ปัญหา DigiNotar หนักกว่าที่คิด, รัฐบาลเนเธอร์แลนด์ยกเลิกใบรับรองทั้งหมดแล้ว

By: lew

on 4 September 2011 - 14:35 Tags:

Topics:

Security

SSL

Netherlands

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

ทางฝั่ง Mozilla ออกมา "แฉ" ความสะเพร่าของ DigiNotar ไว้หลายรายการที่ไม่น่าจะอภัยได้เช่น เว็บของ DigiNotar นั้นถูกแฮกมาเป็นเวลาสองปีแล้วโดยที่บริษัทไม่รู้ตัว, บริษัทรู้ตัวว่าถูกแฮกตั้งแต่กลางเดือนกรกฎาคมแต่ไม่ยอมออกคำเตือนอย่างทั่วถึง, จนตอนนี้ DigiNotar ก็ยังไม่สามารถส่งมอบรายการใบรับรองทั้งหมดที่ถูกปลอมได้ ทำให้ไม่สามารถยกเลิกได้ครบ โดยใบรับรองของกูเกิลที่เจอกันนั้นก็เจอจากการใช้งานจริงไปแล้ว

ตอนนี้ทาง Mozilla ได้ยกเลิกใบรับรองทั้งหมดที่อยู่ "ภายใต้" DigiNotar ซึ่งหมายถึงใบรับรองอื่นๆ ที่ออกจากผู้ให้บริการระหว่างทาง (intermediate CA) ก็จะถูกบล็อคไปด้วยแม้ใบรับรองบางใบจะได้รับการรับรองจาก root CA อื่นๆ ซ้อนไว้อีกทีก็ตาม ยกเว้นเฉพาะ CA ของรัฐบาลเนเธอร์แลนด์ที่ติดต่อกับทาง Mozilla โดยตรงว่าได้ตรวจสอบแล้วว่าระบบไม่ถูกโจมตี ทาง Mozilla จะยังไม่บล็อคใบรับรองของทางรัฐบาลไปจนกว่าจะมีการเปลี่ยนใบรับรองทั้งหมดเสร็จสิ้น

ตอนนี้แหล่งข่าวทั้งสองข่าวดูเหมือนจะขัดๆ กัน คือข่าวทางรัฐบาลก็บอกว่ายกเลิกใบรับรองไปแล้ว ถ้าใครรู้เว็บรัฐบาลเนเธอร์แลนด์อาจจะเข้าไปดูว่า SSL ยังทำงานได้ถูกต้องหรือไม่

งานนี้ไม่มีคำอธิบายอื่นนอกจาก "เละ"

สำหรับประเทศไทย เว็บให้บริการเช่น Web Service ของกรมสรรพากรนั้นเป็นใบรับรองแบบรับรองตัวเอง (self signed certificate) ดังนั้นไม่มีปัญหา CA ถูกแฮกแน่นอน

ที่มา - NOS, Gervase Markham

Hiring! บริษัทที่น่าสนใจ

Data Wow Co.,Ltd

We enable our clients to realize increased productivity by solving their most complex issues by Data

PeerPower

PeerPower is the first Debt Crowdfunding platform approved by SEC Thailand.

iApp Technology Co., Ltd.

ผู้เชี่ยวชาญด้านปัญญาประดิษฐ์ Artificial Intelligence (AI) สำหรับภาษาไทย (NLP) และหุ่นยนต์ (Robots)

Comments

By: bank1996

on 4 September 2011 - 14:41 #329881

"กระทรวงมหาไทย">"กระทรวงมหาดไทย" ครับ

we can build a more peaceful.

By: Perl

on 4 September 2011 - 15:09 #329892

สม..

อยากให้บริษัท CA ชุ่ยๆ โดนจัดการเสียให้เข็ด จะได้ไม่มีกรณีมั่วนิ่มเหมือน Comodo (ที่ให้ใบรับรอง 127.0.0.1) และ บ นี้อีก

ps. นอกเรื่อง ผมชอบประเทศเนเธอร์แลนด์จัง คุณภาพชีวิตของเขาดูเหมือนจะดีเอามากๆ แถมดีเจและ Electric Music Event ระดับโลกก็ผลิตจากประเทศนี้ (อันนี้ความชอบส่วนตัว)

By: gondolaz

on 4 September 2011 - 20:03 #329988 Reply to:329892

เค้าเสียภาษี 40% ครับ

By: Perl

on 4 September 2011 - 21:13 #330009 Reply to:329988

งั้นสงสัยบ้านเราต้องเพิ่มภาษีบ้างแล้ว XD

By: melloz

on 4 September 2011 - 23:32 #330033 Reply to:330009

เดวจะมี mop อีกเพียบเลย 40% เนี่ยย

By: Kiss on 4 September 2011 - 15:09 #329894

ถ้าเรื่องไม่แดงเพราะgoogle คงอีกนานกว่าจะมีคนรู้ ไม่ทราบว่าเขามีหน่วยงานกลางไว้ตรวจสอบมาตราฐานการออกใบอนุญาติกันหรือป่าวครับ

By: nostalgias

on 4 September 2011 - 15:39 #329904

เจ๊ง

By: luckyman

on 4 September 2011 - 15:44 #329909

self signed ปลอมได้เลย ไม่ต้องเสียเวลาแฮกสินะ -_-!

By: tr

on 4 September 2011 - 15:48 #329911

เละเทะมาก

ปล. หน่วยงานรองรัฐ -> ของรัฐ ครับผม

By: Pinery

on 4 September 2011 - 19:40 #329983 Reply to:329911

ช่วยเสริมอีกนิดนะครับ

ทั้วไป >> ทั่วไป (ที่บรรทัดแรกครับ)

By: narudom

on 4 September 2011 - 15:52 #329915

อ้าวสรรพากรทำ Self Signed ก็เสร็จล่ะสิ ทำ Man-in-the-Middle ได้เลย User ก็ไม่รู้หรอก อยากจะรู้รายได้ใครไปดักได้เลย

RX78-2

By: OXYGEN2

on 4 September 2011 - 17:45 #329948

Self Signed มีก็เหมือนไม่มี

oxygen2.me , panithi's blo g

Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6

By: kengz.com

on 4 September 2011 - 17:52 #329953

อันนี้หนักยิ่งกว่าปัญหา CA ถูก hack ครับ เพราะไม่จำเป็นต้องพึ่ง CA เลย ผู้ใช้งานไม่สามารถตรวจสอบได้เลย เพราะยังไงเวลาใช้งาน browser ก็จะเด้งข้อความเตือนทุกครั้งอยู่แล้ว ในทาง computer security วิธีที่ทำให้ปลอดภัยได้อย่างเดียวของกรณีก็คือแจกจ่าย certificate ของตัวเอง ผ่านทาง offline channel เท่านั้น (เปรียบเทียบกับ ปกติ จะแจกจ่าย certificate ติดไปกับ web browser เวลาโหลดใช้งาน)

By: -Rookies-

on 4 September 2011 - 19:35 #329979 Reply to:329953

เข้าใจถูกแล้วครับ เขาแซวว่าไม่ต้องแฮ็ก CA น่ะครับ แซวซะแรว๊งงงง = =a

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: lew

on 4 September 2011 - 19:40 #329981 Reply to:329953

สงสัยมุกผมจะไม่ขำ = =

lewcpe.com, @wasonliw

By: e.p.

on 4 September 2011 - 20:34 #330000 Reply to:329981

ต้องวงเล็บไว้ด้วยครับ (มุก) (ประชด) (ขำกลิ้ง) (ขำไม่ออก) (ตัวใครตัวมัน)

By: AMp

on 4 September 2011 - 21:29 #330012 Reply to:329981

ผมฮานะ ^^

By: kengz.com

on 4 September 2011 - 22:44 #330022 Reply to:329981

อ้าวขอโทษครับ ไม่รู้ว่าเป็นมุข ฟังดูไม่ค่อยเหมือน แฮะๆ

By: hisoft

on 4 September 2011 - 20:21 #329997

ผมก็คิดอยู่ว่ามันน่ายกเลิกทั้ง CA ไปเลย ที่จริงน่าจะฟ้องเรียกค่าเสียหายด้วยซ้ำ

By: LuciferUltraM

on 5 September 2011 - 00:17 #330040

กด Web Service ของกรมสรรพากร เข้าไป เจอหน้าแดงเลย

By: jane

on 5 September 2011 - 00:55 #330058

cacert ที่แจกฟรี ยังจะปลอดภัยกว่าอีก

Main menu