Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (intermediate CA) จาก Symantec
ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025
Blue Coat ระบุว่าใบรับรองนี้ออกมาเพื่อการทดสอบภายในเท่านั้น และกระบวนการออกใบรับรองครั้งนี้ทาง Symantec ก็เป็นผู้ถือกุญแจลับของใบรับรองโดยไม่เคยส่งมอบกุญแจลับให้กับ Blue Coat แต่อย่างใด
สิทธิ์การเป็นหน่วยงานออกใบรับรองเป็นสิทธิ์ที่มีอำนาจสูงมาก เมื่อ root CA ออกใบรับรองให้ intermediate CA ใดๆ แล้ว หน่วยงานนั้นๆ จะสามารถออกใบรับรองเว็บใดๆ ก็ได้ เมื่อเดือนมีนาคมปีที่แล้ว CNNIC ซึ่งเป็น root CA ของจีนเคยออกใบรับรองแบบนี้ให้กับ MCS Holdings ในอียิปต์ และการมีการนำไปใช้ดักฟังอินเทอร์เน็ตรวมถึงเว็บเข้ารหัสหลายเว็บ ฝั่งเบราว์เซอร์เช่น Chrome และ Mozilla ถึงกับแบน CNNIC ไม่ให้เป็น root CA อีกต่อไป
ใบรับรองเปิดเผยตามกระบวนการ Certification Transparency ถ้าใครยังไม่สบายใจก็นำใบรับรองนี้ไปแบนไว้ก่อนได้
ที่มา - The Register
Comments
อีกแล้วนะ Symantec
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ย่อหน้าที่ 4
สระอิเกินครับ
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
อยากให้โดนแบนยก CA แล้วพวกเว็บธนาคารก็จะออกมาบีบคอ Symantec เอง
symantec ไม่โดนแบนซะที
they didn't do anything wrong this time. there is no rule to exclude a security company from requesting to be a CA.
lewcpe.com, @wasonliw
ไม่ใช่ "Intermediate CA" หรอครับ
ผมเมาเองครับ - -"
ขอบคุณครับ
lewcpe.com, @wasonliw