แฮกเกอร์สร้างใบรับรอง SSL สำหรับโดเมนของกูเกิลได้สำเร็จ, ทุกเว็บของกูเกิลเสี่ยงต่อการถูกดักฟัง

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog on 30/08/11 9:22 Tags:
Google

แฮกเกอร์สามารถขอใบรับรอง SSL จากผู้ให้บริการรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ให้กับโดเมน *.google.com เป็นผลสำเร็จ ทำให้แฮกเกอร์ที่ถือใบรับรองนี้สามารถปลอมตัวเป็นกูเกิลและดักฟังหรือดัดแปลงข้อมูลได้โดยเบราเซอร์ไม่มีคำเตือนใดๆ

ยังไม่มีข้อมูลจากทาง DigiNator ว่าการออกใบรับรองอย่างไม่ถูกต้องนี้เป็นความผิดพลาดของการยืนยันเจ้าของโดเมน หรือแฮกเกอร์แฮกเอาจากระบบออกใบรับรองโดยตรง รวมถึงไม่มีการยืนยันว่ามีโดเมนอื่นๆ ที่ถูกปลอมใบรับรองแบบเดียวกันหรือไม่

ใบรับรองถูกโพสไว้ที่ Pastebin.com และภายในไม่กี่วันนี้ระบบปฎิบัติการต่างๆ น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ ดังนั้นควรรีบอัพเดตเพื่อความปลอดภัย

ที่มา - Computer World

Comments

By: manaeeee
manaeeee's blog
on 30/08/11 9:41 #327800 toggle
manaeeee's picture

น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ <<< น่าจะเป็น เพื่อ หรือเปล่าอ่ะครับ

คนขี้ใจลอย คนคอยขี้แตก

By: e.p.
ContributorAndroid
e.p.'s blog
on 30/08/11 9:41 #327801 toggle
e.p.'s picture

ผู้ใดครอบครอง CA ผู้นั้นครอบครองโลก

By: manaeeee
manaeeee's blog
on 30/08/11 9:46 #327802 Reply to:327801 toggle
manaeeee's picture

ca คืออะไรเหรอครับ ?

คนขี้ใจลอย คนคอยขี้แตก

By: bongikairu
ContributorUbuntu
bongikairu's blog
on 30/08/11 9:56 #327808 Reply to:327802 toggle
bongikairu's picture

CA ย่อมาจาก Certificate Authority ครับ แปลแบบเข้าใจง่ายๆ ก็คือเป็นผู้ที่สามารถออกใบรับรองได้ครับ

Gear's Edge the Blog

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 30/08/11 16:51 #327991 Reply to:327801 toggle
lew's picture

Revoke ให้หมด แล้วกด accept ทีละอันแบบ SSH

LewCPE's Google+

By: e.p.
ContributorAndroid
e.p.'s blog
on 30/08/11 17:22 #328002 Reply to:327991 toggle
e.p.'s picture

แล้วก็ accept cer ปลอมไปตั้งแต่เข้าเว็บวันแรก

วันถัดมาเข้าเว็บจริงก็โวยวาย เฮ้ย! cer มันเปลี่ยน! :D

By: EThaiZone
ContributorSymbian
EThaiZone's blog
on 01/09/11 17:10 #328688 Reply to:328002 toggle
EThaiZone's picture

555+ สมัยนี้แยกยากจนต้องหาทางตรวจ IP

By: toeykung
Red HatSUSEWindows
toeykung's blog
on 30/08/11 9:57 #327809 toggle
toeykung's picture

Cert SSL และ CA ของ Hotmail จะมีโอกาสโดนใหมละเนี่ย

Linux Professional (RHCE)

http://www.pantipmarket.com/mall/linuxexpert/

By: GuBaRaK
iPhoneUbuntuWindows
GuBaRaK's blog
on 30/08/11 10:21 #327833 Reply to:327809 toggle
GuBaRaK's picture

เจ้านั้นคงยากนิดนึงครับ เป็นของ Verisign Class 3 ซะด้วย โหดใช่ย่อยครับ:)

Blog ส่วนตัว เล่าเรื่องในชีวิตครับ.

By: viroth
ContributorRed HatSUSEUbuntu
viroth's blog
on 30/08/11 11:00 #327868 Reply to:327833 toggle
viroth's picture

โหดกว่า High Class อีกนะครับนั่น :D

By: kswisit
AndroidIn Love
kswisit's blog
on 30/08/11 11:26 #327883 Reply to:327868 toggle
kswisit's picture

จุติใหม่เลยสินะ xD

By: LuvStry
ContributorAndroid
LuvStry's blog
on 30/08/11 12:47 #327908 Reply to:327868 toggle
LuvStry's picture

ตอนแรกนึกว่าวิชาการ อ่าน reply บน ^ เงิบเลย

Blognone = 138.1 news/w เยอะมากๆ

By: iake
AndroidUbuntu
iake's blog
on 30/08/11 11:57 #327900 toggle
iake's picture

ลองลบ DigiNator แล้วลบไม่ได้แฮะ รออัพเดท

By: kezuke
AndroidBlackberryWindows
kezuke's blog
on 30/08/11 13:34 #327929 toggle
kezuke's picture

เราจะสังเกตได้ไงอ่ะครับ ว่าใช้ CA เจ้าไหนอยู่

ไม่มีอะไรในกอไผ่นอกจาก...หน่อไม้ | @kezuke | Facebook

By: dafty
iPhoneUbuntuWindowsIn Love
dafty's blog
on 30/08/11 15:44 #327968 Reply to:327929 toggle
dafty's picture

Address Bar มีบอก?

By: Perl
ContributorUbuntu
Perl's blog
on 30/08/11 13:38 #327930 toggle
Perl's picture

ทำไมผู้ให้บริการ CA บางเจ้าทำงานชุ่ยแบบนี้ ?

ยังให้บริการอยู่ได้ยังไง.. ?

ecution.style

By: tekkasit
ContributorAndroidWindowsIn Love
tekkasit's blog
on 30/08/11 17:39 #328006 Reply to:327930 toggle
tekkasit's picture

น่าจะเพราะมันถูกอ่ะ ก็เจ้าดังๆมันแพงกว่าสองสามเท่าอ่ะ

By: mednoon
mednoon's blog
on 30/08/11 14:00 #327939 toggle
mednoon's picture

ซวย

By: narasak
iPhoneAndroidUbuntu
narasak's blog
on 30/08/11 17:44 #328009 toggle
narasak's picture

น่าจะฟ้อง CA ห่วยๆ ให้ล้มละลายไปเลย

By: lancaster
ContributoriPhoneAndroidWindows
lancaster's blog
on 30/08/11 22:06 #328070 toggle
lancaster's picture

สำหรับคนที่อยากป้องกันตัวเองก่อนที่อัพเดทจะมา ให้เซฟ certificate จาก pastebin มาเก็บไว้ แล้ว

Firefox: ไปที่ Options > Advanced > Encryption > View Certificates > Import เสร็จแล้วเลือกอันที่เราพึ่ง Import เข้ามา (ขึ้นด้วย DigiNotar *.google.com) กด Edit Trust แล้วเลือก Do Not Trust

IE/Chrome: Control Panel > Internet Options > Content > Certificates > Untrusted Publishers > Import > เลือก