1. Giới thiệu chung về Verisign.

com
Verisign là một công ty hàng đầu trên thế giới về tên miền và an ninh mạng, được
thành lập vào năm 1995 tại Mỹ.

 
Verisign có trụ sở ở rất nhiều khu vực khác nhau: Virginia (trụ sở chính),
California, Washington D.C., Ấn Độ, Brazil, Trung Quốc, Úc, Thụy Sĩ, và Anh.
Khi nhắc tới Verisign – có một điều không thể phủ nhận, đây là một nhà cấp phát
tên miền (Registry) lâu đời và uy tín hàng đầu. Công ty sở hữu những tên miền phổ
biến như: .COM, .NET, .CC, .TV, .EDU, .GOV…

Verisign.com hiện là một trong những website nổi tiếng và uy tín nhất hiện nay
chuyên cung cấp các sản phẩm và dịch vụ bảo mật cho các website khác. Verisign
đã quản lý, phân phối và duy trì sự ổn định của các loại tên miền trong đó có 2 tên
miền quốc tế phổ biến và có độ tin cậy cao nhất: .COM và .NET.
Ngoài ra, các dịch vụ bảo mật, an ninh mạng của Verisign cũng được đánh giá rất
cao. Verisign vận hành hệ thống cơ sở hạ tầng cho các tên miền cấp cao, cũng như
hai trong 13 máy chủ gốc Internet của thế giới A và J, quản lý và bảo vệ cơ sở hạ
tầng DNS cho 133 triệu tên miền và xử lý hơn 120 tỷ truy vấn Internet mỗi ngày.
Các dịch vụ đảm bảo cơ sở hạ tầng của Verisign, bao gồm:
DNS FireWall
DDoS Protection
iDefense® Security Intelligence
Managed DNS
Recursive DNS
Với Verisign, một sự cố là điều không thể chấp nhận được. Tất cả các hoạt động
đều được thiết kế nhằm đảm bảo hệ thống Internet luôn sẵn sàng và an toàn để sử
dụng.
Tiền thân thuộc sở hữu của Verisign Inc., là tổ chức đầu tiên cung cấp dịch vụ
chứng thực số SSL vào năm 1995. Đến 08/2010, Symantec đã mua lại dịch vụ bảo
mật Internet này của Verisign Inc. (VeriSign Inc. có 2 mảng kinh doanh chính:
nhánh cung cấp dịch vụ Internet và nhánh cung cấp dịch vụ bảo mật Internet). Kể
từ đây, Symantec cùng với các đối tác đã không ngừng đầu tư nghiên cứu và phát
triển để nâng cấp dịch vụ này ngày một hoàn hảo hơn.
Cụ thể, vào năm 2010, VeriSign là nhà tiên phong trong việc tích hợp tính năng
Daily malware scanning vào tất cả sản phẩm chứng chỉ số SSL của VeriSign. Kể từ
tháng 11/2011, VeriSign tích hợp tính năng Weekly vulnerability scanning cho các
loại chứng chỉ số SSL: VeriSign Secure Site with EV, Secure Site Pro, Secure Site
Pro with EV (tính năng này không được tích hợp vào sản phẩm Secure Site). Với
tính năng Weekly vulnerability scanning đến từ hãng mẹ Symantec, Verisign đã
đưa nâng cấp công nghệ cảnh báo sớm các lỗ hổng bảo mật cho website lên một
bậc. Công cụ này sẽ giúp cho khách hàng có được một báo cáo tổng quát về tình
hình bảo mật của website đang cài đặt chứng chỉ số VeriSign. Báo cáo này sẽ chỉ
ra các lỗ hổng bảo mật trên máy chủ có khả năng bị khai thác từ hacker, bao gồm
các báo cáo về network, về các phần mềm trên máy chủ, cũng như các lỗ hổng gây
ra từ mã nguồn của website (SQL Injection, XSS, malware,...). Báo cáo này cũng
bao gồm các thông tin chi tiết về từng lỗ hổng, kèm theo cách khắc phục sự cố.Với
khả năng Scan on Demand, khách hàng có thể yêu cầu VeriSign tiến hàng scan lại
cho từng lỗ hổng để đảm bảo việc khắc phục đã giải quyết được vấn đề, chứ không
cần phải chờ đến lần quét của tuần sau đó.
Trong tháng 4/2012, Symantec thông báo chuyển đổi VeriSign Secured Seal sang
Norton Secured Seal. Với những tính năng mới tích hợp vào tất cả các chứng chỉ
số VeriSign thời gian gần đây như: Daily malware scaning, Weekly vulnerability
scanning, các chứng chỉ số VeriSign giờ đây không chỉ khẳng định sức mạnh mã
hóa, độ tin cậy của thông tin được xác thực mà còn hỗ trợ khách hàng kiểm soát
các lỗi cũng như cảnh báo bảo mật định kỳ. Do đó, sự kết hợp giữa uy tín của
thương hiệu bảo mật Norton và thương hiệu xác thực VeriSign sẽ tạo ra một
thương hiệu hoàn hảo. Về phía khách hàng, không có bất kỳ thay đổi nào cần thực
hiện. Trusted Seal sẽ tự động thay đổi vào thời điểm được định sẵn. Mọi tính năng
hoạt động của các chứng chỉ số VeriSign đã được cấp phát đều bình thường.
2.1 Chứng chỉ số SSL (SSL Certificate)
Website này cung cấp các dịch vụ chứng thực số SSL. Chứng chỉ số SSL (còn gọi
là chứng thư số SSL) có vai trò rất quan trọng trong các giao dịch trực tuyến như:
đặt hàng, thanh toán, trao đổi thông tin,... đặc biệt là trong các lĩnh vực thương mại
điện tử, sàn giao dịch vàng và chứng khoán, Cống thanh toán, ví điện tử, ngân
hàng điện tử, chính phủ điện tử. Khi được sử dụng, mọi dữ liệu trao đổi giữa người
dùng và website sẽ được mã hóa (ở phía người gửi) và giải mã (ở phía người nhận)
bởi cơ chế SSL.
Nếu website không sử dụng chứng chỉ số SSL, mọi dữ liệu nhập vào website từ
người dùng sẽ được truyền đi nguyên bản trên Internet. Khi đó, nguy cơ dữ liệu bị
xâm nhập trong quá trình trao đổi dữ liệu giữa người dùng và website sẽ rất cao.
Một hậu quả trước mắt là khách hàng sẽ không tin tưởng, và dẫn đến không sử
dụng dịch vụ của website đó.
Khi thực hiện kết nối bảo mật bởi SSL, người dùng sẽ thấy các trình duyệt chuyển
đổi http thành https, và thanh địa chỉ chuyển màu xanh (trong trường hợp chứng
thực EV SSL). Dữ liệu được truyền qua SSL mang lại cho website cung cấp dịch
vụ và người dùng Internet:
- Bảo mật dữ liệu: dữ liệu được mã hóa và chỉ người nhận đích thực mới có thể
giải mã.
- Toàn vẹn dữ liệu: dữ liệu không bị thay đổi bởi tin tặc
- Chống chối bỏ: đối tượng thực hiện gửi dữ liệu không thể phủ nhận dữ liệu của
mình
VeriSign, nay là Symantec, cung cấp nhiều loại chứng chỉ số phù hợp cho từng đối
tượng khách hàng cụ thể. Dựa vào độ an toàn dữ liệu, VeriSign chia ra thành hai
dòng sản phẩm là Secure Site và Secure Site Pro. Trong mỗi dòng sản phẩm,
VeriSign lại dựa vào thêm một tiêu chí khác là độ tin cậy đối Với chủ sở hữu của
website để bổ sung thêm một tùy chọn nữa cho sản phẩm, đó là cơ chế Extended
Validation (EV). Extended Validation (EV) là một hình thức xác minh đặc biệt của
của các nhà cung cấp dịch vụ xác thực chứng chỉ số (Certificate Authority - CA).
Mỗi CA có một tiêu chuẩn và quy trình xác minh riêng của họ, nhưng đều rất chặt
chẽ và đều có một mục đích chung duy nhất là kiểm tra và đảm bảo tính chính xác,
đáng tin cậy, đang hoạt động tốt của công ty đăng ký chứng chỉ số EV.

Về lý thuyết, một chứng chỉ số EV không gia tăng độ bảo mật dữ liệu so với một
chứng chỉ số cùng cấp (nhưng không có EV) mà chỉ gia tăng độ tin cậy của
website đối với người dùng. Một phần trong độ tin cậy mà website có được là
chính từ uy tín của CA xác thực cho website đó. Thời hạn hiệu lực tối đa cho một
chứng chỉ số EV mà một CA có thể cấp là hai (02) năm. Sau hai năm, CA cần phải
xác minh lại nhằm đảm bảo tính chính xác của doanh nghiệp đang sử dụng chứng
chỉ số EV đó.Dấu hiệu nhận biết dễ dàng nhất khi truy cập vào một website sử
dụng chứng chỉ số EV là thanh địa chỉ sẽ chuyển sang màu xanh lá cây, bên cạnh
đó còn hiển thị tên tiếng Anh của doanh nghiệp kèm theo tên của CA đã cấp chứng
chỉ số.
2.2 Semantec Safe Sites
Cung cấp giải pháp cho các doanh nghiệp nhỏ, thiết lập sự tin cậy cho website của
doanh nghiệp bằng cách xác nhận danh tính cho website này. Hàng ngày, website
của doanh nghiệp đều được quét các phần mềm độc hại thông qua Symantec. Gói
dịch vụ này còn cung cấp thêm cho khách hàng dấu đảm bảo “Norton Secured
Seal” trên website để tăng lòng tin của người dùng khi truy cập vào website khách.
Bằng cách đó, website của doanh nghiệp sẽ có thể tăng lưu lượng truy cập qua
công cụ tìm kiếm, giúp tăng doanh số bán, và thúc đẩy niềm tin của người sử dụng.
2.3 Code Signing
Code Signing Certificate sử dụng chữ ký số giúp nhà sản xuất đảm bảo được tính
nguyên vẹn của phần mềm được phân phối bởi họ, và xác nhận tính nguyên vẹn đó
khi người dùng nhận được phần mềm (thông qua thiết bị lưu trữ hoặc tải về
Internet).
Các nhà sản xuất sẽ "ký tên" vào nội dung của phần mềm bằng một private-key và
chuyển thành một hash. Hệ thống phân phối phần mềm sẽ dùng một public-key để
giải mã "chữ ký" trong phần mềm nhận được thành một hash khác. Sau đó các
hash này sẽ được so sánh với nhau. Nếu trùng khớp, hệ thống sẽ tự động chấp nhận
phần mềm. Nếu không đúng, hệ thống sẽ cảnh báo người dùng.
Do đó, một khi không nhận được cảnh báo, người dùng sẽ luôn được đảm bảo rằng
họ đã nhận được một sản phẩm đáng tin cậy, và nguyên vẹn từ nhà sản xuất.
2.4 User Authentication
Dịch vụ User Authentication Chứng thực người dùng truy cập vào website của tổ
chức nhằm ngăn ngừa những hoạt động lừa đảo. Symantec cung cấp hai loại dịch
vụ chứng thực người dùng chính:
- Validation & ID Protection (VIP) - Dịch vụ chứng thực và bảo vệ ID
Dịch vụ cung cấp các mã an toàn để xác thực ID và Password của người dùng, dịch
vụ này sử dụng One – time – password (OTP) đảm bảo tính an toàn và sử dụng dữ
liệu đám mây để tiết kiệm chi phí cho khách hàng sử dụng.
- Managed Public Key Infrustructure Service (PKI) – Dịch vụ hạ tầng khóa
công khai
Symantec cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi
thông tin. Cơ chế này cho phép gán cho mỗi người sử dụng một cặp khóa công
khai/ bí mật để mã hóa thông tin. Symantec sử dụng dữ liệu đám mây cho Server.