Tags:
Node Thumbnail

Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน

ตอนนี้ไม่มีข้อมูลว่า TrustCor ออกใบรับรองไม่ถูกต้องเพื่อใช้งานมุ่งร้ายผู้ใช้แต่อย่างใด โดยเฉพาะในช่วงหลังไคลเอนต์จำนวนมากบังคับว่าใบรับรองต้องถูกบันทึกลงฐานข้อมูลภายนอกก่อน (certification transparency log) จึงจะสามารถใช้งานได้

ทาง Mozilla ประกาศเพิ่มเงื่อนไข “Distrust for TLS After Date” ทำให้ใบรับรองจาก TrustCor ที่ออกหลังวันที่ 30 พฤศจิกายนไม่สามรถใช้งานได้อีกต่อไป ส่วนทาง TrustCor ออกมาโวยว่าไมโครซอฟท์ตั้งวันที่หยุดรับใบรับรองจาก TrustCor เป็นวันที่ 1 พฤศจิกายนทำให้ลูกค้าที่ได้รับใบรับรองไปก่อนหน้านี้นับพันรายไม่สามารถใช้งานใบรับรองได้

ที่มา - dev-security-policy@mozilla.org

No Description

Get latest news from Blognone