầu nhận được cảnh báo về chứng chỉ khi truy cập các trang web sử dụng chứng chỉ Let's Encrypt.

Có một ngoại lệ quan trọng: các thiết bị Android cũ hơn không tin tưởng ISRG Root X1 sẽ tiếp tục hoạt động với Let's Encrypt, nhờ dấu chéo đặc biệt từ DST Root CA X3 kéo dài quá thời hạn của root đó, ngoại lệ này chỉ hoạt động cho Android.

Những gì bạn nên làm? Đối với hầu hết mọi người, không có gì cả! Let's Encrypt đã thiết lập việc cấp chứng chỉ của mình để trang web của bạn sẽ hoạt động đúng trong hầu hết các trường hợp, ưu tiên khả năng tương thích rộng rãi. Nếu bạn cung cấp API hoặc phải hỗ trợ các thiết bị IoT, bạn sẽ cần đảm bảo hai điều:

Tất cả các ứng dụng khách của API của bạn phải tin cậy ISRG Root X1 (không chỉ DST Root CA X3)

Nếu Máy khách (client) API của bạn đang sử dụng OpenSSL, Thì bạn phải sử dụng phiên bản 1.1.0 trở lên. Trong OpenSSL 1.0.x, một sai sót trong xác minh chứng chỉ có nghĩa là ngay cả những ứng dụng Client tin tưởng ISRG Root X1 cũng sẽ không thành công khi được hiển thị với chuỗi chứng chỉ tương thích với Android mà Let's Encrypt đang đề xuất theo mặc định.

Chứng chỉ SSL là gì? 

SSL (viết tắt từ cụm từ Secure Sockets Layer) là một công nghệ bảo mật tiêu chuẩn để thiết lập liên kết được mã hóa giữa máy chủ server và các trình duyệt nhằm đảm bảo độ bảo mật website và quyền riêng tư của người dùng khi truy cập vào một website. 

Xem thêm tại bài viết: SSL là gì? Nên dùng chứng chỉ SSL miễn phí hay trả phí?

Hậu quả của việc này là gì ?

Hàng triệu smartphone, máy tính và nhiều thiết bị khác đang sử dụng giao thức mã hóa lỗi thời sẽ có thể gặp vấn đề khi truy cập các website cài đặt SSL miễn phí từ Let's Encrypt.

Theo Entrepreneur, nhiều phương tiện truyền thông loan tin, sắp xảy ra "sự cố Internet" khiến hàng triệu máy tính, smartphone và các thiết bị có kết nối với Internet, chẳng hạn như máy chơi game cầm tay, không thể truy cập mạng.

Tin đồn xuất phát từ một vấn đề có thật. Vào ngày 30/9/2021, chứng chỉ IdentTrust DST Root CA X3 sẽ hết hạn. Đây là tiêu chuẩn mã hóa kết nối giữa thiết bị của người dùng với Internet, đảm bảo rằng không ai có thể chặn và đánh cắp dữ liệu khi truyền đi.

Nói một cách đơn giản, khi người dùng truy cập trang web bắt đầu với https, đường truyền sẽ được bảo mật bởi những chứng chỉ khác nhau, trong đó có IdentTrust DST Root CA X3.

Tổ chức phi lợi nhuận Let's Encrypt là đơn vị phát hành IdentTrust DST Root CA X3, tuy nhiên, họ sẽ ngừng cung cấp chứng chỉ sau ngày 30/9.

Theo TechCrunch, việc này không ảnh hưởng đến phần lớn người dùng Internet trên thế giới. Tuy nhiên, vẫn có những máy tính, thiết bị và trình duyệt không thể kết nối mạng nếu chúng chưa được cập nhật.

Cụ thể, những dòng máy không được nâng cấp thường xuyên, chẳng hạn như hệ thống nhúng không có tính năng tự động cập nhật hoặc smartphone chạy phiên bản hệ điều hành lạc hậu, sẽ thuộc nhóm bị ảnh hưởng.

"Người dùng đang sử dụng macOS 2016, Windows XP (SP 3) hoặc cũ hơn, các phần mềm dựa trên OpenSSL 1.0.2 trở xuống và PlayStations 4 chưa được nâng cấp firmware mới có thể gặp phải sự cố", TechCrunch cho biết.

Đối với các dòng máy chạy Android, Let's Encrypt đã gia hạn hiệu lực chứng chỉ cho thiết bị chạy phiên bản cũ hơn Android 7.1.1 thêm 3 năm, nhưng phiên bản 2.3.6 trở xuống có thể bị ngưng hỗ trợ hoàn toàn.

Những người dùng phiên bản cũ hơn iOS 10 cũng sẽ bị ảnh hưởng bởi sự cố. Hiện tại iPhone 5 là model thấp nhất có thể lên được hệ điều hành này, do đó, iPhone 4s, iPad 3, iPad mini và iPod touch gen 5 trở xuống nhiều khả năng gặp vấn đề khi kết nối Internet sau 30/9.

Nếu đang sử dụng các thiết bị ra đời từ nhiều năm trước và không chắc về khả năng chịu ảnh hưởng bởi sự cố này, bạn nên kiểm tra bản cập nhật phần mềm dành cho máy và trình duyệt web để nâng cấp lên phiên bản mới nhất.

Hướng dẫn xử lý DST Root CA X3 hết hạn và LetsEncrypt:

Việc hết hạn chứng chỉ ssl CA X3 làm ảnh hưởng đến việc truy cập internet toàn cầu của các thiết bị Cũ, hoặc không còn được hỗ trợ. Ngoài ra nếu bạn là nhà phát triển website thì bạn có thể nâng cấp SSL của mình lên bản trả phí để các thiết bị cũ có thể truy cập bình thường mà không lệ thuộc vào DST Root CA X3 gặp vấn đề trên.

Cách 1: Cập nhật ứng dụng truy cập web

Nếu bạn sử dụng trình duyệt Firefox bạn chỉ cập nhật trình duyệt và sẽ có thể truy cập lại. Nguyên nhân là các trình duyệt (Chrome, Safari, Edge, Opera) thường tin tưởng các root certificates như hệ điều hành mà chúng đang chạy. Firefox là ngoại lệ: nó có kho lưu trữ root certificates của riêng mình. Vì vậy nếu dùng các trình duyệt khác ngoài firefox bạn sẽ cần

Cách 2: Cập nhật hệ điều hành

Cập nhật hệ đều hành đang sử dụng lên bản mới nhất, chi tiết các trình duyệt và hệ điều hành hỗ trợ ISRG Root X bạn có thể xem thêm tại đây

Đối với người dùng sử dụng Windows: Bạn có thể truy cập trên trình duyệt đến địa chỉ sau: https://valid-isrgrootx1.letsencrypt.org/ sẽ nhắc Windows tự động đưa ISRG Root X1 vào root CA của nó.

Đối với macOS, iOS, v.v. : chúng giữ lại CA đã hết hạn nên bạn có thể thử reset các thiết bị sau đó thử truy cập lại.

Cách 3: Danh cho nhà phát triển website

Nếu như vì một số lý do liên quan hệ thống và bảo mật bạn không thể update các thiết bị lên phiên bản mới nhất. Bạn có thể đăng ký sử sụng SSL có phí không phải là letsenscrypt để khắc phục hoàn toàn lỗi này.

Nếu bạn là quản trị website thì có thể liên hệ LPTech để mua chứng chỉ SSL như bảng giá bên dưới.

BẢNG GIÁ DỊCH VỤ GEOTRUST SSL

Xem thêm Video:


Thông tin liên hệ

Nếu bạn có thắc mắc gì, có thể gửi yêu cầu cho chúng tôi, và chúng tôi sẽ liên lạc lại với bạn sớm nhất có thể .

Công ty TNHH TMĐT Công nghệ LP

Giấy phép kinh doanh số 0315561312/GP bởi Sở Kế Hoạch và Đầu Tư TP. Hồ Chí Minh.

Văn phòng: Lầu 4, Toà nhà Lê Trí, 164 Phan Văn Trị, Phường 12,Quận Bình Thạnh, HCMC

Hotline: 0338 586 864

Mail: sales@lptech.asia

Zalo:LP Tech Zalo Official

Liên hệ qua Zalo: 0338586864 ( hoặc bấm vào link này: http://lptech.asia/zalo-lptech). Hoặc nhập thông tin mà bạn cần hỗ trợ vào ô liên hệ bên dưới để lên lạc với LPTech nhé.

Bài viết cùng chuyên mục

CSRF là gì? Tìm hiểu cách chống tấn công giả mạo...

CSRF (Cross-Site Request Forgery) là một dạng tấn công trong các ứng dụng web. Tìm hiểu chi tiết về CSRF và cách bảo vệ ứng dụng khỏi...

Pentest là gì? Tầm quan trọng của kiểm thử xâm nhập

Tìm hiểu về phương pháp kiểm thử xâm nhập - Pentest, một giải pháp bảo mật thiết yếu cho doanh nghiệp trong thời đại số hóa.

NAT là gì? Phân loại NAT theo chức năng và cách...

NAT là một kỹ thuật mạng dùng để chuyển đổi địa chỉ IP của một gói data khi nó đi qua một thiết bị mạng như router hoặc tường lửa. Các...

Tấn công brute-force là gì? Cách phòng chống tấn...

Brute force là một hình thức tấn công mà các hacker thường sử dụng. Chúng thực hiện bằng các phần mềm tự động để thử mật khẩu tài khoản...

XSS là gì? Cách truy vết và phòng chống tấn công...

XSS, viết tắt của cụm từ Cross Site Scripting, là một lỗ hổng trong bảo mật mà các hacker sẽ sử dụng để cài đặt các phần mềm độc hại vào...

Trojan là gì? Cách nhận biết và phòng chống virus...

Trojan là gì? Đây là một loại virus độc hại được tạo ra để xâm nhập máy tính trái phép. Một khi đã xâm nhập vào, chúng sẽ phá hoại, làm...

Bài viết mới nhất


Hibernate ORM là gì? Khi nào nên dùng hibernate...

Hibernate ORM là một khung làm việc mã nguồn mở hoạt động như một tầng trung gian giữa ứng dụng và cơ sở dữ liệutrong Java dùng để ánh xạ các đối...

cURL là gì? Các câu lệnh cơ bản để sử dụng cURL

cURL là công cụ mạnh mẽ giúp bạn gửi và nhận dữ liệu qua nhiều giao thức khác nhau. Tìm hiểu chi tiết về cURL và các tính năng, giao thức mà nó hỗ...

CQRS Pattern là gì? Design pattern chuyên tách...

Tìm hiểu thông tin chi tiết về CQRS Pattern. CQRS (Command Query Responsibility Segregation) là một pattern giúp tách biệt command và query cực...

Chúc mừng sinh nhật Sếp Phú

Một hành trình mới bắt đầu cùng nhiều thử thách mới. Với sự tự tin, kiên cường và bản lĩnh, LPTech tin chắc rằng Sếp Phú của LPTech sẽ có nhiều...

Bool là gì? Tìm hiểu về kiểu dữ liệu bool trong...

Boolean là một kiểu dữ liệu cơ bản trong lập trình với C/C++, Jav,... Bool dùng để biểu diễn các giá trị logic đúng (true) hoặc sai (false). Xem...

Unit Test là gì? Tìm hiểu về khái niệm kiểm thử...

Unit Test sẽ giúp người dùng có thể xây dựng dự án một cách hiệu quả, để biết được những thông tin hữu ích về Unit Test. Hãy theo dõi thông tin...

CSRF là gì? Tìm hiểu cách chống tấn công giả...

CSRF (Cross-Site Request Forgery) là một dạng tấn công trong các ứng dụng web. Tìm hiểu chi tiết về CSRF và cách bảo vệ ứng dụng khỏi nguy cơ này.

Middleware là gì? Tầm quan trọng của middleware...

Middleware là một đoạn mã trung gian nằm trong các ứng dụng web được thiết kế trên mô hình client-server. Tìm hiểu middleware là gì và ứng dụng của...

JWT là gì? Tìm hiểu về khái niệm JSON Web Token

JWT (JSON Web Token) là một phương thức xác thực bằng mã hóa phổ biến trong các ứng dụng web, giúp truyền tải thông tin, xác thực và ủy quyền một...

Shell là gì? Các loại môi trường dòng lệnh phổ...

Shell còn được gọi là môi trường dòng lệnh. Đây là nơi cho phép người dùng tương tác với hệ điều hành thông qua các dòng lệnh. Tìm hiểu về shell và...