กูเกิลตรวจพบใบขอรับรอง (pre-certificate) แบบ Extended Validation (EV) สำหรับโดเมน google.com และ www.google.com ออกโดย Thawte ผู้ให้บริการ CA ของ Synmantec เมื่อวันที่ 14 กันยายนที่ผ่านมา โดยที่กูเกิลไม่ได้ร้องขอให้ออกใบรับรองนี้ อย่างไรก็ดีใบรับรองนี้มีอายุเพียงหนึ่งวันเท่านั้น
ทาง Symantec ระบุว่าใบรับรองเหล่านี้ออกมาเพื่อทดสอบสินค้าของบริษัทเป็นการภายใน ตอนนี้ตัวใบรับรองและกุญแจยังอยู่ในความควบคุมของบริษัทและไม่ได้หลุดออกไปภายนอก ทาง Symantec สอบสวนการออกใบรับรองเหล่านี้และพบว่าพนักงานบางคนไม่ทำตามกระบวนการที่ได้รับการฝึกมาก่อนแล้ว และตัดสินใจไล่พนักงานเหล่านั้นออกจากบริษัท
ทีมงานของกูเกิลพบใบขอรับรองนี้จากกระบวนการ Certificate Transparency ที่ CA จำนวนมากประกาศรับกระบวนการนี้แล้วตั้งแต่ต้นปีที่ผ่านมา
ที่มา - Google Online Security Blog, Symantec
on
"พนักงานเหล่านั้น"
AdmOd Mon, 21/09/2015 - 13:36
"พนักงานเหล่านั้น" แปลว่ามีคนตกงานมากกว่า 1 สินะ…
ตามคำของ Symantec คือ "a few
lew Mon, 21/09/2015 - 15:09
In reply to "พนักงานเหล่านั้น" by AdmOd
ตามคำของ Symantec คือ "a few outstanding employees"
ใบคำขอเท็จ สามารถเกิดขึ้นได้
karyonix Mon, 21/09/2015 - 17:24
ใบคำขอเท็จ สามารถเกิดขึ้นได้ โดยเฉพาะจากผู้ร้าย เป็นเรื่องที่ต้องเตรียมการรับมือ
เมื่อได้รับใบคำขอเท็จ แล้วกระบวนการ สามารถตรวจสอบได้ และปฏิเสธการออกใบรับรอง ก็ถือว่าใช้ได้ ไม่น่าจะมีปัญหาอะไร
แต่ถ้าเมื่อได้รับใบคำขอเท็จแล้วมีการออกใบรับรองเท็จ ก็เป็นความล้มเหลวของ Extended Validation (EV)
สงสัยว่า pre-certificate ที่พูดถึง อาจจะไม่ใช่แค่คำขอ แต่เป็นใบรับรองที่มีการรับรองแล้วถึงได้เป็นเรื่องใหญ่ (ถึงแม้ว่าจะยังไม่ออกสู่สาธารณะ)
เป็นหลักฐานว่ามีการออกใบรับรอ
lew Mon, 21/09/2015 - 17:47
In reply to ใบคำขอเท็จ สามารถเกิดขึ้นได้ by karyonix
เป็นหลักฐานว่ามีการออกใบรับรองตามกระบวนการ CT ครับ (อ่านในลิงก์ที่เป็น IETF จะบอกรายละเอียดว่า pre-certificate คืออะไร ตอนนี้ไม่มีคำแปลตรงๆ ผมแปลไปแบบของผมก่อน)
จนตอนนี้ยังไม่มีใครเจอใบ Cert จริงๆ