Tags:
Node Thumbnail

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น

กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority - RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้

ไซแมนเทคออกมายอมรับว่า RA เหล่านี้ไม่ได้ทำตามกระบวนการตรวจสอบอย่างถูกต้อง ไม่ส่งรายงานการดำเนินการประจำปี บางรายไม่ได้รับการตรวจสอบโดยผู้ตรวจสอบที่ได้รับอนุญาตจาก WebTrust จนมาแก้ไขภายหลัง

กูเกิลระบุว่าเนื่องจากหน่วยงานเหล่านี้ไม่ได้ถูกตรวจสอบอย่างถูกต้อง และหน่วยงานเหล่านี้ออกใบรับรองรวมแล้วกว่า 30,000 ใบ จึงไม่สามารถยืนยันความถูกต้องของใบรับรองเหล่านี้ทั้งหมด

ตอนนี้ไซแมนเทคยกเลิกโครงการ RA ภายนอกไปทั้งหมดแล้ว พร้อมกับระบุว่าใบรับรองทั้งหมดที่ออกผิดพลาดไม่อันตรายต่อผู้ใช้ทั่วไป และจะหาทางให้ลูกค้าสามารถรับมือกับข้อกำหนดใหม่ของกูเกิลทั้งการเปลี่ยนใบรับรองใหม่ และการอัพเดตใบรับรองที่หมดอายุเร็วขึ้น

สำหรับคนทั่วไปที่ไม่ได้ใช้ใบรับรอง EV ความน่ากังวลคือการลดอายุใบรับรองที่อาจจะทำให้ผู้ใช้ทั่วไปเข้าเว็บไม่ได้ กูเกิลชี้แจงเพิ่มเติมเป็นเอกสาร explainer ใน GitHub

อย่างไรก็ดี ประกาศของกูเกิลยังเป็นเพียง "ความตั้งใจ" (intent) เท่านั้น เวอร์ชั่นล่าสุดยังไม่มีผลกระทบใดๆ แม้ว่าจะมีบางธนาคารแถบเขียว EV หายไป แต่น่าจะเป็นบั๊กของ Chrome เอง (ธนาคารเกียรตินาคินที่ใช้ใบรับรองไซแมนเทค ยังคงแสดง green bar ถูกต้อง)

ที่มา - Blink-dev, Symantec

alt="upic.me"

Get latest news from Blognone

Comments

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 27 March 2017 - 20:31 #977241

หึหึ ไม่ได้ทำนะ เค้าแค่ตรวจคนที่จ่ายตังให้เขาน้อยไปหน่อยเท่านั้นเอง แต่เดี๋ยวก่อนคุณทำ Anti Virus มิใช่หรือคงจะหละหลวมไปถึงผลิตภัณฑ์อื่นด้วยหรอกนะ

By: Witna
ContributoriPhoneAndroidWindows
on 27 March 2017 - 22:15 #977247

หลังจากกูเกิลประกาศเตรียมระดับความเชื่อถือของหน่วยงาน ?

เตรียมหยั๋งครับ ?

By: McKay
ContributorAndroidWindowsIn Love
on 28 March 2017 - 00:24 #977253
McKay's picture

อย่าลืมว่าเมื่อปี 2015 กรณีเดียวกันก็เกิดขึ้นมาจาก Symantec แล้วนะครับ แถมกรณีนั้นไม่ได้เกิดจาก RA ด้วยแต่เป็น Symantec เอง


In Soviet Warcraft, Argus comes to you.

By: whitebigbird
Contributor
on 28 March 2017 - 08:22 #977269
whitebigbird's picture

ไซแมนเทคถึงกับจุก อุตส่าห์แก้ตัวกึ่งเหวี่ยงไปหน่อยๆ แล้ว