Tweet
Trong môi trường PKI, một điểm quan trọng cần hiểu rõ là Certificate Authority (CA) không trực tiếp tham gia vào quá trình xác thực chứng chỉ. Các hệ thống khi muốn xác thực chứng chỉ số của bên khác sẽ dùng root CA certificate đã được tin tưởng, sau đó dùng public key của CA để kiểm tra chữ ký số trên chứng chỉ được nhận.
Tuy nhiên, chứng chỉ số chỉ xác nhận public key hợp lệ của một đối tượng, chứ không khẳng định chính xác đối tượng đó là ai. Để chứng minh mình chính là thực thể được chứng chỉ định danh, bên kia phải chứng minh rằng họ có private key tương ứng. Ví dụ: hệ thống A mã hóa một thông điệp bằng public key trong chứng chỉ của hệ thống B, nếu B giải mã thành công thì chứng tỏ B thực sự sở hữu private key và đúng là thực thể được chứng chỉ xác nhận.
Thu hồi chứng chỉ (Certificate Revocation)
Trong một số tình huống, chứng chỉ có thể bị thu hồi (revoked), ví dụ:
Cơ chế thu hồi thường được quản lý tập trung, dùng các phương thức “push” hoặc “pull” để phân phối danh sách chứng chỉ đã bị thu hồi. Nhiều khi chính CA đóng vai trò phát hành thông tin thu hồi chứng chỉ.
Phương pháp kiểm tra chứng chỉ bị thu hồi
Hiện nay có hai cơ chế chính:
Câu hỏi ôn tập
👉 Anh em mới tìm hiểu về PKI cần nhớ: CA chỉ ký và phát hành chứng chỉ, nhưng việc xác thực chứng chỉ là do hệ thống tự xử lý dựa trên root CA. Và để bảo đảm an toàn, cần nắm rõ cơ chế CRL và OCSP để tránh việc dùng chứng chỉ đã bị thu hồi.
Tuy nhiên, chứng chỉ số chỉ xác nhận public key hợp lệ của một đối tượng, chứ không khẳng định chính xác đối tượng đó là ai. Để chứng minh mình chính là thực thể được chứng chỉ định danh, bên kia phải chứng minh rằng họ có private key tương ứng. Ví dụ: hệ thống A mã hóa một thông điệp bằng public key trong chứng chỉ của hệ thống B, nếu B giải mã thành công thì chứng tỏ B thực sự sở hữu private key và đúng là thực thể được chứng chỉ xác nhận.
Thu hồi chứng chỉ (Certificate Revocation)
Trong một số tình huống, chứng chỉ có thể bị thu hồi (revoked), ví dụ:
- Key bị lộ hoặc nghi ngờ bị compromise → cần sinh cặp key mới và phát hành chứng chỉ mới.
- Thay đổi quyền truy cập → ví dụ nhân viên nghỉ việc, đối tác hết hợp đồng, chứng chỉ VPN không còn hợp lệ.
Cơ chế thu hồi thường được quản lý tập trung, dùng các phương thức “push” hoặc “pull” để phân phối danh sách chứng chỉ đã bị thu hồi. Nhiều khi chính CA đóng vai trò phát hành thông tin thu hồi chứng chỉ.
Phương pháp kiểm tra chứng chỉ bị thu hồi
Hiện nay có hai cơ chế chính:
- CRL (Certificate Revocation List)
- Là danh sách chứa số seri của chứng chỉ bị thu hồi.
- Do CA ký và phát hành định kỳ.
- Các hệ thống PKI cần định kỳ tải về CRL để kiểm tra.
- Nhược điểm: có khoảng trễ (window of opportunity) trước khi CRL mới được cập nhật.
- OCSP (Online Certificate Status Protocol)
- Cho phép truy vấn trạng thái chứng chỉ theo thời gian thực.
- Hệ thống có thể gửi query đến máy chủ OCSP bất cứ lúc nào.
- Ưu điểm: thông tin thu hồi cập nhật nhanh chóng.
Câu hỏi ôn tập
- Câu hỏi 1: Which two statements are true regarding the certificate authority in a PKI deployment?
- ✅ CA là trusted third party dùng để ký public keys trong hệ thống PKI.
- ✅ CA có thể phát hành CRL hoặc hỗ trợ OCSP để quản lý trạng thái chứng chỉ.
- ❌ CA không phải là trung tâm điều phối giao tiếp giữa hai host.
- ❌ Root CA là bắt buộc để tạo niềm tin, nên câu “không cần root CA” là sai.
- Câu hỏi 2: Which two options must be included in the CSR before it is signed by a certificate authority?
- ✅ Subject’s public key information (public key sẽ được nhúng vào chứng chỉ).
- ✅ Subject identity information (tên CN, tổ chức, email, v.v.).
- ❌ Không cần “invitation code”.
- ❌ “Certificate intended usage” không nằm trong CSR, mà được thêm bởi CA khi phát hành chứng chỉ.
👉 Anh em mới tìm hiểu về PKI cần nhớ: CA chỉ ký và phát hành chứng chỉ, nhưng việc xác thực chứng chỉ là do hệ thống tự xử lý dựa trên root CA. Và để bảo đảm an toàn, cần nắm rõ cơ chế CRL và OCSP để tránh việc dùng chứng chỉ đã bị thu hồi.
Attached Files