Hỏi đáp dịch vụ SSL

Hỏi: Sau khi tham khảo SSL tại BKNS.VN, tôi thấy có rất nhiều loại chứng chỉ SSL và không biết nên lựa chọn loại nào cho phù hợp? Trả lời: Để lựa chọn các loại SSL phù hợp, bạn cần phân tích nhu cầu của mình cũng như các chức năng của từng loại SSL.Dựa trên các tiêu chí dưới đây.

1. Quy mô hoạt động website của bạn được đứng tên bởi tổ chức,doanh nghiệp hay cá nhân ?

• - Nếu hoạt động với tư cách cá nhân bạn chỉ có thể đăng ký SSL với kiểu chứng thực DV (Chứng thực qua Tên Miền).
• - Nếu hoạt động với tư cách tổ chức hoặc doanh nghiệp. Ngoài DV SSL bạn còn có thể đăng ký SSL với các kiểu chứng thực khác như OV SSL hay EV SSL.

2. Mục đích sử dụng SSL? - Bảo mật các trang web thương mại điện tử,ngân hàng điện tử,sàn chứng khoán với các giao dịch có giá trị lớn hay truy xuất các thông tin nhạy cảm. Quý khách chỉ nên sử dụng EV SSL với mức chứng thực mở rộng.Là loại chứng chỉ uy tín nhất,EV SSL có thanh địa chỉ màu xanh chứa thông tin tổ chức và doanh nghiệp.Kèm theo với các mức bảo hiểm lớn lên tới hàng trăm nghìn USD một vụ.

- Bảo mật các trang đăng nhập,đăng ký,thanh toán,webmail và các nhu cầu đơn giản. DV SSL sẽ đáp ứng tốt các nhu cầu cơ bản này.Với thời gian cung cấp và triển khai nhanh chóng gần như ngay lập tức.

Chứng thực tên miền được sở hữu bởi doanh nghiệp hay tổ chức. Nâng cao uy tín của website. OV SSL đáp ứng được các nhu này.EV SSL sẽ là tốt nhất vì nó cung cấp thêm thanh địa chỉ chứng thực màu xanh chứa thông tin tổ chức.Tuy nhiên thời gian triển khai và quy trình chứng thực mất khá nhiều thời gian từ 5-10 ngày.

- Có nhu cầu sử dụng cho nhiều Subdomain (tên miền phụ) của một tên miền.Ví dụ như : payments.bkns.vn login.bkns.vn webmail.bkns.vn *.bkns.vn Wildcard SSL là giải pháp tiết kiệm dành cho bạn.Nó có khả năng cung cấp cho không giới hạn subdomain chỉ với một chứng chỉ duy nhất.Wildcard SSL bao gồm 2 kiểu chứng thực là DV và OV.

- Các giải pháp SSL tiết kiệm cho Microsoft® Exchange Server,Lync hoặc Office Communications Server. Wildcard SSL trong trường hợp này sẽ không thể giúp bạn vì nó không hỗ trợ.Khi đó Unified Communications Certificate (UCC) SSL thì có thể. Khác với Wildcard SSL thì UCC SSL không chỉ hỗ trợ cho nhiều tên miền phụ(subdomain) mà còn hỗ trợ cho nhiều tên miền(domain) khác nhau. Một chứng chỉ UCC SSL cơ bản sẽ cung cấp cho bạn 3 tên miền và mỗi tên miền cộng thêm sẽ được tính với chi phí rất nhỏ. UCC SSL bao gồm 2 kiểu chứng thực cho bạn lựa chọn là DV và OV.

Hỏi: CA là gì? Đáp: CA là viết tắt của (Certificate authority) hoặc (Certification authority)là tổ chức cấp phát chứng chỉ kỹ thuật số.

Hỏi: Chứng chỉ số,chứng thực số và chứng thư số thì cái nào là cách gọi đúng? Đáp: Cả 3 cách nói trên đều đúng và nói về dịch vụ (digital certificate).

Hỏi: Chứng chỉ số và chữ ký số là một hay khác nhau? Đáp: Chứng chỉ số và chữ ký số là hai dịch vụ khác nhau hoàn toàn.Tham khảo thêm ở đây.

Hỏi: Chứng chỉ SSL DV là gì? Đáp: DV là viết tắt của (Domain Validated).SSL DV là kiểu chứng chỉ có tốc độ cấp phát nhanh nhất chỉ trong vài phút.Thích hợp với người dùng cá nhân vì chỉ cần chứng thực tên miền bằng cách verify qua email tên miền là xong.

Hỏi: Chứng chỉ SSL OV là gì? Đáp: OV là viết tắt của (Organization Validation). OV SSL dành cho các tổ chức hoặc doanh nghiệp.Ngoài việc xác minh quyền sở hữu tên miền,bạn còn phải chứng thực doanh nghiệp qua các giấy tờ hợp lệ.

Hỏi: Chứng chỉ có chứa tên công ty trên thanh địa chỉ https màu xanh rất nổi bật là loại chứng chỉ gì? Đáp: Là chứng chỉ số SSL EV (Exented Validation) còn gọi là chứng chỉ số với mức xác thực mở rộng.

Hỏi: Chứng chỉ SSL EV là gì? Đáp: EV là viết tắt của (Exented Validation). EV SSL chỉ dành cho các doanh nghiệp hay các tổ chức chính phủ có giấy tờ hợp lệ.Ngoài việc xác minh các giấy phép hoạt động, CA còn phải tuân thủ nghiêm ngặt các quá trình chứng thực tổ chức đang hoạt động và có uy tín. Mỗi EV SSL chỉ được đăng ký tối đa 2 năm, vì sau mỗi 2 năm CA sẽ cần chứng thực lại và chắc chắn doanh nghiệp của bạn vẫn đang hoạt động.

Hỏi: Chứng chỉ Wildcard ssl khác gì so với các chứng chỉ còn lại? Đáp: Wildcard SSL có thể dùng cho không giới hạn tên miền phụ của một tên miền.Nó bao gồm các kiểu chứng thực như DV hay OV nhưng không có Wildcard EV.

Hỏi: UCC SSL là gì? Đáp: UCC là viết tắt của (Unified Communication Certificate). Người ta có thể gọi nó là UC Certificate và chứng chỉ này được thiết kế riêng cho các dịch vụ như Exchange Server hay Office Communications

Hỏi: SAN SSL là gì? Đáp: SAN là viết tắt của (Subject Alternative Name) . Là mua thêm tên miền để tích hợp vào chứng chỉ SSL có sẵn. Ví dụ khi mua Geotrust TrueBusinessID UC/SAN mặc định đã có sẵn 4 SAN . Trong trường hợp này ngoài tên miền chính còn được add thêm 4 tên miền nữa và tổng cộng là bạn được sử dụng 5 tên miền(FQDN) trong một chứng chỉ duy nhất.

Ví dụ khác: khi đăng ký thêm 6 SAN vào Geotrust UC/SAN thì lúc này ta có ((6 SAN+4SAN có sẵn)+1 Domain chính) = 11 Domain.

Hỏi: FQDN là gì? Đáp: FQDN là viết tắt của (fully qualified domain name). Người ta thường dùng để phân biệt Domain (FQDN) với Subdomain. Ví dụ Domain(FQDN) có dạng bkns.vn,bkns.com,bkns2.vn,cpanel.bkns.vn thì Subdomain có dạng là toàn bộ tên miền phụ của một tên miền như 1.bkns.vn, cpanel.bkns.vn, discovery.bkns.vn và webmail.sv1.bkns.vn

Hỏi: UCC SSL, SAN SSL, Mutil-Domain SSL ? Đáp: Cả 3 cách gọi trên đều là một.Ám chỉ các loại SSL được sử dụng nhiều Domain (FQDN) . Có nhiều cách gọi khác như: UC/SAN, UCC/SAN, Mutil-Domain SSL, UC Certificate hay chứng chỉ UC.

Hỏi: Vậy thì UC Certficate cũng là SAN Certificate ? Đáp: Đúng UC Certficate có thể được gọi là SAN Certificate hoặc gọi gộp là UCC/SAN.

Hỏi: Các chứng chỉ SAN SSL có thể sử dụng cho các dịch vụ của Microsoft như Exchange Server hay Office Communications ? Đáp: Như đã nói ở trên, chứng chỉ SAN là cách gọi khác của chứng chỉ UC. Nên chứng chỉ SAN có thể sử dụng cho các dịch vụ Exchange Server và Office Communications .

Hỏi: Tôi muốn mua chứng chỉ số SSL cho tên miền dạng www.bkns.vn nhưng nếu thế thì tôi phải mua thêm chứng chỉ cho tên miền không có www như bkns.vn? Đáp: Ngoại trừ Symantec(Verisign) Một số hãng SSL khác như Geotrust,Comodo,Thawte… sẽ miễn phí thêm 1 SAN cho tên miền không có www của bạn (non www). Họ quy định khi đăng ký chứng chỉ số SSL cho tên miền có www như www.bkns.vn sẽ được miễn phí thêm cho tên miền không có www như bkns.vn.

Lưu ý: Khi đăng ký với tên miền non-www như bkns.vn thì bạn sẽ không được miễn phí cho tên miền có www. như www.bkns.vn.Nên đọc kỹ hướng dẫn của từng loại SSL cụ thể.

Hỏi: Tính năng SGC là gì? Đáp: SGC là viết tắt của (Server Gated Cryptography).Là tính năng bảo mật khi so sánh và lựa chọn các loại chứng chỉ số với nhau.SGC hỗ trợ tính tương thích chứng chỉ tới hơn 99,9% trình duyệt web trên thế giới. Các trình duyệt web đã quá cũ có thể sẽ hiển thị lỗi SSL khi vào website của bạn nếu không có tính năng này.

Hỏi: Tôi đăng ký chứng chỉ số EV thất bại do doanh nghiệp của tôi không đáp ứng đủ yêu cầu thì có được hoàn tiền không? Đáp: Có, bạn sẽ được tiền nếu việc đăng ký thất bại.

Hỏi: Tôi đăng ký nhầm chứng chỉ SSL không phù hợp với dịch vụ của mình thì có được đổi lại không? Đáp: Có, trong vòng 30 ngày đầu tiên.Bạn được quyền hủy bỏ hay thay đổi loại chứng chỉ SSL hiện tại.

Hỏi: Tôi đăng ký chứng chỉ SSL cho tên miền A, nay tôi muốn đổi sang tên miền B thì có được không? Đáp: Có, trong vòng 30 ngày đầu bạn được phép đổi lại tên miền.

Hỏi: Tôi làm mất,bị ăn cắp hay muốn cấp lại chứng chỉ với một bản CSR mới thì có được không? Đáp: Trong suốt thời hạn sử dụng chứng chỉ, bạn được phép reissue miễn phí bao nhiêu lần tùy thích.

Hỏi: CSR là gì? Đáp: Khi đăng ký chứng chỉ SSL, bạn cần phải có mã CSR (Certificate Signing Request) chứa tên miền và các thông tin của bạn.

Hỏi: Tôi có thể tạo CSR ở đâu? Đáp: Bạn có thể tạo CSR trong các Control Panel Hosting hay các công cụ website tạo CSR trực tuyến.

Sau khi đăng ký và thanh toán các loại SSL có mức thứng thực tên miền(DV SSL).Bạn sẽ nhận được Email hướng dẫn, tự động và ngay lập tức.

1. Bạn khởi tạo CSR trên máy chủ hoặc trên các Control Panel Hosting với tên miền của bạn.
2. Nhập CSR theo như hướng dẫn trong Email.
3. Sau khi nhập CSR thành công,tùy loại SSL tổ chức CA sẽ gửi mail xác nhận tới email sở hữu tên miền (trong Whois database). Hoặc gửi tới email tên miền của bạn như administrator@tenmien.vn , webmaster@tenmien.vn hay postmaster@tenmien.vn .
4. Sau khi hoàn tất chứng thực tên miền.
5. CA sẽ gửi các thông tin chứng chỉ tới Email của bạn để cài đặt.

*Chú ý: đối với Wildcard SSL. Khi tạo CSR thì Common Name (tên miền) bạn phải điền có dấu * ở đầu.Ví dụ tôi đăng ký Wildcard SSL cho tên miền bkns.vn thì tôi sẽ điền Common Name là: *.bkns.vn *CA (Certificate Authority) : là tổ chức quản lý và phát hành chứng chỉ SSL cho người dùng.CA quản lý các nhà cung cấp SSL thứ ba như: Verisign,Comodo,Geotrust,Thawte…

1. Dịch vụ chứng chỉ số SSL khác với dịch vụ chứng thực chữ ký số
3. Chứng thư của dịch vụ chứng chỉ số ssl khác với chứng thư của dịch vụ chứng thực chữ ký số.
4. Dịch vụ chứng thực chữ ký số tại Việt Nam có chức năng tương tác với cơ quan nhà nước Việt Nam như khai báo thuế hay giao dịch ngân hàng.
5. Ví dụ trong nghị định 174/2013/NĐ-CP chỉ cấm sử dụng dịch vụ chữ ký hay chứng thư số của nước ngoài chưa được Việt Nam công nhận chứ không cấp dịch vụ chứng chỉ số SSL nước ngoài như Symantec, Verisign, Geotrust, Comodo hay Thawte

Kết luận: dịch vụ chứng thực chữ ký số không phải là dịch vụ chứng chỉ số SSL.

Bạn có thể tham khảo thêm về chữ ký số dưới đây:

Nghị Định 174/2013/NĐ-CP

http://datafile.chinhphu.vn/file-remote-v2/DownloadServlet?filePath=vbpq/2013/11/174-nd.pdf

Nghị Định Số: 26 /2007/NĐ-CP – Quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.

http://mic.gov.vn/vbqppl/Lists/Vn%20bn%20QPPL/DispForm.aspx?ID=7033

Luật Giao Dịch Điện Tử Số: 51/2005/QH11

http://public.rootca.gov.vn/Van%20Ban/Luat%20Giao%20Dich%20Dien%20Tu.doc

Giải thích thêm:

1. “Chứng thư số” là một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước cấp.
2. “Dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước cấp. Dịch vụ chứng thực chữ ký số bao gồm:

• Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;
• Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao;
• Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;
• Những dịch vụ khác theo quy định của Nghị định chữ ký số.

Chứng chỉ số và chữ ký số là 2 khái niệm khác nhau và nó là 2 sản phẩm riêng biệt.

Bạn truy cập 1 trong các đường dẫn sau đây và làm theo hướng dẫn để kiểm tra thông tin.  

Thawte

https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555

RapidSSL

https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO9556

GeoTrust

https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=SO9557

Quý khách vui lòng thực hiện các bước sau:

- Cung cấp 1 email admin (email này sẽ dùng để quý khách liên hệ với nhà cung cấp ssl về sau nếu cần sinh lại ssl khi thay đổi ip hay server )

- Tạo 1 email dạng: admin@abc.com.vn (email này sẽ check xác nhận sinh ssl từ nhà cung cấp)

- Sinh CSR theo các công cụ hỗ trợ từ control panel cpanel mà quý khách đang sử dụng

- Cung cấp CSR cho BKNS (check xem đúng csr hay không: https://www.rapidsslonline.com/checkcsr.aspx ), cho biết version và webserivce đang dùng (vd: apache 2, iis6…)

- Xác định chính xác tên miền đăng ký (phân biệt rõ có hoặc không có www): abc.com.vn