Tags:
Node Thumbnail

Ericsson พลาดปล่อยให้ใบรับรองเข้ารหัส บนซอฟต์แวร์จัดการเครือข่าย SGSN–MME (Serving GPRS Support Node – Mobility Management Entity) หมดอายุ ส่งผลให้เครือข่ายโทรศัพท์มือถือล่มพร้อมกันหลายประเทศ

แถลงของ Ericsson ไม่ได้ระบุว่าเครือข่ายใดที่ได้รับผลกระทบบ้าง แต่เครือข่ายหนึ่งที่แถลงออกมาคือ O2 ในอังกฤษ ที่เครือข่ายล่มทั้ง 3G และ 4G ไปทั้งวัน โดยความคืบหน้าล่าสุดสามารถกู้ 3G กลับมาได้แล้ว แต่ 4G ยังมีปัญหา

เมื่อวานนี้ SoftBank ในญี่ปุ่นเองก็มีปัญหาเครือข่ายล่ม แต่ไม่สามารถยืนยันได้ว่าเป็นกรณีเดียวกันหรือไม่

Tags:
Node Thumbnail

Chrome 70 มีกำหนดการออกประมาณสัปดาห์หน้า ความเปลี่ยนแปลงสำคัญคือการเริ่มบล็อคใบรับรองของ ไซแมนเทคทั้งหมด ตามกำหนดการที่ประกาศมาตั้งแต่เดือนกันยายนปีที่แล้ว อย่างไรก็ตามเว็บสำคัญจำนวนหนึ่งยังคงไม่ได้เปลี่ยนใบรับรอง

Scott Helme นักวิจัยความปลอดภัยสแกนเว็บ 1 ล้านอันดับแรกตามอันดับ Alexa พบว่าเว็บจำนวน 1,139 เว็บ หรือเพียง 0.114% ที่ยังคงใช้ใบรับรองจากไซแมนเทคและหน่วยงานออกใบรับรองในเครือ

Tags:
Node Thumbnail

แอปเปิลประกาศถอนใบรับรองที่ออกโดย Symantec ตามรูปแบบเดียวกับที่กูเกิลประกาศใน Chrome 70 (ซึ่งเริ่มปล่อยเป็น Chrome Canary แล้ว) โดยยังเหลือใบรับรองที่ออกจนถึงสิ้นปี 2017 และจะเลิกเชื่อถือทั้งหมดภายหลังโดยยังไม่ประกาศวันที่แน่นอน แต่อาจจะเร็วที่สุดภายในปีนี้

สำหรับใบรับรองที่ยังใช้งานได้ จะเหลือเฉพาะใบรับรองที่เปิดเผยข้อมูลใน CT log เอาไว้เท่านั้น

สำหรับผู้ดูแลเว็บทั่วไปที่ยังใช้งานใบรับรองของ Symantec ตอนนี้อาจจะต้องตรวจสอบว่า root CA อยู่ในรายการที่ยกเลิกหรือยัง

ที่มา - Apple Support

Tags:
Node Thumbnail

จากที่กูเกิลได้ประกาศจะถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70 มาได้เกือบหนึ่งปีแล้วนั้น ตอนนี้ Chrome 70 ก็เริ่มปล่อยรุ่นทดลองมาแล้ว โดยโค้ดสำหรับบล็อคใบรับรองที่ออกโดย Symantec รวมไปถึงแบรนด์ลูกอย่าง RapidSSL, GeoTrust และ Thawte ก็ได้เข้าสู่ Chrome Canary ในเวอร์ชั่น 70.0.3503.0 เป็นที่เรียบร้อยแล้วเมื่อสองวันที่ผ่านมา โดยข้อความแจ้งเตือนจะระบุว่าเป็น ERR_CERT_SYMANTEC_LEGACY

Tags:
Node Thumbnail

update: ล่าสุดธนาคารทหารไทยแก้ไขเปลี่ยนใบรับรองเรียบร้อยแล้ว

ผู้ที่ใช้บริการธนาคารออนไลน์ของธนาคารทหารไทยสองสามวันนี้หลายคนเจอปัญหาไม่สามารถเข้าเว็บได้ เพราะ Chrome บนวินโดวส์เริ่มแจ้งปัญหาว่าใบรับรองเข้ารหัสถูกยกเลิกไปแล้ว

Tags:
Node Thumbnail

AWS เปิดตัวฟีเจอร์ใหม่คือ Private Certificate Authority หรือ Private CA อยู่ภายใต้บริการจัดการใบรับรองหรือ AWS Certificate Manager (ACM)

แต่เดิมนั้น การรับรองส่วนตัวเพื่อใช้งานภายในกลุ่มหรือองค์กร จะต้องมีโครงสร้างพื้นฐานแบบพิเศษรวมถึงความรู้ด้านความปลอดภัย ซึ่งทำให้การจัดการและดำเนินงานมีความซับซ้อนและค่าใช้จ่ายสูง ฟีเจอร์ Private CA ของ AWS จะเข้ามาตอบโจทย์นี้ โดยระบบจะถูกรวมเข้ากับ ACM จึงทำให้ผู้ใช้สามารถจัดการใบรับรองส่วนตัวได้ง่าย และใช้โมเดลจ่ายเงินแบบ pay as you go

Tags:
Node Thumbnail

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

ข้อมูล SCT เป็นข้อมูลที่หน่วยงานออกใบรับรอง (CA) ได้รับจากเซิร์ฟเวอร์ CT เพื่อยืนยันว่าใบรับรองนี้ถูกบันทึกต่อสาธารณะแล้วจริง โดยนโยบายการบันทึกลง CT ของ Let's Encrypt จะตรงกับของ Chrome คือต้องบันทึกอย่างน้อยสองเซิร์ฟเวอร์ เป็นของกูเกิลหนึ่งแห่งและของบริษัทอื่นอีกหนึ่งแห่ง

Tags:
Node Thumbnail

Jeremy Rowley จาก DigiCert แจ้งเตือนในกลุ่ม mozilla.dev.security.policy ว่าบริษัทกำลังประกาศยกเลิก (revoke) ใบรับรองรวดเดียวจำนวน 23,000 ใบ หลังยืนยันได้ว่ากุญแจสำหรับใบรับรองเหล่านั้นหลุดออกไปยังผู้อื่นแล้วจริง

อีเมลของ Rwoley ระบุว่าใบรับรองเหล่านี้ขายผ่านบริษัทตัวแทน Trustico ที่แจ้งขอยกเลิกใบรับรองเหล่านี้มาตั้งแต่ต้นเดือนกุมภาพันธ์แต่กลับสื่อสารผิดพลาดจึงไม่เดินหน้าไปไหน โดยทาง DigiCert ขอหลักฐานว่ากุญแจรั่วไหลออกไปแล้วจริง

ภายหลังทาง DigiCert ได้รับไฟล์กุญแจลับที่ตรงกับใบรับรอง 23,000 ใบ ทำให้บริษัทเตรียมยกเลิกใบรับรองเหล่านี้ทั้งหมด อย่างไรก็ดีรายชื่อใบรับรองที่ได้รับแจ้งมา แต่ยังไม่ส่งหลักฐานนั้นมากกว่านี้ โดยรวมแล้วมีประมาณ 50,000 รายการ

Tags:
Node Thumbnail

เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ

Tags:
Node Thumbnail

กูเกิลประกาศตารางเวลาการถอด root CA ของไซแมนเทคและแบรนด์ลูกต่างๆ ออกจาก Chrome หลังมีรายงานว่า มีใบรับรองที่ออกอย่างไม่ถูกต้องกว่า 30,000 ใบ หลังจากเจรจากันอยู่หลายรอบข้อยุติคือไซแมนเทคจะต้องล้างระบบออกใบรับรองใหม่ที่ให้บริการโดยผู้ให้บริการรายอื่น และตอนนี้ไซแมนเทคก็เลือกให้ DigiCert เป็นผู้ให้บริการหลังจากประกาศขายกิจการออกใบรับรองทั้งหมดให้ DigiCert ไปด้วยเมื่อเดือนที่แล้ว

Tags:
Node Thumbnail

WoSign CA Limited ผู้ให้บริการออกใบรับรองจากจีนที่มีปัญหาการออกใบรับรองจนกระทั่งเบราว์เซอร์และระบบปฎิบัติการหลักๆ ล้วนถอนความเชื่อถือออก ประกาศเปลี่ยนชื่อเป็น WoTrus CA Limited ตั้งแต่วันที่ 24 สิงหาคมที่ผ่านมา

ชื่อภาษาจีนของ WoTrus ยังคงเดิม และเร็วๆ นี้จะสร้างเว็บ wotrus.com ขึ้นมาใหม่ ส่วนเว็บ wosign.com จะขายใบรับรองจาก sub-CA ที่สร้างขึ้นมาใหม่ภายใต้ root-CA ใหม่ แต่ได้รับความเชื่อถือจากทุกเบราว์เซอร์

ตอนนี้ยังไม่มีข้อมูลการขอให้เบราว์เซอร์เชื่อถือ root CA ใหม่จาก WoTrus แต่อย่างใด

ที่มา - WoSign

Tags:
Node Thumbnail

ไซแมนเทคประกาศขายกิจการการออกใบรับรองและความปลอดภัยเว็บให้กับ DigiCert ด้วยเงินสด 950 ล้านดอลลาร์ และหุ้นของ DigiCert อีก 30%

ธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคมีปัญหาในช่วงหลัง จากการออกใบรับรองผิดพลาดจำนวนมากจนกระทั่งผู้ผลิตเบราว์เซอร์กำหนดเส้นตายในการหยุดรับรองใบรับรองจากไซแมนเทค ล่าสุดมอซิลล่าประกาศว่าจะปรับระยะเวลาการยกเลิกรองรับใบรับรองจากไซแมคเทคให้ตรงกับโครม โดยจะเหลื่อมกันเล็กน้อยขึ้นกับช่วงเวลาที่ออกเวอร์ชั่นใหม่

ไซแมนเทคระบุว่าการขายครั้งนี้จะทำให้บริษัทมุ่งเป้าไปยังระบบความปลอดภัยสำหรับองค์กรได้ดีขึ้น

Tags:
Node Thumbnail

จากกรณีที่กูเกิลโครมเตรียมปลดสถานะ EV และหดระยะเวลาการรับรองใบรับรองดิจิตอลที่ออกโดยไซแมนเทคให้สั้นลงกว่าอายุจริงของใบรับรองเองจากสาเหตุการไม่ปฏิบัติตามมาตรฐานการออกใบรับรองของไซแมนเทคในช่วงเวลาที่ผ่านมานั้น โคโมโด (Comodo) ซึ่งเป็นผู้ให้บริการออกใบรับรองที่มีส่วนแบ่งการตลาดมากที่สุดในเวลานี้ก็ได้ออกโปรฯพิเศษสำหรับลูกค้าไซแมนเทคที่ได้รับผลกระทบจากกรณีดังกล่าว ซึ่งครอบคลุม CA ทั้ง 3 แบรนด์ภายใต้ไซแมนเทค คือ Symantec, Thawte และ GeoTrust โดยให้สิทธิ์การขอรับใบรับรองใบใหม่จากโคโมโดไปใช้แทนของเดิมได้ฟรีเป็นเวลา 1 ปี

Tags:
Node Thumbnail

สำนักข่าวรอยเตอร์อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าไซแมนเทคบริษัทให้บริการด้านความปลอดภัยกำลังหาผู้ซื้อกิจการออกใบรับรอง และอยู่ระหว่างการเจรจากับผู้ซื้อหลายราย คาดว่าจะขายได้ราคาสูงถึงพันล้านดอลลาร์ อย่างไรก็ดียังไม่มีการตกลงแน่ชัดกับผู้ซื้อรายใดๆ

ธุรกิจออกใบรับรอง (certification authority - CA) ของไซแมนเทคเป็นธุรกิจขนาดใหญ่ แต่หลังจากมีความผิดพลาดจากการเปิดให้หน่วยงานภายนอกออกใบรับรองแทน (registration authority - RA) ทางไซแมนเทคจึงกลายเป็นผู้ต้องรับผิดชอบ การเจรจารอบล่าสุดทั้งกูเกิลและมอซิลล่าต่างเสนอให้ไซแมนเทควางมือจากการออกใบรับรองด้วยตัวเอง และทำหน้าที่ฝ่ายขายเพียงอย่างเดียว

Tags:
Node Thumbnail

กูเกิลประกาศหยุดเชื่อถือใบรับรองของ WoSign และ StartCom (ที่ถูก WoSign ซื้อในปี 2015) ไปตั้งแต่ปีที่แล้ว โดยตอนนี้ยังมีเซิร์ฟเวอร์จำนวนหนึ่งใช้งานใบรับรองของทั้งสองบริษัทอยู่ แต่ในเวอร์ชั่นล่าสุดกูเกิลก็ประกาศชัดเจนแล้วว่าจะถอดใบรับรองของ CA ทั้งสองออกอย่างถาวร

มาตรการก่อนหน้านี้ของกูเกิลคือการไม่เชื่อถือใบรับรองที่ออกหลังวันที่ 21 ตุลาคม 2016 หลังจากนั้นมีการจำกัดเซิร์ฟเวอร์ที่ใช้งานได้ไว้สำหรับหนึ่งล้านเว็บแรกตามอันดับของ Alexa เท่านั้น

Tags:
Node Thumbnail

ตั้งแต่ Let's Encrypt ออกใบรับรองฟรีให้กับเว็บทั่วโลก ความลำบากก็ตกอยู่กับผู้ให้บริการใบรับรองแบบเสียเงินที่เคยคิดค่าบริการรายปีสำหรับการออกใบรับรอง แต่ผู้ให้บริการเหล่านั้นก็ยังมีสินค้าสำคัญ คือการออกใบรับรองแบบใช้กับ subdomain ได้ทั้งหมด หรือเรียกว่าใบรับรอง wildcard (เช่น *.blognone.com)

บริการที่ใช้ใบรับรอง wildcard เช่นนี้ เช่น บริการโฮสต์หรือบริการเว็บบล็อก เช่น WordPress ที่ลูกค้ามักได้โดเมนเป็นของตัวเองทุกราย

การออกใบรับรอง wildcard เป็นส่วนหนึ่งของการรองรับโปรโตคอล ACMEv2 โดยจะรองรับผ่านการยืนยันตัวตนแบบ DNS เท่านั้น ไม่สามารถใช้ certbot เพื่อยืนยันตัวตนแบบทุกวันนี้ได้

Tags:
Node Thumbnail

Koen Rouwhorst วิศวกรซอฟต์แวร์ของเว็บ Blendle แกะโปรแกรม NOW TV ของเครือข่าย Sky แล้วพบว่ามีใบรับรองของโดเมน drmlocal.cisco.com พร้อมกับกุญแจลับฝังอยู่ในตัวโปรแกรม แนวทางเช่นนี้ทำให้แฮกเกอร์สามารถสร้างเว็บ https://drmlocal.cisco.com/ ได้เหมือนเป็นเซิร์ฟเวอร์ของซิสโก้เอง และหากมีคุกกี้จากโดเมนอื่นที่ตั้ง scope ไว้เป็น cisco.com แฮกเกอร์ก็จะสามารถดึงคุกกี้ออกไปได้

ผู้ออกใบรับรองนี้คือ HydrantID แม้จะไม่ได้ทำผิดพลาดด้วยตัวเอง แต่ต้องรีบยกเลิกใบรับรองที่รู้ว่ารั่วไหลออกไปแล้วโดยเร็ว ล่าสุด CRL ของ HydrantID ก็ประกาศยกเลิกใบรับรองนี้แล้ว

Tags:
Node Thumbnail

StartCom เป็นหน่วยงานออกใบรับรองอิสราเอลที่ WoSign จากจีนซื้อไปตั้งแต่ปี 2015 แต่ภายหลังจากมีเหตุการณ์ WoSign ออกใบรับรองผิดพลาด ก็ทำให้ มอซิลล่า และ Chrome เลิกเชื่อถือทั้ง WoSign และ StartCom ไปพร้อมกัน วันนี้กลับมีเหตุการณ์ความผิดพลาดอีกครั้ง เมื่อ StartCom ประกาศยกเลิกใบรับรอง Intermediate CA ของ WoSign ที่ทำการ cross-sign กันเอาไว้

Tags:
Node Thumbnail

ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา

ข้อเสนอใหม่ของกูเกิลระบุให้ไซแมนเทคสร้าง sub-CA ขึ้นใหม่พร้อมกับ cross-sign กับ root CA ของไซแมนเทคเอง แต่ sub-CA นี้จะต้องดำเนินการจากผู้ให้บริการอื่นที่ได้รับความเชื่อถือ ขณะที่ตัวไซแมนเทคเองจะกลายเป็นเพียงฝ่ายขายที่ทำหน้าที่ขายใบรับรองอย่างเดียว ส่วนลูกค้าจะยังคงเห็นใบรับรองว่ามาจากไซแมนเทคอยู่

Tags:
Node Thumbnail

กรณีปัญหาระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการโชว์สถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรียมที่จะนำมาใช้นั้นเหมือนจะได้มีผลบังคับใช้ไปแล้วทั้งที่ยังไม่ถึงกำหนดเวลา โดยเฉพาะ

Tags:
Node Thumbnail

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น

กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority - RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้

Tags:
Node Thumbnail

หลังจากเมื่อวานนี้กูเกิลออกมาระบุว่าไซแมนเทคและหน่วยงานออกใบรับรองในเครือ ได้ออกใบรับรองผิดพลาดรวมกว่า 30,000 ใบ ตอนนี้ทางฝั่งไซแมนเทคก็ออกมาโต้ตอบว่าการเขียนข้อความของกูเกิลเป็นการระบุปัญหาใหญ่เกินจริง และใบรับรองที่ออกผิดพลาดมีทั้งหมด 127 ใบ ไม่ใช่ 30,000 ใบ

ไซแมนเทคระบุว่าบริษัทได้ดำเนินการแก้ไขปัญหามาอย่างต่อเนื่อง ทั้งการยกเลิกหน่วยงานรับลงทะเบียน (registration authority - RA) และเดินหน้าปรับปรุงความปลอดภัยของกระบวนการออกใบรับรอง และหน่วยงานออกใบรับรองขนาดใหญ่ก็ล้วนมีการออกใบรับรองผิดพลาดบ้างทั้งสิ้น แต่กูเกิลเลือกโจมตีไซแมนเทคบริษัทเดียว

Tags:
Node Thumbnail

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)

Tags:
Node Thumbnail

CA Browser Forum ผ่านมติการปรับอายุใบรับรองจากเดิมออกได้สูงสุด 39 เดือน มาเหลือ 825 วัน (27 เดือน) เป็นข้อตกลงร่วมกันที่ฝั่งเบราว์เซอร์และหน่วยงานออกใบรับรองเห็นชอบแทบทั้งหมด มีหน่วยงานงดออกเสียงเพียงผู้ออกใบรับรอง 3 หน่วย และฝั่งผู้ผลิตเบราว์เซอร์มีเพียงมอซิลล่าผู้ผลิตไฟร์ฟอกซ์เท่านั้น

มอซิลล่าและกูเกิลเห็นตรงกันว่าการบีบอายุใบรับรองในอนาคตควรบีบให้สั้นลงกว่านี้อีก แต่ทั้งสองหน่วยงานออกเสียงโหวตต่างกัน โดยมอซิลล่าตั้งกระทู้ถามว่าการบีบอายุใบรับรองครั้งนี้จะเป็นเพียงการเตรียมพร้อมสำหรับการบีบอายุลงครั้งต่อๆ ไปหรือไม่ แต่ยังไม่ได้คำตอบจึงงดออกเสียง ส่วน Let's Encrypt โหวตผ่านแต่ก็แสดงความหวังว่าจะมีการบีบอายุใบรับรองลงอีกในอนาคต

Tags:
Node Thumbnail

กระบวนการออกใบรับรองดิจิตอลทุกวันนี้มีช่องว่างสำคัญคือหน่วยงานออกใบรับรองดิจิตอล (certification authority - CA) ทุกรายสามารถออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ตอนนี้มาตรการเพิ่มเติมในการจำกัดสิทธิ์ของ CA ก็เตรียมบังคับใช้เดือนกันยายนนี้ หลังการโหวตมาตรฐาน Certification Authority Authorization (CAA) โดย CA/Browser Forum ผ่านไปแล้ว

CAA เป็นมาตรฐาน rfc6844 มาตั้งแต่ปี 2013 ระบุให้เจ้าของโดเมนสามารถล็อก CA ที่จะออกใบรับรองให้กับโดเมนของตนได้ ผ่าน Resource Record (RR) ใน DNS เช่น example.org. CAA 128 issue "letsencrypt.org" จะล็อกให้ Let's Encrypt เท่านั้นที่สามารถออกใบรับรองให้กับ example.com ได้

Pages