Tags:
Node Thumbnail

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

กูเกิลเคยเสนอให้ลดเพดานอายุใบรับรองลงเหลือ 398 วันตั้งแต่ปี 2017 แต่ไม่ได้รับการสนับสนุน แต่ในปีนี้แอปเปิลกลับเป็นผู้ผลิตเบราว์เซอร์แรกที่ประกาศเพดานอายุใบรับรอง 397 วันก่อนที่กูเกิลและมอซิลล่าจะประกาศตามมา

ใบรับรองอายุยาวนานนับเป็นปัญหาความปลอดภัยของเว็บอย่างหนึ่ง เนื่องจากบ่อยครั้งที่ไคลเอนต์ไม่ได้ตรวจสอบรายการใบรับรองที่ถูกยกเลิก ทำให้ใบรับรองที่กุญแจหลุดไปยังคนร้ายแล้วกลับใช้งานได้อีกเป็นเวลานาน หรือกระบวนการเข้ารหัสที่เปลี่ยนไป เช่นการเลิกใช้ใบรับรองที่เซ็นด้วยค่าแฮชแบบ SHA-1 ที่ต้องใช้เวลานานนับปีเนื่องจากเซิร์ฟเวอร์จำนวนมากยังใช้ใบรับรองเก่า การบังคับออกใบรับรองใหม่ไปเรื่อยๆ ลดปัญหาเหล่านี้ไปได้

ตอนนี้บริษัทผู้ออกใบรับรองหลายบริษัทเลิกออกใบรับรองอายุ 2 ปีไปก่อนแล้ว แต่ก็อาจจะมีบางบริษัทที่ออกให้จนวันสุดท้าย

ที่มา - Bleeping Computer

Get latest news from Blognone

Comments

By: crucifier
iPhoneAndroidUbuntu
on 31 August 2020 - 21:39 #1173803

ทำไมตัวเลขจำนวนวันจึงแปลกๆ ครับ ทำไมไม่เป็น 365 วัน (1 ปี) ไปเลย หรือเป็น 39 เดือน (3 ปี 3 เดือน) แทนที่จะเป็น 36 เดือน (3 ปี) เป็นต้น

By: Jeratang
iPhoneAndroidIn Love
on 31 August 2020 - 21:55 #1173805 Reply to:1173803
Jeratang's picture

Bonus time แล้วก็มี expiration notification ให้ล่ะมั้งคะ

By: crucifier
iPhoneAndroidUbuntu
on 31 August 2020 - 23:05 #1173815 Reply to:1173805

ขอบคุณครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 31 August 2020 - 23:24 #1173820 Reply to:1173803
lew's picture

เอาจริงๆ คือไม่ได้มีหลักอะไรขนาดนั้นครับ มันมีฝ่ายที่ขอให้ยืดอีกหน่อยทุกครั้งไป

แต่รวมๆ คือองค์กรควรมีเวลาต่อล่วงหน้าระยะหนึ่ง เช่นบอกว่าอายุ 1 ปี ก็มีเวลาต่ออยู่อีกเดือนนึง (เพิ่งส่งจัดซื้อตอนครบปีอะไรแบบนั้น) กับแถมเศษให้เผื่อติดเสาร์อาทิตย์อีกหน่อย

แต่อย่างที่เห็น มันมีคนเพิ่มคนลด แต่โดยหลักๆ แล้วคือต้องต่ออายุก่อนหมดอายุได้นานพอสมควร แม้แต่ Let's Encrypt ที่สั้นสามเดือนก็คล้ายๆ กัน


lewcpe.com, @wasonliw

By: ck4u
iPhoneWindows PhoneBlackberrySymbian
on 1 September 2020 - 01:34 #1173825 Reply to:1173803

เอาไว้ต่ออายุครับ

เช่นใบรับรอง ถ้าออกในปีแรก จะได้ 365 วัน
01/09/2020-31/08/2021

แต่ทาง CA มักจะให้ทาง Client ต่อเวลาล่วงหน้าก่อนหมดอายุ 1 เดือน (31+1) เผื่อเดือนไหนมี 31 วัน และปีไหนกุมภามี 29 วัน ครับ

ดังนั้น ถ้าต่ออายุ ก่อน 1 เดือน ก็จะเข้าเงื่อนไข 397 (365+31+1) วัน ในการต่ออายุปีที่ 2

คือต่อในวันที่ 01/08/2021 ใบรับรองจะหมดอายุ 31/08/2022 แทนที่จะหมดอายุวันที่ 02/08/2022 ตามวันที่กดต่ออายุครับ

แต่ถ้าใครต่ออายุก่อนหน้า 1 เดือนก็จะขาดทุนวันไป มันจะไม่ครบวันที่ควรจะหมดอายุครับ เพราะมันได้แค่ 397 วัน

แนะนำให้กดต่ออายุก่อนหมดอายุ 1 เดือน จะได้ใบรับรองครบรอบ 1 ปีจากวันหมดอายุอันเดิม

การต่ออายุใบรับรอง มันจะไม่เหมือนการต่ออายุโดเมน

By: hisoft
ContributorWindows PhoneWindows
on 1 September 2020 - 07:16 #1173830 Reply to:1173803
hisoft's picture