DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้
ปัญหาของ DigiCert Sdn. Bhd คือปล่อยให้ใบรับรองที่ใช้คีย์ที่อ่อน (สามารถทำกระบวนการย้อนหาคีย์ลับได้ง่าย) และรับรองให้ใช้งานได้ การปล่อยใบรับรองเช่นนี้ออกมาทำให้ผู้โจมตีสามารถนำใบรับรองเหล่านี้ไปสร้างคีย์ลับแล้วสื่อสารเหมือนตนเองเป็นเจ้าของใบรับรองตัวจริงได้ โดยไม่มีหลักฐานว่า DigiCert Sdn. Bhd ถูกแฮ็กหรือมีการออกใบรับรองผิดแต่อย่างใด ซึ่งต่างจากกรณี DigiNotar ที่ปล่อยให้มีการออกใบรับรองกับผู้โจมตีได้จริงๆ
งานนี้ทาง Entrust ซึ่งเป็น root CA ที่ไปรับรอง DigiCert Sdn. Bhd ก็ประกาศยกเลิกการรับรองแล้ว ตามมาด้วยมอซซิลล่าและไมโครซอฟท์ ส่งผลให้ใบรับรองทั้งหมดกำลังจะใช้งานไม่ได้ ทั้ง Internet Explorer และ Firefox จะขึ้นหน้าเตือนใบรับรองผิดพลาดหากเข้าเว็บเหล่านี้ โดยส่วนมากมักเป็นเว็บของรัฐบาลมาเลเซียเองและใบรับรองภายในหน่วยงานจำนวนหนึ่ง
DigiCert Sdn. Bhd เป็นบริษัทในมาเลเซียที่ไม่มีความเกี่ยวข้องกับ DigiCert ซึ่งเป็น root CA ในสหรัฐฯ แต่อย่างใด
ที่มา - Net Security, Mozilla, Microsoft, Entrust
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ตรงย่อหน้าที่สอง ประโยคแรก "ปล่อยให้ในใบรับรอง" อ่านไม่เข้าใจครับ พยายามเดาอยู่แต่นึกไม่ออกว่าที่ถูกควรจะเป็นอะไร
"สื่อสารเหมือนตอนเอง" --> "ตนเอง"
ประโยคสุดท้าย คำว่า "เกี่ยวข้อง" ตกตัว "ง" ไปครับ
โดยส่วนตัวผมเองอ่านแล้วยังงงอยู่ว่า ถ้าทาง DigiCert Sdn. Bhd ได้ออกใบรับรองให้ถึงแม้จะใช้คีย์อ่อนก็ตาม ผู้ที่ได้ใบรับรองก็ถือว่าเป็นเจ้าของตัวจริงอยู่แล้ว ทำไมในประโยคถัดๆไปถึงบอกว่า ผู้โจมตีสามารถใช้งานได้เหมือนเป็นเจ้าของตัวจริง หรือว่าต้องการแสดงว่า การใช้คีย์ที่สามารถเดาได้ง่ายทำให้เกิดการขโมยใบรับรองโดยการเดาคีย์เหล่านี้ จากนั้นก็แอบอ้างเอาไปงานต่ออีกทอดนึงโดยที่เจ้าของตัวจริงไม่ได้รับรู้แต่อย่างใด ใช่หรือเปล่าอ่ะครับ?
เข้่าใจถูกแล้วนะครับ
มันมีใบรับรองที่ไม่ดีอยู่จำนวนหนึ่ง โดย CA นั้นมีภาระจะต้องตรวจสอบด้วยว่าใบรับรองที่ส่งเข้ามาให้ sign นั้นดีพอหรือไม่ มีข้อมูลครบถ้วน ไม่น่าถูกนำไปใช้ในทางไม่ดี
lewcpe.com, @wasonliw
เป็นอย่างนี้ก็ดีจะได้เป็นการสั่งสอนรัฐที่ไม่ค่อยเอาใจใส่เรื่องพวกนี้ พูดง่ายๆ คือคนเก่งไม่จริงไปเป็นผู้บริหารในด้านนี้ คิดแล้วเหนื่อยใจแทน