Tags:
Node Thumbnail

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

ระบบปฎิบัติการรุ่นเก่าไม่ได้รองรับ SHA-2 ในตัวทำให้หากเบราว์เซอร์ที่ใช้ API ของระบบปฎิบัติการที่ไม่รองรับตัวเบราว์เซอร์ก็จะไม่รองรับเช่นกัน เช่น Windows XP, Android 2.2 และลินุกซ์ที่ใช้ OpenSSL 0.9.8 ลงไป บางประเทศมีปัญหาหนักกว่าประเทศอื่นๆ เช่น จีนมีเบราว์เซอร์ที่ไม่รองรับ SHA-2 ถึง 6.08% รองลงไปเช่น คาเมรูน, เยเมน, ซูดาน, อียิปต์, ลิเบีย

เฟซบุ๊กและ CloudFlare เรียกร้องให้ CA/Browser Forum ออกใบรับรองประเภทใหม่ Legacy Verifed (LV) ให้กับหน่วยงานที่ยืนยันได้ว่ามีช่องทางให้บริการเชื่อมต่อด้วยใบรับรอง SHA-2 แล้ว และใบรับรองประเภท LV นี้จะมีให้บริการกับเบราว์เซอร์เก่าเท่านั้น

กระบวนการย้ายใบรับรองขนานใหญ่เช่นนี้เกิดขึ้นครั้งสุดท้ายในปี 2008 เมื่อนักวิจัยสามารถสร้างข้อมูลที่แฮช MD5 ตรงกันได้สำเร็จ แต่หลังจากสร้างข้อมูลที่แฮชตรงกันได้ กว่าเบราว์เซอร์จะหยุดรองรับใบรับรอง MD5 จริงๆ ก็ในปี 2013 หรือใช้เวลากว่า 5 ปี ตอนนี้แม้ SHA-1 จะอ่อนแอกว่าที่ออกแบบไว้มาก แต่ก็ยังไม่มีรายงานการสร้างแฮชชนกันสำเร็จแต่อย่างใด

ที่มา - CloudFlare, Facebook

alt="upic.me"

Get latest news from Blognone

Comments

By: Architec
ContributorWindows PhoneAndroidWindows
on 10 December 2015 - 17:41 #867406

จำได้ว่าเคยมี Cert ตัวนึงที่รองรับตั้งแต่ SSL 1.0 ขึ้นมาเลย แต่หลังจากนั้นก็ไม่มีให้เห็นอีก (SSL ใบละ 5 ปีด้วย)

edit: มันคือ Server-Gated Cryptography : SCG

By: sonkub
AndroidWindows
on 10 December 2015 - 15:39 #867409

แต่จะให้ support Windows XP, IE5 อยู่ก็คงไม่ไหวละมั้ง

By: Mekokung
ContributorAndroidWindows
on 10 December 2015 - 15:58 #867413
Mekokung's picture

ทำไมผมรู้สึกเห็นแพเริ่มลอยเข้ามาใกล้ทุกๆที (ใช้ XP อยู่)


Mekokung's Story บล็อกส่วนตัวที่ย้ายไป Blogger แล้วนะ

By: tekkasit
ContributorAndroidWindowsIn Love
on 10 December 2015 - 18:18 #867440 Reply to:867413
tekkasit's picture

ผมว่า Windows XP มันอยู่บนแพ ออกจากฝั่งแล้วนะครับ

Windows XP เค้ารองรับมา 12 ปีแล้วนะครับ และหมด extended support (จะไม่มี security patch ใดๆแล้ว) มาตั้งแต่เมษายนปีที่แล้ว ซึ่งถ้าอยู่ใช้งานจะเสี่ยงมาก

ถ้าปล่อยได้ก็ปล่อยไปเถอะ

By: tlenetto
AndroidUbuntuWindows
on 10 December 2015 - 21:32 #867463 Reply to:867413
tlenetto's picture

มีเพื่อนแล้วแฮ่ะ อิอิ

By: McKay
ContributorAndroidWindowsIn Love
on 10 December 2015 - 21:43 #867464 Reply to:867413
McKay's picture

แพมาตั้งแต่ 8 เมษาปีที่แล้วแล้วนะครับ


Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: panurat2000
ContributorSymbianUbuntuIn Love
on 10 December 2015 - 22:39 #867471
panurat2000's picture

ทำให้หากเบราว์เซอร์ที่ใช้ API ของระบบปฎิบัติการไม่รองรับเช่นกัน เช่น Windows XP, Android 2.2 และลินุกซ์ที่ใช้ OpenSSL 0.9.8 ลงไป บางประเทศมีปัญหาหนักกว่าประเทศอื่นๆ

ทำให้หากเบราว์เซอร์ที่ใช้ API ของระบบปฎิบัติการไม่รองรับเช่นกัน ?