Bạn có nên sử dụng công cụ Auto-CSR được cung cấp sẵn bởi các CA?
Công cụ Auto CSR được cung cấp sẵn bởi hầu hết các nhà cung cấp dịch vụ chứng thực (CA) trong quá trình đăng ký. Đây là một công cụ rất hữu ích khiến cho quá trình triển khai chứng thực số trở nên rất dễ dàng đối với các đại lý, nhà phân phối. Tuy nhiên, chúng ta hãy cùng nhìn lại lỗ hổng bảo mật đằng sau sự tiện lợi này. Từ đó, khách hàng có thể hiểu rõ rằng tại sao Derasoft không bao giờ sử dụng công cụ này trong quá trình triển khai, mà luôn yêu cầu khách hàng tự tạo CSR theo hướng dẫn cụ thể của chúng tôi.
Một bộ chứng thực số SSL bao gồm hai thành phần chính là Public Key (Certificate) và Private Key. Public key dùng để mã hóa dữ liệu và Private key dùng để giải mã gói dữ liệu đó. Public key được máy chủ web cung cấp cho trình duyệt của người dùng khi truy cập vào website qua giao thức HTTPS. Ngược lại, private key chỉ được lưu trữ trên máy chủ web và chỉ có chủ sở hữu máy chủ đó mới có thể truy cập được. Một khi Private key của bạn rơi vào tay của một ai đó, thì về lý thuyết, người đó có thể đánh cắp gói tin truyền giữa người dùng và website trên Internet và giải mã dễ dàng với Private key đó.
Vậy công cụ Auto CSR sẽ làm gì?
Công cụ Auto CSR sẽ tạo ra cặp khóa gồm Private Key và Public Key và lưu trên hệ thống của CA đó. Sau khi hoàn tất quá trình xác thực, CA sẽ gửi bộ khóa đó cho khách hàng. Mật khẩu của Private Key cũng được CA đó biết luôn, và về lý thuyết, CA đó xem như "vừa đá bóng vừa thổi còi".
Chúng tôi hiểu rõ lỗ hổng bảo mật này, và vì thế Derasoft không bao giờ sử dụng công cụ này như một tiện ích thu hút khách hàng, cũng như không bao giờ sử dụng nhằm tiện lợi hóa quy trình triển khai đối với một sản phẩm bảo mật. Thay vào đó, chúng tôi cung cấp mọi hướng dẫn cần thiết theo hướng "step-by-step" và khách hàng hoàn toàn có thể tự thực hiện theo các hướng dẫn đó. Trong trường hợp xảy ra sự cố, chúng tôi luôn có đội ngũ kỹ thuật nhiều kinh nghiệm sẵn sàng hỗ trợ khách hàng bằng nhiều hình thức khác nhau.
