Tags:
Node Thumbnail

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

ทางฝั่ง Mozilla ออกมา "แฉ" ความสะเพร่าของ DigiNotar ไว้หลายรายการที่ไม่น่าจะอภัยได้เช่น เว็บของ DigiNotar นั้นถูกแฮกมาเป็นเวลาสองปีแล้วโดยที่บริษัทไม่รู้ตัว, บริษัทรู้ตัวว่าถูกแฮกตั้งแต่กลางเดือนกรกฎาคมแต่ไม่ยอมออกคำเตือนอย่างทั่วถึง, จนตอนนี้ DigiNotar ก็ยังไม่สามารถส่งมอบรายการใบรับรองทั้งหมดที่ถูกปลอมได้ ทำให้ไม่สามารถยกเลิกได้ครบ โดยใบรับรองของกูเกิลที่เจอกันนั้นก็เจอจากการใช้งานจริงไปแล้ว

ตอนนี้ทาง Mozilla ได้ยกเลิกใบรับรองทั้งหมดที่อยู่ "ภายใต้" DigiNotar ซึ่งหมายถึงใบรับรองอื่นๆ ที่ออกจากผู้ให้บริการระหว่างทาง (intermediate CA) ก็จะถูกบล็อคไปด้วยแม้ใบรับรองบางใบจะได้รับการรับรองจาก root CA อื่นๆ ซ้อนไว้อีกทีก็ตาม ยกเว้นเฉพาะ CA ของรัฐบาลเนเธอร์แลนด์ที่ติดต่อกับทาง Mozilla โดยตรงว่าได้ตรวจสอบแล้วว่าระบบไม่ถูกโจมตี ทาง Mozilla จะยังไม่บล็อคใบรับรองของทางรัฐบาลไปจนกว่าจะมีการเปลี่ยนใบรับรองทั้งหมดเสร็จสิ้น

ตอนนี้แหล่งข่าวทั้งสองข่าวดูเหมือนจะขัดๆ กัน คือข่าวทางรัฐบาลก็บอกว่ายกเลิกใบรับรองไปแล้ว ถ้าใครรู้เว็บรัฐบาลเนเธอร์แลนด์อาจจะเข้าไปดูว่า SSL ยังทำงานได้ถูกต้องหรือไม่

งานนี้ไม่มีคำอธิบายอื่นนอกจาก "เละ"

สำหรับประเทศไทย เว็บให้บริการเช่น Web Service ของกรมสรรพากรนั้นเป็นใบรับรองแบบรับรองตัวเอง (self signed certificate) ดังนั้นไม่มีปัญหา CA ถูกแฮกแน่นอน

ที่มา - NOS, Gervase Markham

Get latest news from Blognone

Comments

By: bank1996
ContributoriPhoneWindows PhoneWindows
on 4 September 2011 - 14:41 #329881
bank1996's picture

"กระทรวงมหาไทย">"กระทรวงมหาดไทย" ครับ


we can build a more peaceful.

By: Perl
ContributoriPhoneUbuntu
on 4 September 2011 - 15:09 #329892
Perl's picture

สม..

อยากให้บริษัท CA ชุ่ยๆ โดนจัดการเสียให้เข็ด จะได้ไม่มีกรณีมั่วนิ่มเหมือน Comodo (ที่ให้ใบรับรอง 127.0.0.1) และ บ นี้อีก

ps. นอกเรื่อง ผมชอบประเทศเนเธอร์แลนด์จัง คุณภาพชีวิตของเขาดูเหมือนจะดีเอามากๆ แถมดีเจและ Electric Music Event ระดับโลกก็ผลิตจากประเทศนี้ (อันนี้ความชอบส่วนตัว)

By: gondolaz
AndroidUbuntuWindows
on 4 September 2011 - 20:03 #329988 Reply to:329892
gondolaz's picture

เค้าเสียภาษี 40% ครับ

By: Perl
ContributoriPhoneUbuntu
on 4 September 2011 - 21:13 #330009 Reply to:329988
Perl's picture

งั้นสงสัยบ้านเราต้องเพิ่มภาษีบ้างแล้ว XD

By: melloz
iPhone
on 4 September 2011 - 23:32 #330033 Reply to:330009
melloz's picture

เดวจะมี mop อีกเพียบเลย 40% เนี่ยย

By: Kiss on 4 September 2011 - 15:09 #329894

ถ้าเรื่องไม่แดงเพราะgoogle คงอีกนานกว่าจะมีคนรู้ ไม่ทราบว่าเขามีหน่วยงานกลางไว้ตรวจสอบมาตราฐานการออกใบอนุญาติกันหรือป่าวครับ

By: nostalgias
ContributoriPhoneAndroid
on 4 September 2011 - 15:39 #329904
nostalgias's picture

เจ๊ง

By: luckyman
ContributoriPhoneAndroidRed Hat
on 4 September 2011 - 15:44 #329909

self signed ปลอมได้เลย ไม่ต้องเสียเวลาแฮกสินะ -_-!

By: tr
Writer
on 4 September 2011 - 15:48 #329911

เละเทะมาก

ปล. หน่วยงานรองรัฐ -> ของรัฐ ครับผม

By: Pinery
ContributoriPhoneAndroidIn Love
on 4 September 2011 - 19:40 #329983 Reply to:329911

ช่วยเสริมอีกนิดนะครับ

ทั้วไป >> ทั่วไป (ที่บรรทัดแรกครับ)

By: narudom
Contributor
on 4 September 2011 - 15:52 #329915
narudom's picture

อ้าวสรรพากรทำ Self Signed ก็เสร็จล่ะสิ ทำ Man-in-the-Middle ได้เลย User ก็ไม่รู้หรอก อยากจะรู้รายได้ใครไปดักได้เลย


RX78-2

By: OXYGEN2
ContributoriPhoneAndroidWindows
on 4 September 2011 - 17:45 #329948
OXYGEN2's picture

Self Signed มีก็เหมือนไม่มี


oxygen2.me, panithi's blog

Device: ThinkPad X1 Carbon, T480s, iPhone 8 Plus, XS Max, Galaxy Note 8

By: kengz.com
iPhone
on 4 September 2011 - 17:52 #329953

สำหรับประเทศไทย เว็บให้บริการเช่น Web Service ของกรมสรรพากรนั้นเป็นใบรับรองแบบรับรองตัวเอง (self signed certificate) ดังนั้นไม่มีปัญหา CA ถูกแฮกแน่นอน

อันนี้หนักยิ่งกว่าปัญหา CA ถูก hack ครับ เพราะไม่จำเป็นต้องพึ่ง CA เลย ผู้ใช้งานไม่สามารถตรวจสอบได้เลย เพราะยังไงเวลาใช้งาน browser ก็จะเด้งข้อความเตือนทุกครั้งอยู่แล้ว ในทาง computer security วิธีที่ทำให้ปลอดภัยได้อย่างเดียวของกรณีก็คือแจกจ่าย certificate ของตัวเอง ผ่านทาง offline channel เท่านั้น (เปรียบเทียบกับ ปกติ จะแจกจ่าย certificate ติดไปกับ web browser เวลาโหลดใช้งาน)

By: -Rookies-
ContributorAndroidWindowsIn Love
on 4 September 2011 - 19:35 #329979 Reply to:329953

เข้าใจถูกแล้วครับ เขาแซวว่าไม่ต้องแฮ็ก CA น่ะครับ แซวซะแรว๊งงงง = =a


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: lew
FounderJusci's WriterMEconomicsAndroid
on 4 September 2011 - 19:40 #329981 Reply to:329953
lew's picture

สงสัยมุกผมจะไม่ขำ = =


lewcpe.com, @public_lewcpe

By: e.p.
ContributorAndroid
on 4 September 2011 - 20:34 #330000 Reply to:329981
e.p.'s picture

ต้องวงเล็บไว้ด้วยครับ (มุก) (ประชด) (ขำกลิ้ง) (ขำไม่ออก) (ตัวใครตัวมัน)

By: AMp
In Love
on 4 September 2011 - 21:29 #330012 Reply to:329981

ผมฮานะ ^^

By: kengz.com
iPhone
on 4 September 2011 - 22:44 #330022 Reply to:329981

อ้าวขอโทษครับ ไม่รู้ว่าเป็นมุข ฟังดูไม่ค่อยเหมือน แฮะๆ

By: hisoft
ContributorWindows PhoneWindows
on 4 September 2011 - 20:21 #329997
hisoft's picture

ผมก็คิดอยู่ว่ามันน่ายกเลิกทั้ง CA ไปเลย ที่จริงน่าจะฟ้องเรียกค่าเสียหายด้วยซ้ำ

By: LuciferUltraM
iPhoneAndroid
on 5 September 2011 - 00:17 #330040
LuciferUltraM's picture

กด Web Service ของกรมสรรพากร เข้าไป เจอหน้าแดงเลย

By: jane
AndroidUbuntu
on 5 September 2011 - 00:55 #330058
jane's picture

cacert ที่แจกฟรี ยังจะปลอดภัยกว่าอีก