Vào cuối tháng 5 năm 2025, Google đã công bố rằng từ ngày 1 tháng 8, trình duyệt Chrome sẽ ngừng tin tưởng vào các chứng chỉ TLS mới được phát hành bởi Bitpott và NetLock, gây chấn động cho lĩnh vực an ninh mạng tại Đài Loan.
Mặc dù Bitpott nhấn mạnh rằng chứng chỉ của họ không có lỗ hổng kỹ thuật và đã hoàn tất tất cả các điều chỉnh để phù hợp với chính sách mới của Chrome, nhưng thông báo của Google lại chỉ ra rằng vấn đề cốt lõi nằm ở “sự sai lệch trong việc tuân thủ liên tục” và “không thể thực hiện cam kết cải tiến”. Cuộc khủng hoảng lòng tin này không chỉ đơn thuần là một sự kiện kỹ thuật mà còn là một lời nhắc nhở nghiêm túc về quản lý chứng chỉ, niềm tin chuỗi cung ứng và tính minh bạch trong quản trị. CA (tổ chức cấp chứng chỉ) không chỉ đơn thuần là một đơn vị kỹ thuật, mà còn là người canh giữ niềm tin số.
Nếu các doanh nghiệp và cơ quan chính phủ vẫn đơn giản hóa các vấn đề an ninh mạng thành “cài đặt không an toàn” hay “công nghệ chưa đủ trưởng thành”, họ sẽ bỏ lỡ các rủi ro cốt lõi mà họ thực sự cần phải đối mặt: chuỗi cung ứng niềm tin của bạn có được đảm bảo không? Quy trình giám sát rủi ro và phản hồi của bạn có đầy đủ không? Đối tác chứng chỉ của bạn có khả năng duy trì sự tin cậy liên tục không?
Chứng chỉ không phải là panacea, việc đặt niềm tin sai cách sẽ trở thành điểm yếu an ninh mạng
Vụ việc của Bitpott lần này đáng để thảo luận không phải vì sao họ bị Google rút lại niềm tin, mà là vì sao chúng ta chưa bao giờ nghĩ rằng chứng chỉ tin cậy cũng có thể chứa đựng rủi ro. Phần lớn các doanh nghiệp và cơ quan chính phủ vẫn hiểu biết về chứng chỉ TLS ở mức độ đơn giản là có khóa thì an toàn, giao cho các công ty lớn thì sẽ không có vấn đề gì, hoàn toàn không hiểu rõ về nguồn gốc, tính tuân thủ, cơ chế quản lý và hồ sơ cải tiến của chứng chỉ. Thực tế, chứng chỉ là một loại tài liệu kỹ thuật được trao quyền niềm tin, giá trị của chúng được xây dựng dựa trên quy trình kiểm soát nội bộ và tính minh bạch trong kiểm toán của toàn bộ tổ chức cấp chứng chỉ.
Google đã rõ ràng trong chính sách Chương trình Root của mình: nếu một CA không thể liên tục thể hiện sự tiến bộ và cam kết quản lý, ngay cả khi chứng chỉ của họ chưa gặp sự cố kỹ thuật thì họ cũng không thể duy trì quyền được mặc định tin cậy. Tiêu chuẩn này không chỉ nhằm vào Bitpott mà là yêu cầu chung cho tất cả các tổ chức cấp chứng chỉ đáng tin cậy. Từ góc độ an ninh mạng, điều này có nghĩa là chúng ta không thể chỉ xem xét việc có sử dụng HTTPS hay không như là chỉ số an toàn, mà chúng ta cần bắt đầu xem xét xem mọi nguồn niềm tin mà chúng ta dựa vào có thực sự đáng tin hay không.
Quản lý an ninh mạng không phải là “khắc phục thiếu sót công nghệ”, mà là quản lý các điểm đứt niềm tin
Vụ việc của Bitpott lần này một lần nữa phơi bày điểm mù lâu dài trong quản lý an ninh mạng, phần lớn các cơ quan chưa xây dựng một bộ quy trình thay thế và ứng phó khẩn cấp cho việc sụp đổ niềm tin chứng chỉ. Mặc dù Google đã tuyên bố rằng các chứng chỉ cũ không bị ảnh hưởng, nhưng từ tháng 8 năm 2025, tất cả các chứng chỉ mới sẽ phải đối mặt với nguy cơ xuất hiện thông báo lỗi trong Chrome. Đối với các trang web doanh nghiệp, điều này sẽ ảnh hưởng trực tiếp đến niềm tin của người dùng, tỷ lệ chuyển đổi và thứ hạng SEO; đối với các nền tảng chính phủ, điều này có thể khiến người dân nghi ngờ về khả năng an ninh mạng của họ, thậm chí dẫn tới hoảng loạn xã hội.
Đối mặt với rủi ro niềm tin này, những cơ quan chuẩn bị tốt cần sớm kích hoạt cơ chế chứng chỉ kép, đánh giá rủi ro nhà cung cấp, thiết lập cơ chế chuyển đổi CA thay thế và hoàn thành việc thay thế và thử nghiệm trước thời điểm chứng chỉ hết hạn. Bên cạnh đó, nhóm an ninh mạng nên hợp tác với các bộ phận pháp lý, mua sắm và quản lý thương hiệu để xây dựng chính sách quản lý niềm tin chứng chỉ, từ việc lựa chọn, ký kết, kiểm tra đến quy định báo cáo trường hợp khẩn cấp. Chứng chỉ không phải là tài sản tĩnh, mà là một hệ thống niềm tin cần được theo dõi chủ động và quản lý động.
Khủng hoảng niềm tin an ninh mạng cuối cùng sẽ trở lại quyết định của quản lý
Sự việc của Google đã mang lại cú sốc cho Đài Loan vượt xa phạm vi kỹ thuật, thực sự làm nổi bật thực tế khắc nghiệt mà các doanh nghiệp và chính phủ phải đối mặt trong quản trị số. Sự mất mát về niềm tin thường không phải vì bị tấn công mà vì bạn đã không thực hiện quản lý cần thiết. Khi tính hợp lệ của chứng chỉ trở thành một cuộc tranh luận về việc niềm tin có tiếp tục hay không, chứ không phải là vấn đề công nghệ đã hết hạn, ai sẽ chịu trách nhiệm cho quyết định này? Nếu câu trả lời vẫn là: “hỏi bộ phận thông tin”, thì cuộc khủng hoảng này có thể chỉ mới bắt đầu.
Niềm tin an ninh mạng không phải là thứ được xây dựng từ một báo cáo chứng nhận ISO, mà là kết quả tích lũy của quản lý lâu dài. Bất kể bạn là cơ quan chính phủ hay nền tảng thương mại điện tử, trong bối cảnh sự kiện này, câu hỏi bạn cần đặt ra là: nếu chứng chỉ của bạn bị thu hồi vào ngày mai, trang web của bạn có thể sống sót không? Người dùng có còn tin tưởng bạn không?
Từ hôm nay, hãy để chúng ta suy nghĩ lại về bản chất của an ninh mạng: nó không chỉ đơn giản là cài đặt tường lửa, mà là mỗi lựa chọn và quản lý niềm tin, bao gồm cả việc bạn chọn ai để cấp phát nhân thân số của bạn.
(Hình ảnh nguồn: Công nghệ Mới)
Đọc thêm:
Bộ Kỹ thuật số: Sự rút lại niềm tin chứng chỉ của Bitpott không phải là vấn đề an ninh mạng, đã khởi động cơ chế chứng chỉ kép từ tháng 3, việc dữ liệu bị tấn công là điều sớm muộn. Ba điểm mù an ninh mà các nhà điều hành nền tảng không thể bỏ qua.