กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์, รับรองโดย root CA ของจีน

By: lew
FounderJusci's WriterMEconomicsAndroid
on 24 March 2015 - 08:18 Tags:
Topics: 
Security
China
SSL
Egypt
TLS
HTTPS
Digital Certificate
Node Thumbnail

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

MCS Holdings เป็นหน่วยงานรับรองที่ได้รับรองจาก CNNIC หน่วยงานออกใบรับรองระดับ root CA และดูแลระบบโดเมนของจีน ทาง MCS Holdings ได้ติดตั้งพรอกซี่ดักฟัง (แบบเดียวกับ mitmproxy) โดยใช้ CA ที่ได้รับการรับรองจาก root CA แทนที่จะใช้ CA ที่สร้างขึ้นใหม่แล้วติดตั้งเฉพาะเครื่องในหน่วยงานเท่านั้น ทำให้เครื่องลูกข่ายที่ถูกดักฟังด้วยพรอกซี่ไม่จำเป็นต้องติดตั้ง CA ใหม่ลงในเครื่อง แนวทางนี้ขัดต่อหลักการดำเนินการของ CA และแสดงให้เห็นว่า CNNIC ออกใบรับรองให้กับหน่วยงานที่ไม่ยึดตามแนวทางที่ถูกต้อง

อย่างไรก็ดีคาดว่า MCS Holdings ใช้ใบรับรองเหล่านี้ในเครือข่ายของตัวเองเท่านั้น และใบรับรอง CA ที่ CNNIC ออกให้กับ MCS Holdings มีอายุเพียงสองสัปดาห์ จะหมดอายุในวันที่ 3 เมษายนนี้พร้อมกับระบุว่าเป็นใบรับรองทดสอบ

ใครรับได้กับความปลอดภัยแบบไหนคงแล้วแต่ความเสี่ยงของแต่ละคน แต่ตัวผมเองคงถอด root CA ของ CNNIC ออกจากเครื่องไปก่อน

ที่มา - ArsTechnica, Google Online Security

alt="upic.me"

Get latest news from Blognone

Comments

By: wichate
Android
on 24 March 2015 - 08:31 #802000

สมัยนี้ SSL ไม่ปลอดภัยอีกต่อไปแล้วซินะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 24 March 2015 - 08:40 #802006 Reply to:802000
lew's picture

ผมว่าการอ้างแบบนี้มองข้ามข้อเท็จจริงไปเยอะครับ มองง่ายๆ แค่ว่าเขียวๆ แล้วปลอดภัยแบบนั้นก็คงพูดแบบนั้นได้ ซึ่งก็พูดแบบเดียวกันได้กับระบบรับรองใดๆ ในโลก ไม่ว่าบัตรประชาชน ใบขับขี่ หรือพาสปอร์ต

ในความเป็นจริงระบบ CA ไม่เคยอ้างตัวเองว่าปลอดภัยสมบูรณ์ มันถูกออกแบบเผื่อให้มีการออกใบรับรองผิดได้ตั้งแต่แรก และมีกระบวนการแก้ไขว่าถ้าผิดแล้วจะต้องทำอย่างไร ทุกวันนี้เองกระบวนการแก้ไขก็มีการปรับปรุงให้เร็วขึ้นเรื่อยๆ

ในสมัยที่ Diginotar ออกใบรับรองผิด ใช้เวลาหลายสัปดาห์กว่าจะรู้เป็นวงกว้างเพราะเบราว์เซอร์ที่ล็อก CA ยังมีเฉพาะ Chrome แถมล็อกเฉพาะโดเมนของกูเกิล สมัยนี้การล็อกโดเมนยอดนิยมเป็นเรื่องปกติ และล็อกทั้ง Firefox และ Chrome ส่วนแบ่งรวมเกิน 50% การออกใบรับรองมั่วแบบเดิิมๆ จะถูกพบแลป้องกันปัญหาในเวลาสั้นกว่าเดิม และมีคนได้รับผลกระทบจริงๆ เป็นสัดส่วนต่อผู้ใช้ทั้งหมดน้อยกว่าเดิมมาก

ถ้าบอกว่าสมัยนี้ไม่ปลอดภัยอีกต่อไป คงต้องบอกด้วยว่าสมัยเดิมก็ไม่เคยปลอดภัย และเคยไม่ปลอดภัยหนักกว่านี้

lewcpe.com, @wasonliw

By: jaideejung007
ContributorWindows PhoneWindows
on 24 March 2015 - 12:38 #802065 Reply to:802006
jaideejung007's picture

+1

By: tanersirakorn
ContributorAndroidUbuntuIn Love
on 24 March 2015 - 08:59 #802012
tanersirakorn's picture

อยากรู้ว่า MCS Holdings/CNNIC จะโดนสั่งถอด CA เป็น Untrusted แบบกรณี DigiNotar ไหม

Blog | Twitter

By: panurat2000
ContributorSymbianUbuntuIn Love
on 24 March 2015 - 10:54 #802040
panurat2000's picture

แต่ตัวผมเองคงถอด root CA ของ CNNIC ออกจากเครื่องไปก่อ

ไปก่อ => ไปก่อน

By: aomnaruk
ContributorAndroidUbuntuWindows
on 24 March 2015 - 16:55 #802108

โชคดีประเทศไทยยังไม่มีใครเป็น Root CA

"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.