Tags:
Node Thumbnail

กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง

ข้อกำหนดของ BR ข้อนี้เพิ่งแก้ไขไปเมื่อปีที่แล้ว ลดเพดานเวลาจาก 60 เดือนลงเหลือ 39 เดือน และตอนนี้เป็นการลดเพดานลงอีกครั้ง เหตุผลอย่างหนึ่งคือกระบวนการเข้ารหัสที่อาจจะมีความเปลี่ยนแปลงไปตามเวลา ใบรับรองที่ใช้ค่าแฮชแบบ SHA-1 เคยใช้งานได้ดีแต่เมื่อมีรายงานว่ามีความอ่อนแอ กระบวนการยกเลิกใบรับรองกลับทำได้ยากเพราะมีเว็บจำนวนมากยังคงใช้ใบรับรองเหล่านี้อยู่

ฝั่งผู้ผลิตเบราว์เซอร์หลักๆ ได้แก่ ไฟร์ฟอกซ์, Chrome (ผู้เสนอเอง), และไมโครซอฟท์ แสดงตัวว่าเห็นด้วยในหลักการว่าระยะเวลา 39 เดือนนั้นนานเกินไป แต่ไมโครซอฟท์ระบุว่าระยะเวลาที่เสนอมานั้นกระชั้นเกินไป (ไม่แน่ชัดว่าเป็นระยะเวลาหมดอายุใบรับรอง หรือระยะเวลาเริ่มบังคับกฏ) ทำให้ตัดสินใจโหวตข้อเสนอนี้ตกไป ส่วนฝั่งผู้ออกใบรับรองนั้นออกมาโหวตให้ตกไปแทบทั้งหมด โดยเฉพาะทางฝั่ง Comodo ที่ออกมาตอบโต้ว่ามีผู้ถือใบรับรองจำนวนมากไม่มีกำลังคนพอจะติดตั้งระบบเปลี่ยนใบรับรองอัตโนมัติหรือเปลี่ยนใบรับรองถี่ขนาดนี้ และผู้สนับสนุนข้อเสนอนี้ก็ควรถูกตั้งคำถามว่าสนใจการใช้งานของผู้ใช้หรือไม่

ตอนนี้มีผู้โหวตสนับสนุนเพียงสามราย คือ กูเกิล, ไฟร์ฟอกซ์, และ Let's Encrypt ขณะที่ DigiCert ระบุว่าจะโหวตสนับสนุนถ้ายอมยืดอายุใบรับรองเป็น 2 ปี แทนที่จะเป็น 13 เดือน

ที่มา - CA/Browser Forum

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 18 February 2017 - 07:03 #970631

มันง่ายที่ฝั่งอ่านใบเซอร์จะดูวันหมดอายุ แต่มันยากที่จะสร้างใบเซอร์ใหม่หลายร้อยล้านใบพร้อมๆกัน สินะ...

By: Perl
ContributoriPhoneUbuntu
on 18 February 2017 - 07:38 #970636
Perl's picture

Enterprise เหนื่อยแฮ่กกันพอดี

By: Architec
ContributorWindows PhoneAndroidWindows
on 18 February 2017 - 11:28 #970657
Architec's picture

จาก 8 ปี > 5 ปี > 3ปี > 398 วัน

ดีมากครับพ่อมหาจำเจริญ พวก enterprise ที่ต้องใช้ document ยืนยันกับ CA บางเจ้ากว่าจะ improove ได้ก็นานโข

cert นะครับคุณพี่ไม่ใช่ถุงยาง จะได้ใช้แล้วทิ้งเล่นได้ทุกวัน (ยกนิ้วให้เลย)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 18 February 2017 - 15:11 #970695 Reply to:970657
lew's picture

จริงๆ ฝั่ง enterprise ก็ต้องปรับปรุงกระบวนการใหม่ครับ จะบอกว่าลงระบบใหม่หรือปรับประบวนการใหม่ เช่นใช้ private key เดิมเวลา renew ไม่ต้องส่งเอกสารใหม่อะไรแบบนั้น

แต่ต่อให้ผลักดันให้ทำแบบนั้นเงื่อนระยะเวลาไม่กี่เดือนก็โหดเกินไป ถ้าปีนี้บีบเหลือ 2 ปี แล้วอีกสองปีปรับเหลือปีเดียวอะไรแบบนั้นยังมีเหตุมีผล (และไปรับกัน cert เก่าๆ ที่จะหมดอายุไปเรื่อยๆ แล้วด้วย)


lewcpe.com, @public_lewcpe

By: stan
ContributoriPhoneAndroidUbuntu
on 18 February 2017 - 11:38 #970658
stan's picture

ข่าวต่อมา google เปิดบริการออก ใบรับรอง ssl

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 18 February 2017 - 11:50 #970661
Ford AntiTrust's picture

คิดถึงตอนขอ cert ระดับ OU หรือพวก EV แล้วสยอง ขอวันนี้รอ 7 วัน เดินเอกสารอีกหลายหน้า เอกสารผิด ขอใหม่ รอ 7 วัน ><" (อยากเร็วเปิด ticket แต่มุขนี้มันใช้ได้ผลช่วงแรกๆ) มันไม่ง่ายอย่างที่ Google มันคิดไง ถ้ามัน automate มันก็โอเค (แต่ก็พวกราคาถูกๆ) แต่มันมี cert ที่มัน automate ไม่ได้ เพราะมันติดตรงขั้นตอนเอกสารนั้นแหละ

By: hisoft
ContributorWindows PhoneWindows
on 18 February 2017 - 12:30 #970672 Reply to:970661
hisoft's picture

มันจะเป็นการบีบให้ระบบตรวจสอบเร็วขึ้นดีขึ้นหรือเปล่าครับ ถ้าได้ก็คงดี


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 18 February 2017 - 12:34 #970673 Reply to:970672
Ford AntiTrust's picture

ประเด็นคือ ขั้นตอนมันยังเร็วไม่พอ และมีระเบียบยุ่งยาก สำหรับ cert บางประเภท ทำให้การ issue cert ใหม่บ่อยๆ เป็นภาระมากเกินไปน่ะครับ

By: Architec
ContributorWindows PhoneAndroidWindows
on 18 February 2017 - 14:17 #970689 Reply to:970661
Architec's picture

EV ยกมือบอกเลยว่าโดนกับตัวครับ เอกสารหรือเบอร์โทรผิดเมื่อไหร่เล่นปาเข้าไปเกือบเดือน

ปล. ใช้ค่าย Digicert เพราะมีพนักงานไทยท่านนึงประสานงานให้(แต่บางครั้งที่เธอไม่อยู่ก็หายนะสำหรับผมเพราะฟังสำเนียงของพนักงานออสเตรเลียไม่ออก)

By: checkmate95
Android
on 18 February 2017 - 12:26 #970668
checkmate95's picture

เห็นด้วยกับ Google งานนี้ก็เหนื่อยกันทุกฝ่าย แต่อินเตอเน็ตทุกวันนี้ 2 ปี ก็นานเกินไปด้วยซ้ำ เทคโนโลยียังเปลี่ยนกันแทบทุกวัน

By: Jaddngow
AndroidUbuntuWindows
on 18 February 2017 - 12:27 #970671
Jaddngow's picture

ไอ้เลขไม่ลงตัวนี่มีที่มาจากอะไรครับเนี่ย


โดยส่วนตัวคิดแว่เป็นอย่างเนี๊ยะ

By: hisoft
ContributorWindows PhoneWindows
on 18 February 2017 - 12:39 #970677 Reply to:970671
hisoft's picture

เวลาใช้งานใบเก่าแบบสบายใจ 1 ปี = 366 (เผื่อปีเยอะ) + เวลาออกใบรับรอง 1 เดือน = 31 (เผื่อเดือนเยอะ) + เวลาตั้งค่าใบรับรอง 1 วัน = 1 (เผื่อวันเยอะ) = 366 + 31 + 1 = 398 วันพอดีเป๊ะเลยครับ

แถได้สนิทใจดีครับ ;)


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: lew
FounderJusci&#039;s WriterMEconomicsAndroid
on 18 February 2017 - 15:06 #970692 Reply to:970677
lew's picture

จริงๆ +1 กับ +1 นั่นคือเผื่อเสาร์อาทิตย์ครับ


lewcpe.com, @public_lewcpe

By: hisoft
ContributorWindows PhoneWindows
on 18 February 2017 - 15:30 #970698 Reply to:970692
hisoft's picture

โอ้ ขอบคุณครับ


The Phantom Thief

ฮือ อัพรูปเป็น gif ไม่ได้ (T-T)

By: McKay
ContributorAndroidWindowsIn Love
on 18 February 2017 - 13:33 #970684
McKay's picture

เห็นด้วยกับ DigiCert นะว่า 2 ปี หรือ 25 เดือนดีกว่ามาก


In Soviet Warcraft, Argus comes to you.