Trong thời đại “Big Data” thì các kho dữ liệu (Data Warehouse) truyền thống gặp…
Cải thiện bảo mật email trong Gmail với giao thức TLS mặc định và các tính năng mới khác
Có gì thay đổi
Gần đây, Google Security blog thống kê việc sử dụng giao thức Transport Layer Security (TLS) đã tăng lên hơn 96% tổng lưu lượng truy cập mà trình duyệt Chrome nhìn thấy trên Chrome OS. Bài đăng trên blog cũng nêu bật một mục tiêu quan trọng: bật TLS theo mặc định cho các sản phẩm và dịch vụ của Google để đảm bảo rằng TLS hoạt động tốt
Gmail đã hỗ trợ giao thức TLS, do đó, nếu kết nối thư theo Simple Mail Transfer Protocol (SMTP) đơn giản có thể được bảo mật thông qua TLS sẽ an toàn hơn. Tuy nhiên, để khuyến khích nhiều tổ chức tăng chế độ bảo mật email của họ và để tiếp tục mục tiêu trên là bật TLS theo mặc định, Google đã thực hiện các thay đổi sau:
- TKết nối TLS cho email sẽ được bật theo mặc định
- Quản trị viên hiện có thể kiểm tra cấu hình các định tuyến thư ra ngoài SMTP của họ trong bảng điều khiển Quản trị viên trước khi triển khai. Họ không còn cần phải chờ tin nhắn thông báo.
Mặc dù quản trị viên luôn có thể yêu cầu mã hóa TLS cho các tuyến thư bất kỳ lúc nào, nhưng trước đây nó đã bị tắt theo mặc định. Lưu ý rằng các tuyến thư hiện tại sẽ không bị ảnh hưởng bởi những thay đổi này.
Ai bị ảnh hưởng
Quản trị viên
Tại sao lại quan trọng
Google luôn khuyến nghị quản trị viên kích hoạt các tính năng bảo mật thư hiện có, bao gồm SPF, DKIM và DMARC, để giúp bảo vệ người dùng cuối. Google cũng khuyên các quản trị viên nên bật MTA Strict Transport Security (MTA-STS), giúp cải thiện bảo mật Gmail bằng cách yêu cầu kiểm tra xác thực và mã hóa cho email được gửi đến miền của họ. Việc bật TLS theo mặc định trên các tuyến thư SMTP mới giúp tăng cường lớp bảo mật của khách hàng đồng thời cho phép quản trị viên kiểm tra các kết nối trước khi thực thi TLS trên các tuyến hiện có giúp họ dễ dàng triển khai các chính sách bảo mật thực tiễn tốt nhất.
Thay đổi này sẽ không ảnh hưởng đến các tuyến thư đã được tạo trước đó.
Chi tiết thêm
TLS được bật mặc định trên tất cả định tuyến mail mới
Với TLS được bật theo mặc định cho các tuyến thư mới, tất cả các yêu cầu xác thực chứng chỉ cũng được bật theo mặc định. Điều này đảm bảo rằng máy chủ người nhận có chứng chỉ được cấp cho đúng máy chủ đã được ký bởi Cơ quan cấp chứng chỉ tin cậy (Certificate Authority – CA). Xem thêm chi tiết về cách chúng tôi thay đổi các yêu cầu đối với các CA đáng tin cậy bên dưới.
Quản trị viên vẫn có thể tùy chỉnh cài đặt bảo mật TLS của họ trên các tuyến thư mới được tạo. Ví dụ: nếu thư được chuyển tiếp đến máy chủ thư của bên thứ ba hoặc tại mail server đang chứng chỉ CA nội bộ, quản trị viên có thể cần phải tắt xác thực chứng chỉ CA. Không nên vô hiệu hóa xác thực chứng chỉ CA hoặc thậm chí vô hiệu hóa hoàn toàn TLS. Chúng tôi khuyến khích quản trị viên kiểm tra cấu hình TLS SMTP của họ trong Bảng điều khiển dành cho quản trị viên để xác thực kết nối TLS với các máy chủ thư của mình trước khi vô hiệu hóa mọi xác nhận được đề xuất. Xem thêm chi tiết về cách kiểm tra kết nối TLS trong Bảng điều khiển dành cho quản trị viên.
Tổ chức chứng nhận không tin tưởng vào Gmail
Trước đây, Google Security Blog đã nhấn mạnh các trường hợp Chrome không còn tin tưởng các chứng chỉ CA gốc được sử dụng để chặn lưu lượng truy cập trên internet công cộng và Chrome không tin tưởng các CA cụ thể.
Nếu các kịch bản này xảy ra trong tương lai, các chứng chỉ này cũng sẽ bị Gmail không tin tưởng. Khi điều này xảy ra, thư được gửi bằng các tuyến phải được mã hóa TLS có thực thi chứng chỉ do CA ký có thể bị trả lại nếu CA không còn đáng tin cậy. Mặc dù danh sách chứng chỉ gốc được Gmail tin cậy có thể được truy xuất từ kho lưu trữ của Google Trust Services, chúng tôi khuyến khích quản trị viên sử dụng tính năng Kiểm tra kết nối TLS trong bảng điều khiển dành cho quản trị viên để xác nhận xem chứng chỉ có bị mất lòng tin hay không.
Kiểm tra kết nối TLS trong Admin console
Quản trị viên hiện có thể sử dụng tính năng Kiểm tra kết nối TLS mới để xác minh xem liệu tuyến thư có thể thiết lập thành công kết nối TLS với xác thực đầy đủ đến bất kỳ đích nào không, chẳng hạn như máy chủ thư on-premise hoặc chuyển tiếp thư của bên thứ ba, trước khi thực thi TLS cho thư đó.
Bắt đầu
Quản trị viên
Thiết lập TLS
TLS sẽ được BẬT theo mặc định cho tất cả các tuyến thư mới. Chúng tôi khuyên các quản trị viên nên xem xét tất cả các tuyến hiện có của họ và cũng cho phép tất cả các tùy chọn bảo mật TLS được đề xuất cho các tuyến này.
Kiểm tra kết nối TLS
Quản trị viên muốn yêu cầu kết nối TLS an toàn cho email, nay đã có thể xác minh rằng kết nối đến máy chủ thư của người nhận là hợp lệ chỉ bằng cách nhấp vào nút Kiểm tra Kết nối TLS trong Bảng điều khiển dành cho quản trị viên; họ không còn cần phải đợi email bị trả lại.
Xem thêm về yêu cầu mail được định tuyến thông qua kết nối an toàn (TLS) và thêm định tuyến trong Help Center.
Người dùng cuối
- Không có thiết lập cho người dùng cuối.
Tốc độ triển khai
- Rapid and Scheduled Release: Triển khai mở rộng (có khả năng dài hơn 15 ngày để hiển thị tính năng) bắt đầu từ ngày 2 tháng 4 năm 2020
Khả dụng
- Tất cả các khách hàng G Suite (Google Worskspace)
Nguồn: Gimasys