Google Tăng cường Bảo mật cho Chrome với Yêu cầu HTTPS Mới và Mang Tiện ích Mở rộng Kiểu Desktop đến Android

BigGo Editorial Team
Google Tăng cường Bảo mật cho Chrome với Yêu cầu HTTPS Mới và Mang Tiện ích Mở rộng Kiểu Desktop đến Android

Google đang có những bước tiến đáng kể trong việc nâng cao hệ sinh thái trình duyệt Chrome thông qua hai sáng kiến song song: củng cố giao thức bảo mật web và mở rộng chức năng trên nền tảng di động. Với vị thế là trình duyệt thống trị chiếm hơn 66% thị phần toàn cầu, sự phát triển của Chrome có những ảnh hưởng sâu rộng đến tiêu chuẩn bảo mật internet và trải nghiệm người dùng trên các thiết bị.

Vị thế thị trường của Chrome

  • Thị phần toàn cầu: Hơn 66%
  • Trọng tâm bảo mật chính: Kết nối TLS cho phép các giao thức HTTPS
  • Các dự án linting mã nguồn mở: certlint, pkilint, x509lint, zlint

Tiêu chuẩn Bảo mật Mới của Chrome Định hình lại Mã hóa HTTPS

Google đã giới thiệu hai cải tiến bảo mật quan trọng cho Chương trình Root của Chrome, thể hiện cam kết của công ty trong việc tăng cường cơ sở hạ tầng bảo mật trực tuyến. Sáng kiến đầu tiên, Xác minh Phát hành Đa góc nhìn (Multi-Perspective Issuance Corroboration - MPIC), giải quyết các lỗ hổng trong quy trình xác thực kiểm soát tên miền truyền thống được sử dụng bởi các Cơ quan Chứng nhận (Certificate Authorities - CAs) khi cấp chứng chỉ TLS cho kết nối HTTPS. MPIC bổ sung các góc nhìn xác minh bổ sung để ngăn chặn việc cấp chứng chỉ gian lận, một cải tiến quan trọng trong thời đại các cuộc tấn công mạng ngày càng tinh vi.

Diễn đàn CA/Browser, một tổ chức tiêu chuẩn liên ngành, đã nhất trí thông qua MPIC như một yêu cầu bắt buộc cho tất cả các Cơ quan Chứng nhận. Sự ủng hộ này nhấn mạnh tầm quan trọng của các đổi mới bảo mật của Google và tiềm năng định hình lại các thông lệ trong ngành. Google cũng đã nhấn mạnh dự án Open MPIC như một triển khai mạnh mẽ của phương pháp xác thực mới này, cung cấp một lộ trình thực tế cho việc áp dụng.

Certificate Linting Tạo Lớp Bảo mật Bổ sung

Bổ sung cho MPIC, Google đã giới thiệu một quy trình kiểm tra tự động được gọi là linting cho chứng chỉ X.509. Công nghệ này phân tích các chứng chỉ để tìm ra các vấn đề định dạng tiềm ẩn và xác định những chứng chỉ dựa trên công nghệ mã hóa yếu hoặc lỗi thời. Linting đóng vai trò như một cơ chế kiểm soát chất lượng, đảm bảo các chứng chỉ được cấu trúc đúng cách cho mục đích sử dụng, chẳng hạn như xác thực trang web.

Quy trình linting có thể được triển khai thông qua các dự án mã nguồn mở khác nhau bao gồm certlint, pkilint, x509lint và zlint. Giống như MPIC, linting đã nhận được sự ủng hộ nhất trí từ Diễn đàn CA/Browser và sẽ trở thành yêu cầu cho các chứng chỉ công khai mới được cấp bởi các CA bắt đầu từ ngày 15 tháng 3 năm 2025. Những biện pháp bảo mật kết hợp này đại diện cho một bước tiến đáng kể trong việc bảo vệ các kết nối TLS - nền tảng của bảo mật web hiện đại.

Dòng thời gian các Sáng kiến Bảo mật Chrome

  • MPIC (Multi-Perspective Issuance Corroboration): Được thông qua đồng thuận bởi Diễn đàn CA/Browser
  • Yêu cầu Linting: Trở thành bắt buộc cho các chứng chỉ công khai mới vào ngày 15 tháng 3 năm 2025
  • Các tiện ích mở rộng được hỗ trợ trong bản dựng thử nghiệm: Dark Reader, Keepa, uBlock Origin

Tiện ích Mở rộng Chrome Kiểu Desktop Sắp Đến với Android

Trong một phát triển riêng biệt nhưng cũng quan trọng không kém, Google đang phát triển phiên bản Chrome kiểu desktop cho Android, cuối cùng cũng mang hỗ trợ tiện ích mở rộng đến nền tảng di động. Tính năng này từ lâu đã vắng mặt trên Chrome di động mặc dù đã có sẵn trên các trình duyệt cạnh tranh như Firefox và Microsoft Edge.

Triển khai mới này chủ yếu được thiết kế cho các thiết bị Android lớn hơn như Chromebook, đại diện cho một bước đi chiến lược nhằm thu hẹp khoảng cách giữa trải nghiệm duyệt web trên di động và máy tính để bàn. Sự phát triển này càng trở nên quan trọng khi Chrome OS đang chuyển ra khỏi thị trường, tạo ra nhu cầu về các giải pháp thay thế mạnh mẽ.

Phiên bản kiểu máy tính để bàn mới của Google Chrome cho Android nhằm mang tính năng hỗ trợ tiện ích mở rộng đến các nền tảng di động
Phiên bản kiểu máy tính để bàn mới của Google Chrome cho Android nhằm mang tính năng hỗ trợ tiện ích mở rộng đến các nền tảng di động

Hạn chế Hiện tại của Tiện ích Mở rộng trên Android

Mặc dù tiến triển này đầy hứa hẹn, hỗ trợ tiện ích mở rộng trên Chrome Android vẫn đang ở giai đoạn phát triển ban đầu với một số hạn chế. Người dùng phải cài đặt tiện ích mở rộng theo cách thủ công bằng cách kéo và thả các tệp .crx vào trang chrome://extensions, vì hiện tại không có tương đương Chrome Web Store cho Android. Ngoài ra, hệ thống còn thiếu một cách dễ dàng để quản lý các tiện ích mở rộng hoặc bật/tắt chúng thông qua các nút trên thanh công cụ.

Mặc dù có những thiếu sót hiện tại này, những người thử nghiệm sớm đã thành công trong việc triển khai các tiện ích mở rộng phổ biến như Dark Reader, Keepa và uBlock Origin, chứng minh rằng chức năng này hoạt động về nguyên tắc. Tuy nhiên, Google dường như đang tập trung chủ yếu vào việc làm cho các tiện ích mở rộng hoạt động thay vì hoàn thiện trải nghiệm người dùng ở giai đoạn này.

Triển vọng Tương lai

Sự tập trung kép của Google vào bảo mật và chức năng minh họa cách tiếp cận toàn diện của công ty đối với việc phát triển trình duyệt. Các cải tiến bảo mật thông qua MPIC và linting có khả năng thiết lập các tiêu chuẩn công nghiệp mới cho mã hóa HTTPS, trong khi hỗ trợ tiện ích mở rộng cho Chrome Android có thể nâng cao đáng kể trải nghiệm duyệt web di động cho người dùng có thiết bị lớn hơn.

Đáng chú ý là Google đã cố tình tránh thêm hỗ trợ tiện ích mở rộng cho Chrome trên điện thoại Android thông thường trong quá khứ, cho thấy tính năng này có thể vẫn chỉ dành riêng cho các thiết bị có màn hình lớn hơn. Tuy nhiên, những phát triển này đại diện cho tiến bộ đáng kể trong cả việc bảo mật hệ sinh thái web và mở rộng khả năng trình duyệt trên các nền tảng khác nhau.