Tags:
Node Thumbnail

โครงการใบรับรองดิจิตอลฟรี Let's Encrypt เพิ่งเปิดให้บริการต่อสาธารณะไม่กี่วัน กลุ่มอำนาจเก่าผู้เสียผลประโยชน์ อย่าง GoDaddy และ Namecheap ก็ออกมาเคลื่อนไหว

ฝั่ง Namecheap นั้นออกมาเขียนบล็อกโจมตี ระบุข้อเสียของใบรับรองดิจิตอลฟรี ระบุว่าใบรับรองฟรีนั้นเพียงแค่เพิ่มการเข้ารหัสท่านั้น และไม่ได้ตรวจสอบผู้รับใบรับรองก่อนที่จะมอบใบรับรอง (ซึ่งไม่จริง เพราะ Let's Encrypt นั้นตรวจสอบผู้ถือครองโดเมน)

ขณะที่ GoDaddy ก็ออกหน้าเปรียบเทียบใบรับรอง และระบุว่าการทำเว็บเพื่อการค้านั้นต้องใช้ใบรับรองแบบ Extended Validation เท่านั้น

ความเคลื่อนไหวของทั้งสองบริษัทถูกวิจารณ์อย่างหนักว่าเป็นการกล่าวอ้างเกินจริง แม้ว่าการยืนยันตัวตนแบบ Domain Validation จะทำได้จำกัด แต่ก็เป็นการยืนยันเท่าๆ กันทั้งอุตสาหกรรม ไม่ว่าใบรับรองจะเสียเงินมาหรือไม่ ภายหลังทั้งสองบริษัทยอมถอดข้อความเหล่านั้นออก ทาง Namecheap แก้ไขบล็อกเพื่อเน้นกระบวนการซัพพอร์ต ขณะที่ GoDaddy ถอดหน้าเปรียบเทียบแล้ว redirect กลับไปยังหน้าแรกของเว็บ

ที่มา - TechCrunch

Get latest news from Blognone

Comments

By: SomeThing
Windows
on 14 December 2015 - 13:50 #868175

เคสนี้ผมเห็นด้วยกับ Namecheap นะครับ มีประโยชน์แค่เข้ารหัสแต่ไม่มีประโยชน์ในเรื่องการยืนยันที่มา

ตัวอย่างผลกระทบ (เว็บฟิชชิ่ง)
https://videossx-tamekiastonesifer2763-1.c9users.io/pc

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 December 2015 - 14:00 #868179 Reply to:868175
lew's picture

ข้อที่ namecheap โดนด่าคือ DV (domain validation) อื่นๆ ไม่ว่าจะเสียเงินหรือไม่ ก็โดนเว็บ phishing ได้เหมือนกันครับ การวิจารณ์แบบนี้จึงเป็นการวิจารณ์ไม่สมเหตุสมผล

ทุกวันนี้ผู้ให้บริการออกใบรับรองจำนวนมากก็ออกใบรับรองฟรีในระยะเวลาสั้นๆ ต่างกันแค่ว่าไม่ต่ออายุใบรับรองในโดเมนเดิมให้


lewcpe.com, @public_lewcpe

By: SomeThing
Windows
on 14 December 2015 - 14:20 #868193 Reply to:868179

อ่อ จริงด้วย ผมวิจารณ์ผิดจุดเอง แต่ประเด็นที่ผมจะสื่อ คือ การขอใบรับรองที่ง่ายเกินไปและให้ระยะเวลานานเกินไปหรือเปล่าสำหรับ Free SSL (เห็นบางเจ้าเสนอให้ถึง 3 เดือน) อย่างน้อยๆ ถ้ามีการเสียเงินเกิดปัญหาอะไรขึ้นมายังตรวจสอบเส้นทางการเงินได้ ผมแค่เป็นห่วงตรงนี้เท่านั้น เพราะต้องยอมรับว่าคนไม่น้อยตรวจสอบแค่ว่าขึ้นสีเขียวก็ถือว่าปลอดภัยแล้ว

By: lew
FounderJusci's WriterMEconomicsAndroid
on 14 December 2015 - 14:42 #868206 Reply to:868193
lew's picture

ซึ่งบริษัทที่ขายแบบเสียเงินก็มีให้ทดลองใช้งานฟรี (ซึ่งตรวจสอบเส้นทางการเงินไม่ได้) อยู่ดีครับ ที่ผ่านมาอาชญากรไม่ใช้เพราะแค่ยังไม่ใช้

ความเปลี่ยนแปลงตอนนี้คือมีช่องทางฟรีต่อเนื่อง ผมยังไม่เห็นแนวทางที่อาชญากรจะสามารถใช้ประโยชน์จากใช้ใบรับรองเข้ารหัสเว็บ "ในระยะยาว" นะครับ


lewcpe.com, @public_lewcpe

By: cmmadnat
iPhoneUbuntuWindows
on 14 December 2015 - 14:06 #868181

โหลดมาลองเล่นอยู่ๆ Let's Encrypt ว่าจะใช้ได้แบบไม่โดน warning รึเปล่า

By: panurat2000
ContributorSymbianUbuntuIn Love
on 14 December 2015 - 14:38 #868203
panurat2000's picture

ถูกวิจารณ์อย่างหนักกว่าเป็นการกล่าวอ้างเกินจริง

อย่างหนักกว่า => อย่างหนักว่า

By: terap
Windows PhoneAndroidRed HatUbuntu
on 14 December 2015 - 16:53 #868255 Reply to:868203
terap's picture

การเข้ารหัสท่านั้น => การเข้ารหัสเท่านั้น

By: Top
iPhoneAndroidRed HatWindows
on 14 December 2015 - 15:41 #868238

พอดีไม่ได้อยู่ในสายนี้

ใครพอจะทราบไหมครับว่า ณ จุดนี้ cer แบบเสียเงิน ดีกว่า ของฟรี อย่าง let's encrypt อย่างไร

By: Architec
ContributorWindows PhoneAndroidWindows
on 14 December 2015 - 15:58 #868245 Reply to:868238

มี Insurance ครับ ตามราคาและวงเงินที่จะได้รับ(ไม่เคยเคลมเลยไม่รู้ว่าทำยังไง)

จะว่าไปผมก็คิดเหมือนกับสองเจ้านี้ แต่พอมานึกถึง Free SSL ของ CloudFlare เอิ่ม...นะ

อ่านต่อ : Phishers using CloudFlare for SSL

By: level255
Windows
on 15 December 2015 - 13:30 #868450
level255's picture

Godaddy นี่เอ่ยชื่อทีไร เห็นภาพเจ้าของมันยิงช้างทุกที

ไม่เคยอุดหนุนเลย