ระหว่างที่เมลลิ่งลิสต์ mozilla.dev.security.policy (MDSP) กำลังพิจารณารองรับให้บริษัท DarkMatter เข้าเป็นหน่วยงานออกใบรับรองเข้ารหัส (certification authority - CA) Corey Bonnell วิศวกรจาก Sophos พบว่าใบรับรองของ DarkMatter นั้นออกใบรับรองที่หมายเลขซีเรียลความยาวขาดไป 1 บิต จึงโต้แย้งว่าไม่ควรรับ DarkMatter เข้าเป็น CA แต่ปรากฎว่าเมื่อตรวจสอบใบ CA รายสำคัญได้แก่ แอปเปิล, กูเกิล, และ GoDaddy ก็ล้วนออกใบรับรองที่ความยาวหมายเลขซีเรียลไม่เพียงพอเช่นกัน และต้องออกใบรับรองใหม่ทั้งหมดกว่าล้านใบ

ข้อกำหนดของ CA/Browser Forum ระบุให้ใบรับรองเข้ารหัสต้องมีหมายเลขซีเรียลที่สุ่มขึ้นมา โดยกระบวนการสุ่มต้องมีความยุ่งเหยิง (entropy) ไม่ต่ำกว่า 64 บิต ทำให้ CA จำนวนหนึ่งคอนฟิกระบบให้ออกใบรับรองเข้ารหัสที่มีหมายเลขซีเรียลความยาว 64 บิตพอดี หมายเลขซีเรียลนั้นต้องเป็นจำนวนเต็มบวกตามฟอร์แมตไฟล์ X.509 ทำให้การสุ่มเลขเต็มบวก 64 บิตกลายเป็นเลขที่มีความยุ่งเหยิง 63 บิต เนื่องจากเลขบิตแรกเป็น sign bit หรือสัญลักษณ์บวกลบ

ความผิดพลาดนี้เป็นบั๊กของ EJBCA โครงการซอฟต์แวร์ CA โอเพนซอร์ส ทำให้ CA หลายรายได้รับผลกระทบร่วมกัน

CA ที่คอนฟิกให้ออกเลขซีเรียลไว้ 64 บิตพอดีได้แก่ แอปเปิล, กูเกิล, และ GoDaddy ล้วนออกใบรับรองที่หมายเลขผิดไปแล้วกว่าสองล้านใบ โดยแอปเปิลออกไปแล้ว 878,000 ใบและยังใช้งานได้อยู่ 558,000 ใบ ขณะที่กูเกิลออกไปกว่าแสนใบ แต่มีใช้งานได้อยู่เพียง 7,100 ใบเท่านั้น ส่วน GoDaddy คาดว่ามีใบรับรองที่ได้รับผลกระทบ 12,000 ใบ อย่างไรก็ดี เป็นไปได้ว่าจะมี CA อื่นๆ พบปัญหาแบบเดียวกัน

ข้อกำหนดหมายเลขซีเรียล 64 บิต เป็นข้อกำหนดที่ CA/Browser Forum เพิ่มเติมเข้ามาเมื่อปี 2016 เพื่อช่วยลดช่องโหว่ในกรณีที่กระบวนการเซ็นลายเซ็นใบรับรองยังเป็น MD5 ที่มีช่องโหว่ การใช้หมายเลขซีเรียลที่ยาวขึ้นจะช่วยเพิ่มความยากในการโจมตีได้ เนื่องจากใบรับรองสำหรับเว็บสมัยใหม่ล้วนใช้ SHA-2 กันหมดแล้วหลังจากกูเกิลไม่รองรับใบรับรอง SHA-1 เมื่อปี 2015 การโจมตีเช่นเดิมไม่น่ามีอีกต่อไป อย่างไรก็ตาม เนื่องจากใบรับรองทั้งหมดออกผิดข้อกำหนดของ CA/Browser Forum ทำให้ต้องออกใบรับรองใหม่อยู่ดี ตอนนี้กูเกิลก็เริ่มออกใบรับรองได้เกือบทั้งหมดแล้ว และส่วนที่เหลือก็จะหมดอายุภายในเดือนนี้

ที่มา - ArsTechnica

ภาพโดย typographyimages