Tags:
Node Thumbnail

ไมโครซอฟท์และมอสซิลล่าประกาศยกเลิกใบรับรองของ MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ที่ได้รับการรับรองจาก CNNIC ของจีน เพื่อป้องกันความเสียหายจากการดักฟังเว็บของกูเกิลหลายโดเมน ที่ MCS Holdings ออกใบรับรองโดยไม่ถูกต้อง

จนตอนนี้ยืนยันใบรับรองที่ไม่ถูกต้องนี้ ได้ 7 โดเมนแล้ว ได้แก่ *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com, และ *.googleapis.com โดยได้รับการรับรองจากใบรับรองที่มีค่า Thumbprint เป็น "e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76"

หลังประกาศเรื่องนี้ผู้ใช้จำนวนมากก็คอมเมนต์ในประกาศของมอสซิลล่า เรียกร้องให้ถอด CNNIC ที่ดำเนินการโดยรัฐบาลจีนออกจากฐานข้อมูลหน่วยงานรับรองที่เชื่อถือได้

CNNIC ร้องขอให้มอสซิลล่ารับใบรับรองของตัวเองเข้าไว้ในฐานข้อมูลตั้งแต่ปี 2009 และทำสำเร็จในปี 2010 แม้ว่าชุมชนจะประท้วงกันพอสมควรในตอนนั้น แต่ทางมอซซิลล่าก็ยืนยันจะเพิ่ม CNNIC เข้าในฐานข้อมูลเพราะทำตามเงื่อนไขในเอกสารได้ครบถ้วน เมื่อตอนนี้มีการปล่อยให้หน่วยงานรับรองระหว่างกลางดักฟังอีกการประท้วงจึงเริ่มอีกครั้ง

ทุกวันนี้มีใบรับรอง root CA จากจีนอยู่ในฐานข้อมูลทั่วโลกสองใบคือ CNNIC ROOT, China Internet Network Information Center จากหน่วยงานเดียวกัน ใบรับรองทั้งสองใบสามารถรับรองหน่วยงานใดๆ ก็ได้ในโลกให้สร้างพรอกซี่เพื่อดักฟังแบบเดียวกับ MCS Holdings โดยไม่ต้องติดตั้งใบรับรองลงในเครื่องผู้ใช้เหมือนการสร้างพรอกซี่เพื่อตรวจสอบการใช้งานในองค์กรทั่วไป

ถ้าใครอยากถอดใบรับรอง root CA ออกจากระบบ

  • โครม: เข้าหน้า Settings -> Manage Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit แล้วติ๊กออกทุกช่อง
  • ไฟร์ฟอกซ์: Preferences -> Advanced -> View Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit Trust แล้วติ๊กออกทุกช่อง
  • แอนดรอยด์: Settings -> Security -> Trusted credentials -> แท็บ System -> เลือก CA แล้ว กด Disable

ที่มา - Microsoft, Mozilla

alt="upic.me"

alt="upic.me"

alt="upic.me"

Get latest news from Blognone

Comments

By: Mekokung
ContributorAndroidWindows
on 25 March 2015 - 23:25 #802403
Mekokung's picture

เอ่อ.... ผมขอถามอะไรโง่ๆนิดนึงนะครับ

ปัญหาแบบนี้มีผลต่อ End User ขนาดไหนครับ ? แล้วใบรับรองที่ไม่ถูกต้องนี้เป็นทุกเครื่องบนโลกที่ใช้ Chrome, Firefox, Android เลยหรือป่าวครับ ?

แล้วที่ว่าใบรับรองปลอมนี้คือปลอมเพื่อทำอะไรบ้างครับตอนนี้รู้แล้วว่ามันเอาไว้ดักฟังและมันทำอะไรอื่นๆได้อีกบ้างครับ ?


Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: jaideejung007
ContributorWindows PhoneWindows
on 26 March 2015 - 08:03 #802448 Reply to:802403
jaideejung007's picture

อย่าดูถูกตัวเองเลยครับ ทุกคนมีค่าครับ

ส่วนคำถามนั้น ผมก็อยากรู้เหมือนกัน

รอคำตอบด้วยครับ

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 26 March 2015 - 08:31 #802453 Reply to:802403

พอมีความรู้นิดหน่อยนะครับ End user มีปัญญาสูงสุดเลยครับเพราะใบรับรองปลอมคือการตั้งใจเปลี่ยนทิศผู้ใช้ให้ไปผ่านเซิร์ฟเวอร์ ตัวเองแล้วข้อมูลถูกถอดรหัสที่เซิร์ฟเวอร์ตัวนั้นหมด สรุปข้อมูลทุกอย่างไม่จะทำอะไรก็โดนดักหมด แล้วถ้าเป็นรัฐบาล(ไทย)หรือผู้ยิ่งใหญ่ขนาดตั้งเซิร์ฟเวอร์ได้ขนาดนั้น ก็ดักคีย์เวิร์ค แล้วนำไปใช้จับผู้ใช้หรือนำข้อมูลไปขาย หรือแม้กระทั้งหาวิธีปลอมตัวและแทรกซึมเป้าหมายได้ เพราะบางประเทศจะหาข้อมูลโดยวิธีมิชอบยังสามารถนำเข้าสู่ศาลได้อยู่(อย่างไทยก็เป็นการน้ำหนักความน่าเชื่อถือ?!?)

By: LazarusSP1
ContributoriPhone
on 26 March 2015 - 13:18 #802536 Reply to:802403

หลักของความปลอดภัยสารสนเทศ (ความมั่นคงสารสนเทศ) ประกอบด้วย 3 องค์ประกอบ คือ Confidentialy, Integrity, Availability
ซึ่งการปลอม CA หรือ ใบรับรองตัวตน ก็เสมือนการปลอมลายเซ็นต์ ของเครื่องคอมพิวเตอร์ในการยืนยันตัวตนครับ เป็นการโจมตีในส่วนประกอบของ Confidentialy อย่างแรง ซึ่งผลกระทบจะโดนทั้งประเทศที่มีการปล่อย CA ปลอม (ในที่นี้ สมมุติว่าเป็นการปลอมในระดับของรัฐบาลสั่ง ISP)
สมมุติว่าผมเป็นแฮกเกอร์ ที่จะขโมยข้อมูลของเป้าหมาย แทนที่จะขโมยจากเป้าหมาย ผมก็แค่ซื้อจากรัฐบาลเลย ง่ายดี ซึ่งผมก็ไม่สามารถรู้ได้เลยว่าผมไว้ใจรัฐบาลหรือหน่วยงานที่ดักฟัง (ดักรับ) ข้อมูลได้ขนาดไหน
สมมุติว่าผมทำบริษัทหนึ่งอยู่ แล้วผมต้องการทราบว่าอีกบริษัทหนึ่งทำแผนการตลาดอะไร และจะนำผลิตภัณฑ์อะไรมาวางขาย ผมก็สามารถซื้อข้อมูลมาแล้วทำผลิตภัณฑ์ตัดหน้าให้ดีกว่าและถูกกว่าได้เลย อันนี้เป็นตัวอย่างผลกระทบที่เกิดจากการถูกดักฟังข้อมูล และ คนที่ดักฟังข้อมูลทำข้อมูลรั่ว (ทั้งที่ตั้งใจ หรือไม่ตั้งใจ) สุดท้ายใครจะเป็นคนรับผิดชอบผลที่เกิดขึ้น?

By: kswisit
ContributoriPhoneAndroidIn Love
on 26 March 2015 - 08:23 #802450

Chrome บน Windows ผมหา CA ไม่เจอ มันอยู่ตรงไหนครับ? มันไม่มี tab Authorities เลย


^
^
that's just my two cents.

By: UltimaWeapon
Windows PhoneRed HatWindowsIn Love
on 26 March 2015 - 09:04 #802459 Reply to:802450
UltimaWeapon's picture

Chrome บน Windows ใช้ฐานข้อมูลของ Windows คับ ต้องไปทำใน mmc.exe