GlobalSign Root R3 phục vụ mTLS

Chứng chỉ số chuyên dụng cho cơ chế xác thực hai chiều/ xác thực máy khách

Định danh tin cậy cho hệ thống tài chính, ngân hàng và doanh nghiệp.

Bối cảnh

Trong nhiều năm qua, các chứng chỉ SSL/TLS công khai (Public SSL Certificate) thường được sử dụng đồng thời cho hai mục đích:

  • Xác thực máy chủ (Server Authentication)
  • Xác thực máy khách (Client Authentication)

Mô hình này giúp doanh nghiệp dễ dàng triển khai Mutual TLS (mTLS) cho các hệ thống nội bộ, API và kết nối giữa các ứng dụng.

Tuy nhiên, theo lộ trình mới của các chương trình quản lý Root Certificate (Chrome Root Program, Mozilla Root Program…) và CA/Browser Forum, các chứng chỉ SSL/TLS công khai sẽ không còn hỗ trợ Client Authentication EKU.

Điều này đồng nghĩa với việc doanh nghiệp cần chuyển sang sử dụng các chứng chỉ được thiết kế riêng cho mục đích Client Authentication. Trong các mô hình Zero Trust hiện đại, số lượng Machine Identity thường nhiều gấp hàng chục lần số lượng người dùng.

Việc tách riêng hệ thống chứng chỉ phục vụ Client Authentication giúp doanh nghiệp:

✓ Phân tách rõ Website Identity và Enterprise Identity

✓ Xây dựng chính sách cấp phát riêng cho người dùng và thiết bị

✓ Quản lý vòng đời chứng chỉ dễ dàng hơn

✓ Phù hợp với kiến trúc Zero Trust

✓ Chuẩn bị cho xu hướng phát triển của Web PKI trong tương lai

Một Root CA chuyên dụng không làm cho thuật toán mã hóa mạnh hơn. Giá trị của nó nằm ở việc phân tách ranh giới tin cậy (Trust Boundary), tăng cường khả năng quản trị (Governance) và kiểm soát vòng đời chứng chỉ (Certificate Lifecycle).

GlobalSign Root R3 phục vụ mTLS

GlobalSign R3 PKI là một PKI chuyên dùng nhằm đáp ứng định hướng của Chính sách của chương trình Chrome Root (Chrome Root Program Policy) theo đó từ 27/07/2026 các WebPKI Root (các public TLS certificate) không còn được sử dụng cho cơ chế xác thực hai chiều (mTLS – Client Authentication). Khác với các chứng chỉ SSL/TLS công khai, GlobalSign R3 for mTLS tập trung vào việc xây dựng định danh số cho:

  • Người dùng
  • Thiết bị
  • Máy chủ nội bộ
  • API
  • Workload
  • Ứng dụng

Các chứng chỉ này không hướng tới mục tiêu xác thực Website HTTPS trên Internet mà phục vụ các môi trường doanh nghiệp và hệ thống nội bộ.

Vì sao lựa chọn GlobalSign R3 for mTLS?

Chuyên biệt cho Client Authentication

Được thiết kế để phục vụ xác thực người dùng, thiết bị và ứng dụng thay vì Website công cộng.

Phân tách môi trường quản trị

Cho phép doanh nghiệp quản lý riêng hệ thống chứng chỉ phục vụ mTLS và hệ thống chứng chỉ Website.

Sẵn sàng cho Zero Trust

Đáp ứng nhu cầu định danh số cho Machine Identity trong các mô hình bảo mật hiện đại.

Đồng hành cùng xu hướng Web PKI

Phù hợp với định hướng loại bỏ Client Authentication khỏi các chứng chỉ SSL/TLS công khai.

So sánh nhanh

Tiêu chí

SSL/TLS Public

GlobalSign R3 for mTLS

Website HTTPS

Không khuyến nghị

Client Authentication

✖ (theo lộ trình mới)

Mutual TLS

Device Identity

API Authentication

✔ (giới hạn)

Zero Trust

Hạn chế

Machine Identity

Hạn chế

 

Về Bluebits

Bluebits là đối tác Golden Partner của GlobalSign tại Việt Nam với hơn 18 năm kinh nghiệm triển khai các giải pháp PKI và Certificate Lifecycle Management.

Chúng tôi cung cấp:

  • Tư vấn kiến trúc PKI
  • Tư vấn triển khai mTLS
  • Cấp phát chứng chỉ GlobalSign R3 for mTLS
  • Tích hợp với hệ thống hiện hữu
  • Triển khai Certificate Lifecycle Management (CLM)
  • Hỗ trợ vận hành và đào tạo

Chia sẻ trên: