Tags:
Node Thumbnail

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)

กูเกิลระบุว่าปกติแล้วหน่วยงานออกใบรับรองต้องปกป้องโครงสร้างพื้นฐานของตนเองเป็นอย่างดี แต่ Symantec กลับปล่อยให้มีหน่วยงานอย่างน้อยสี่หน่วยงานเข้าไปยุ่งกับระบบออกใบรับรองของตัวเอง และไม่สามารถออกมาชี้แจงปัญหาได้อย่างรวดเร็ว และเปิดเผยให้คนภายนอกรู้เมื่อพบปัญหา

กูเกิลระบุมาตรการหลังจากนี้ 3 ประการ ได้แก่

  1. ลดอายุใบรับรองที่ออกใหม่จาก Symantec ทั้งหมดลงเหลือ 9 เดือน
  2. บีบอายุใบรับรองที่ออกไปแล้วลงอย่างช้าๆ จนเหลือ 9 เดือนใน Chrome 64
  3. ไม่แสดงแถบเขียว EV จากใบรับรองของ Symantec อีกต่อไป

สำหรับใบรับรองที่ออกไปแล้ว มาตรการในข้อ 2 จะค่อยๆ บีบจาก Chrome 59 จะลดอายุใบรับรองที่ยังเชื่อถือเหลือ 33 เดือน (1023 วัน), Chrome 60 เหลือ 27 เดือน (837 วัน), Chrome 61 เหลือ 21 เดือน (651 วัน), Chrome 62-63 เหลือ 15 เดือน (465 วัน), และ Chrome 64 เหลือ 9 เดือน (279 วัน) ตามกำหนดการ Chrome 64 จะออกช่วงเดือนมกราคม 2018

กูเกิลเตือนผู้ดูแลเว็บว่าสามารถใช้งานใบรับรองจาก Symantec ต่อไปได้แต่ให้ระวังอายุใบรับรองที่สั้นลง

ที่มา - blink-dev

Get latest news from Blognone