Câu hỏi thường gặp về việc di chuyển CA gốc của Nền tảng Google Maps

Tài liệu này bao gồm các mục sau:

Để biết thêm thông tin tổng quan chi tiết về việc di chuyển CA gốc Google đang diễn ra, hãy xem phần Điều gì đang xảy ra?.

Thuật ngữ

Dưới đây, chúng tôi đã thu thập danh sách các thuật ngữ quan trọng nhất mà bạn cần nắm được trong tài liệu này. Để biết thông tin tổng quan toàn diện hơn về thuật ngữ có liên quan, vui lòng chuyển sang phần Câu hỏi thường gặp về Các dịch vụ tin cậy của Google.

Chứng chỉ SSL/TLS
Chứng chỉ liên kết một khóa mã hóa với một danh tính.
Chứng chỉ SSL/TLS dùng để xác thực và thiết lập kết nối an toàn với các trang web. Chứng chỉ được cấp và được ký bằng mật mã bởi các tổ chức được gọi là Tổ chức phát hành chứng chỉ.
Các trình duyệt dựa vào các chứng chỉ do các Tổ chức phát hành chứng chỉ đáng tin cậy cấp để biết thông tin được truyền đến máy chủ phù hợp và được mã hoá trong khi truyền.
Lớp cổng bảo mật (SSL)
Lớp cổng bảo mật là giao thức được triển khai rộng rãi nhất để mã hoá giao tiếp Internet. Giao thức SSL không được coi là an toàn nữa và không nên sử dụng.
Bảo mật tầng truyền tải (TLS)
Bảo mật tầng truyền tải là phiên bản kế thừa của SSL.
Tổ chức phát hành chứng chỉ (CA)
Tổ chức phát hành chứng chỉ giống như văn phòng hộ chiếu kỹ thuật số trên thiết bị và con người. Cơ quan cấp các tài liệu (chứng chỉ) được bảo vệ bằng mật mã để chứng thực rằng một thực thể (ví dụ: trang web) là bên được xác nhận quyền sở hữu.
Trước khi cấp Chứng chỉ, CA có trách nhiệm xác minh rằng tên trong Chứng chỉ được liên kết với người hoặc pháp nhân yêu cầu chứng chỉ.
Thuật ngữ của tổ chức phát hành chứng chỉ có thể là cả tổ chức như Dịch vụ tin cậy của Google, cũng như các hệ thống cấp chứng chỉ.
Lưu trữ chứng chỉ gốc
Một kho chứng chỉ gốc chứa tập hợp các Tổ chức phát hành chứng chỉ được nhà cung cấp phần mềm ứng dụng tin cậy. Hầu hết trình duyệt web và hệ điều hành đều có chứng chỉ gốc riêng.
Để được đưa vào kho lưu trữ chứng chỉ gốc, Tổ chức phát hành chứng chỉ phải đáp ứng các yêu cầu nghiêm ngặt do Nhà cung cấp phần mềm ứng dụng đặt ra.
Thường là các trường hợp tuân thủ tiêu chuẩn ngành như yêu cầu của Diễn đàn trình duyệt/CA.
Tổ chức phát hành chứng chỉ gốc
Tổ chức phát hành chứng chỉ gốc (hoặc chính xác hơn là chứng chỉ) là chứng chỉ cấp cao nhất trong chuỗi chứng chỉ.
Chứng chỉ CA gốc thường tự ký. Các khoá riêng tư liên kết với các khoá đó được lưu trữ trong các cơ sở hạ tầng có tính bảo mật cao và được duy trì ở trạng thái ngoại tuyến để bảo vệ các khoá này khỏi hoạt động truy cập trái phép.
Tổ chức phát hành chứng chỉ trung gian
Tổ chức phát hành chứng chỉ trung gian (hoặc chính xác hơn là chứng chỉ của tổ chức này) là một chứng chỉ dùng để ký các chứng chỉ khác trong chuỗi chứng chỉ.
Trung gian CA chủ yếu tồn tại để cho phép phát hành chứng chỉ trực tuyến trong khi cho phép chứng chỉ CA gốc duy trì trạng thái ngoại tuyến.
CA trung gian còn được gọi là CA cấp dưới.
Tổ chức phát hành chứng chỉ
Tổ chức phát hành chứng chỉ phát hành hay chính xác hơn là chứng chỉ của tổ chức phát hành chứng chỉ dùng để ký chứng chỉ ở dưới cùng trong chuỗi chứng chỉ.
Chứng chỉ quan trọng nhất này thường được gọi là chứng chỉ người đăng ký, chứng chỉ thực thể cuối hoặc chứng chỉ lá. Trong tài liệu này, chúng tôi cũng sẽ sử dụng thuật ngữ chứng chỉ máy chủ.
Chuỗi chứng chỉ
Chứng chỉ được liên kết với tổ chức phát hành chứng chỉ (đã ký mật mã). Chuỗi chứng chỉ được tạo thành từ một chứng chỉ lá, tất cả chứng chỉ của nhà phát hành và chứng chỉ gốc.
Ký chéo
Nhà cung cấp phần mềm ứng dụng\39; khách hàng phải cập nhật kho chứng chỉ gốc của mình để bao gồm chứng chỉ CA mới để các sản phẩm của họ trở nên đáng tin cậy. Quá trình này sẽ mất một khoảng thời gian cho đến khi các sản phẩm chứa chứng chỉ CA mới được sử dụng rộng rãi.
Để tăng khả năng tương thích với các ứng dụng cũ, chứng chỉ CA có thể là "cross signing" bởi một tổ chức phát hành chứng chỉ cũ đã được thiết lập khác. Thao tác này sẽ tạo ra một chứng chỉ CA thứ hai cho cùng một danh tính (cặp tên và amp; cặp khoá).
Tuỳ thuộc vào CA có trong kho chứng chỉ gốc, ứng dụng sẽ tạo một chuỗi chứng chỉ khác nhau cho đến gốc mà họ tin tưởng.

Thông tin chung

Đang có chuyện gì xảy ra?

Tổng quan

Năm 2017, Google bắt đầu một dự án nhiều năm để phát hành và sử dụng chứng chỉ gốc riêng, các chữ ký mã hoá là cơ sở để bảo mật Internet dựa trên TLS mà HTTPS sử dụng.

Sau giai đoạn đầu, khả năng bảo mật TLS của các dịch vụ Nền tảng Google Maps đã được đảm bảo bởi GS Root R2, một tổ chức phát hành chứng chỉ gốc (CA) nổi tiếng và được tin cậy rộng rãi. Google mua lại GMO GlobalSign để dễ dàng chuyển đổi sang các CA gốc Dịch vụ tin cậy (GTS) do Google tự cung cấp.

Trên thực tế, tất cả ứng dụng TLS (chẳng hạn như Trình duyệt web, điện thoại thông minh và máy chủ ứng dụng) đều đã tin tưởng chứng chỉ gốc này và do đó, có thể thiết lập kết nối an toàn với các máy chủ Nền tảng Google Maps trong giai đoạn đầu của quá trình di chuyển.

Tuy nhiên, tổ chức phát hành chứng chỉ có thể theo thiết kế không phát hành chứng chỉ hợp lệ sau thời gian hết hạn của chứng chỉ. Do GS Root R2 hết hạn vào ngày 15 tháng 12 năm 2021, Google sẽ di chuyển các dịch vụ của mình sang một CA mới, GTS Root R1 Cross, sử dụng một chứng chỉ do CA gốc GTS của Google cấp.

Mặc dù phần lớn các hệ điều hành hiện đại và thư viện ứng dụng TLS đều đã tin cậy CA gốc GTS, nhưng cũng để đảm bảo quá trình chuyển đổi suôn sẻ đối với hầu hết các hệ thống cũ, Google đã mua lại dấu chữ ký từ GMO GlobalSign bằng cách sử dụng GlobalSign Root CA - R1, một trong những CA gốc lâu đời và đáng tin cậy nhất hiện có.

Do đó, hầu hết khách hàng\39; khách hàng của Nền tảng Google Maps sẽ nhận ra một (hoặc cả hai) CA gốc đáng tin cậy này, và sẽ không bị ảnh hưởng hoàn toàn trong giai đoạn thứ hai của quá trình di chuyển.

Điều này cũng áp dụng cho những khách hàng đã thực hiện hành động trong giai đoạn đầu của quá trình di chuyển năm 2018, việc này giả định rằng họ vào thời điểm đó đã làm theo hướng dẫn của chúng tôi, cài đặt tất cả chứng chỉ từ gói CA gốc Google đáng tin cậy của chúng tôi.

Bạn nên xác minh hệ thống của mình, nếu đáp ứng những điều kiện sau:

  • các dịch vụ của bạn chạy các nền tảng không chuẩn hoặc cũ và/hoặc bạn duy trì kho chứng chỉ gốc của riêng mình
  • bạn đã không thực hiện hành động nào trong năm 2017-2018, trong giai đoạn đầu của quá trình di chuyển CA gốc của Google, hoặc bạn đã không cài đặt toàn bộ chứng chỉ từ gói CA gốc Google đáng tin cậy

Nếu áp dụng những cách trên, khách hàng của bạn có thể cần phải cập nhật chứng chỉ gốc được đề xuất để có thể đảm bảo nền tảng Google Maps sử dụng không bị gián đoạn trong giai đoạn này của quá trình di chuyển.

Hãy xem bên dưới để biết thêm chi tiết kỹ thuật. Để được hướng dẫn chung, vui lòng tham khảo phần Cách xác minh xem cửa hàng chứng chỉ gốc của tôi có cần cập nhật hay không.

Bạn cũng nên tiếp tục đồng bộ hoá kho lưu trữ chứng chỉ gốc với gói CA gốc đã chọn ở trên để chứng minh dịch vụ của bạn không bị thay đổi về CA gốc trong tương lai. Tuy nhiên, những điều này sẽ được thông báo trước. Xem các phần Làm cách nào để nhận thông tin cập nhật về giai đoạn di chuyển này?Làm cách nào để nhận thông báo trước về quá trình di chuyển trong tương lai? để biết thêm thông tin hướng dẫn về cách nắm bắt thông tin.

Tóm tắt kỹ thuật