Tags:
Node Thumbnail

Let's Encrypt ประกาศเพิ่ม Root CA และ Intermediate CA ชุดใหม่สำหรับใช้ลายเซ็นดิจิทัลแบบ ECDSA P-384 ที่มีขนาดกุญแจสาธารณะเพียง 48 ไบต์ และขนาดลายเซ็น 96 ไบต์ เทียบกับ RSA-2048 ที่มีขนาดกุญแจสาธารณะถึง 256 ไบต์ และขนาดลายเซ็น 400 ไบต์ ทำให้ใบรับรองแต่ละใบที่มีทั้งกุญแจสาธารณะและลายเซ็น จะมีขนาดลดลงประมาณ 350 ไบต์

Root CA ตัวใหม่จะใช้ชื่อ "ISRG Root X2" ได้รับรองจาก "ISRG Root X1" ที่ได้อยู่ในฐานข้อมูลส่วนมากอยู่แล้ว โดย Root CA ใหม่จะมีอายุถึงปี 2040 แต่การออกใบรับรองจริงจะใช้ Intermediate CA สองตัว ได้แก่ Let's Encrypt E1 และ Let's Encrypt E2 ที่มีอายุ 5 ปี

Tags:
Node Thumbnail

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

Tags:
Node Thumbnail

วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น

Tags:
Node Thumbnail

ตอนนี้ Safari กำลังจะเริ่มบังคับใช้นโยบายใหม่ คือจะไม่ยอมรับใบรับรองเว็บไซต์ที่กำหนดวันหมดอายุไว้มากกว่า 13 เดือนนับจากวันสร้างใบรับรอง ซึ่งจะส่งผลโดยตรงต่อเว็บไซต์ที่ใช้ใบรับรองที่กำหนดวันหมดอายุไว้นาน ๆ

นโยบายใหม่นี้เสนอในที่ประชุม CA/Browser โดยเริ่มตั้งแต่วันที่ 1 กันยายน Safari จะไม่ยอมรับใบรับรองใดก็ตามที่มีอายุมากกว่า 398 วันนับจากวันออกใบรับรอง ลดลงจากเดิมที่กำหนดไว้ 825 วัน โดยจะขึ้นคำแจ้งเตือนผู้ใช้เหมือนกับเว็บไซต์ที่ใบรับรองไม่ปลอดภัย

Tags:
Node Thumbnail

AWS ส่งเมลแจ้งเตือนลูกค้าที่ใช้บริการฐานข้อมูล Amazon Aurora, Amazon Relational Database Service (RDS), Amazon DocumentDB ให้อัพเดตใบรับรองดิจิทัลเป็นใบใหม่ เพราะใบเก่าใกล้หมดอายุ มิฉะนั้นจะไม่สามารถเชื่อมต่อ SSL/TLS ได้

ใบรับรองดิจิทัลของ AWS มีอายุ 5 ปี แล้วต้องเปลี่ยนใหม่ตามนโยบายด้านความปลอดภัย โดยใบรับรองเดิม (CA-2015) จะหมดอายุในวันที่ 5 มีนาคม 2020 และ AWS ออกใบรับรองใหม่ (CA-2019) มาให้ตั้งแต่เดือนกันยายน 2019 สามารถกดเปลี่ยนได้ทันที

การเปลี่ยนใบรับรองสามารถทำได้จากหน้าเว็บคอนโซลของ AWS ในหน้า Certificate update หรือจะสั่งผ่านคอมมานด์ไลน์ก็ได้ (วิธีการดูได้ตามลิงก์) จากนั้นรีสตาร์ท instance นั้นๆ ก็เสร็จเรียบร้อย

Tags:
Node Thumbnail

เมื่อกลางดึกของคืนวันที่ 3 พฤษภาคม มีผู้ใช้ Firefox จำนวนมากพบว่า Add-ons เกือบทั้งหมดที่ติดตั้งถูกปิด (disabled) จากการตรวจสอบโดยอาสาสมัครจำนวนมากพบว่าเป็นผลจากใบรับรองหมดอายุ

มีผู้ใช้หลายคนพยายามนำเสนอวิธีการแก้ไขชั่วคราวเช่น เปลี่ยนค่า "xpinstall.signatures.required" ใน about:config เป็น false หรือ เปลี่ยนเวลาในเครื่องคอมพิวเตอร์ชั่วคราว แต่ก็ไม่ได้แก้ไขได้ในทุกกรณี

จนถึงตอนนี้ยังไม่มีคำชี้แจงอย่างเป็นทางการจาก Mozilla

Tags:
Node Thumbnail

ระหว่างที่เมลลิ่งลิสต์ mozilla.dev.security.policy (MDSP) กำลังพิจารณารองรับให้บริษัท DarkMatter เข้าเป็นหน่วยงานออกใบรับรองเข้ารหัส (certification authority - CA) Corey Bonnell วิศวกรจาก Sophos พบว่าใบรับรองของ DarkMatter นั้นออกใบรับรองที่หมายเลขซีเรียลความยาวขาดไป 1 บิต จึงโต้แย้งว่าไม่ควรรับ DarkMatter เข้าเป็น CA แต่ปรากฎว่าเมื่อตรวจสอบใบ CA รายสำคัญได้แก่ แอปเปิล, กูเกิล, และ GoDaddy ก็ล้วนออกใบรับรองที่ความยาวหมายเลขซีเรียลไม่เพียงพอเช่นกัน และต้องออกใบรับรองใหม่ทั้งหมดกว่าล้านใบ

Tags:
Node Thumbnail

Ericsson พลาดปล่อยให้ใบรับรองเข้ารหัส บนซอฟต์แวร์จัดการเครือข่าย SGSN–MME (Serving GPRS Support Node – Mobility Management Entity) หมดอายุ ส่งผลให้เครือข่ายโทรศัพท์มือถือล่มพร้อมกันหลายประเทศ

แถลงของ Ericsson ไม่ได้ระบุว่าเครือข่ายใดที่ได้รับผลกระทบบ้าง แต่เครือข่ายหนึ่งที่แถลงออกมาคือ O2 ในอังกฤษ ที่เครือข่ายล่มทั้ง 3G และ 4G ไปทั้งวัน โดยความคืบหน้าล่าสุดสามารถกู้ 3G กลับมาได้แล้ว แต่ 4G ยังมีปัญหา

เมื่อวานนี้ SoftBank ในญี่ปุ่นเองก็มีปัญหาเครือข่ายล่ม แต่ไม่สามารถยืนยันได้ว่าเป็นกรณีเดียวกันหรือไม่

Tags:
Node Thumbnail

Chrome 70 มีกำหนดการออกประมาณสัปดาห์หน้า ความเปลี่ยนแปลงสำคัญคือการเริ่มบล็อคใบรับรองของ ไซแมนเทคทั้งหมด ตามกำหนดการที่ประกาศมาตั้งแต่เดือนกันยายนปีที่แล้ว อย่างไรก็ตามเว็บสำคัญจำนวนหนึ่งยังคงไม่ได้เปลี่ยนใบรับรอง

Scott Helme นักวิจัยความปลอดภัยสแกนเว็บ 1 ล้านอันดับแรกตามอันดับ Alexa พบว่าเว็บจำนวน 1,139 เว็บ หรือเพียง 0.114% ที่ยังคงใช้ใบรับรองจากไซแมนเทคและหน่วยงานออกใบรับรองในเครือ

Tags:
Node Thumbnail

แอปเปิลประกาศถอนใบรับรองที่ออกโดย Symantec ตามรูปแบบเดียวกับที่กูเกิลประกาศใน Chrome 70 (ซึ่งเริ่มปล่อยเป็น Chrome Canary แล้ว) โดยยังเหลือใบรับรองที่ออกจนถึงสิ้นปี 2017 และจะเลิกเชื่อถือทั้งหมดภายหลังโดยยังไม่ประกาศวันที่แน่นอน แต่อาจจะเร็วที่สุดภายในปีนี้

สำหรับใบรับรองที่ยังใช้งานได้ จะเหลือเฉพาะใบรับรองที่เปิดเผยข้อมูลใน CT log เอาไว้เท่านั้น

สำหรับผู้ดูแลเว็บทั่วไปที่ยังใช้งานใบรับรองของ Symantec ตอนนี้อาจจะต้องตรวจสอบว่า root CA อยู่ในรายการที่ยกเลิกหรือยัง

ที่มา - Apple Support

Tags:
Node Thumbnail

จากที่กูเกิลได้ประกาศจะถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70 มาได้เกือบหนึ่งปีแล้วนั้น ตอนนี้ Chrome 70 ก็เริ่มปล่อยรุ่นทดลองมาแล้ว โดยโค้ดสำหรับบล็อคใบรับรองที่ออกโดย Symantec รวมไปถึงแบรนด์ลูกอย่าง RapidSSL, GeoTrust และ Thawte ก็ได้เข้าสู่ Chrome Canary ในเวอร์ชั่น 70.0.3503.0 เป็นที่เรียบร้อยแล้วเมื่อสองวันที่ผ่านมา โดยข้อความแจ้งเตือนจะระบุว่าเป็น ERR_CERT_SYMANTEC_LEGACY

Tags:
Node Thumbnail

update: ล่าสุดธนาคารทหารไทยแก้ไขเปลี่ยนใบรับรองเรียบร้อยแล้ว

ผู้ที่ใช้บริการธนาคารออนไลน์ของธนาคารทหารไทยสองสามวันนี้หลายคนเจอปัญหาไม่สามารถเข้าเว็บได้ เพราะ Chrome บนวินโดวส์เริ่มแจ้งปัญหาว่าใบรับรองเข้ารหัสถูกยกเลิกไปแล้ว

Tags:
Node Thumbnail

AWS เปิดตัวฟีเจอร์ใหม่คือ Private Certificate Authority หรือ Private CA อยู่ภายใต้บริการจัดการใบรับรองหรือ AWS Certificate Manager (ACM)

แต่เดิมนั้น การรับรองส่วนตัวเพื่อใช้งานภายในกลุ่มหรือองค์กร จะต้องมีโครงสร้างพื้นฐานแบบพิเศษรวมถึงความรู้ด้านความปลอดภัย ซึ่งทำให้การจัดการและดำเนินงานมีความซับซ้อนและค่าใช้จ่ายสูง ฟีเจอร์ Private CA ของ AWS จะเข้ามาตอบโจทย์นี้ โดยระบบจะถูกรวมเข้ากับ ACM จึงทำให้ผู้ใช้สามารถจัดการใบรับรองส่วนตัวได้ง่าย และใช้โมเดลจ่ายเงินแบบ pay as you go

Tags:
Node Thumbnail

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

ข้อมูล SCT เป็นข้อมูลที่หน่วยงานออกใบรับรอง (CA) ได้รับจากเซิร์ฟเวอร์ CT เพื่อยืนยันว่าใบรับรองนี้ถูกบันทึกต่อสาธารณะแล้วจริง โดยนโยบายการบันทึกลง CT ของ Let's Encrypt จะตรงกับของ Chrome คือต้องบันทึกอย่างน้อยสองเซิร์ฟเวอร์ เป็นของกูเกิลหนึ่งแห่งและของบริษัทอื่นอีกหนึ่งแห่ง

Tags:
Node Thumbnail

Jeremy Rowley จาก DigiCert แจ้งเตือนในกลุ่ม mozilla.dev.security.policy ว่าบริษัทกำลังประกาศยกเลิก (revoke) ใบรับรองรวดเดียวจำนวน 23,000 ใบ หลังยืนยันได้ว่ากุญแจสำหรับใบรับรองเหล่านั้นหลุดออกไปยังผู้อื่นแล้วจริง

อีเมลของ Rwoley ระบุว่าใบรับรองเหล่านี้ขายผ่านบริษัทตัวแทน Trustico ที่แจ้งขอยกเลิกใบรับรองเหล่านี้มาตั้งแต่ต้นเดือนกุมภาพันธ์แต่กลับสื่อสารผิดพลาดจึงไม่เดินหน้าไปไหน โดยทาง DigiCert ขอหลักฐานว่ากุญแจรั่วไหลออกไปแล้วจริง

ภายหลังทาง DigiCert ได้รับไฟล์กุญแจลับที่ตรงกับใบรับรอง 23,000 ใบ ทำให้บริษัทเตรียมยกเลิกใบรับรองเหล่านี้ทั้งหมด อย่างไรก็ดีรายชื่อใบรับรองที่ได้รับแจ้งมา แต่ยังไม่ส่งหลักฐานนั้นมากกว่านี้ โดยรวมแล้วมีประมาณ 50,000 รายการ

Tags:
Node Thumbnail

เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ

Tags:
Node Thumbnail

กูเกิลประกาศตารางเวลาการถอด root CA ของไซแมนเทคและแบรนด์ลูกต่างๆ ออกจาก Chrome หลังมีรายงานว่า มีใบรับรองที่ออกอย่างไม่ถูกต้องกว่า 30,000 ใบ หลังจากเจรจากันอยู่หลายรอบข้อยุติคือไซแมนเทคจะต้องล้างระบบออกใบรับรองใหม่ที่ให้บริการโดยผู้ให้บริการรายอื่น และตอนนี้ไซแมนเทคก็เลือกให้ DigiCert เป็นผู้ให้บริการหลังจากประกาศขายกิจการออกใบรับรองทั้งหมดให้ DigiCert ไปด้วยเมื่อเดือนที่แล้ว

Tags:
Node Thumbnail

WoSign CA Limited ผู้ให้บริการออกใบรับรองจากจีนที่มีปัญหาการออกใบรับรองจนกระทั่งเบราว์เซอร์และระบบปฎิบัติการหลักๆ ล้วนถอนความเชื่อถือออก ประกาศเปลี่ยนชื่อเป็น WoTrus CA Limited ตั้งแต่วันที่ 24 สิงหาคมที่ผ่านมา

ชื่อภาษาจีนของ WoTrus ยังคงเดิม และเร็วๆ นี้จะสร้างเว็บ wotrus.com ขึ้นมาใหม่ ส่วนเว็บ wosign.com จะขายใบรับรองจาก sub-CA ที่สร้างขึ้นมาใหม่ภายใต้ root-CA ใหม่ แต่ได้รับความเชื่อถือจากทุกเบราว์เซอร์

ตอนนี้ยังไม่มีข้อมูลการขอให้เบราว์เซอร์เชื่อถือ root CA ใหม่จาก WoTrus แต่อย่างใด

ที่มา - WoSign

Tags:
Node Thumbnail

ไซแมนเทคประกาศขายกิจการการออกใบรับรองและความปลอดภัยเว็บให้กับ DigiCert ด้วยเงินสด 950 ล้านดอลลาร์ และหุ้นของ DigiCert อีก 30%

ธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคมีปัญหาในช่วงหลัง จากการออกใบรับรองผิดพลาดจำนวนมากจนกระทั่งผู้ผลิตเบราว์เซอร์กำหนดเส้นตายในการหยุดรับรองใบรับรองจากไซแมนเทค ล่าสุดมอซิลล่าประกาศว่าจะปรับระยะเวลาการยกเลิกรองรับใบรับรองจากไซแมคเทคให้ตรงกับโครม โดยจะเหลื่อมกันเล็กน้อยขึ้นกับช่วงเวลาที่ออกเวอร์ชั่นใหม่

ไซแมนเทคระบุว่าการขายครั้งนี้จะทำให้บริษัทมุ่งเป้าไปยังระบบความปลอดภัยสำหรับองค์กรได้ดีขึ้น

Tags:
Node Thumbnail

จากกรณีที่กูเกิลโครมเตรียมปลดสถานะ EV และหดระยะเวลาการรับรองใบรับรองดิจิตอลที่ออกโดยไซแมนเทคให้สั้นลงกว่าอายุจริงของใบรับรองเองจากสาเหตุการไม่ปฏิบัติตามมาตรฐานการออกใบรับรองของไซแมนเทคในช่วงเวลาที่ผ่านมานั้น โคโมโด (Comodo) ซึ่งเป็นผู้ให้บริการออกใบรับรองที่มีส่วนแบ่งการตลาดมากที่สุดในเวลานี้ก็ได้ออกโปรฯพิเศษสำหรับลูกค้าไซแมนเทคที่ได้รับผลกระทบจากกรณีดังกล่าว ซึ่งครอบคลุม CA ทั้ง 3 แบรนด์ภายใต้ไซแมนเทค คือ Symantec, Thawte และ GeoTrust โดยให้สิทธิ์การขอรับใบรับรองใบใหม่จากโคโมโดไปใช้แทนของเดิมได้ฟรีเป็นเวลา 1 ปี

Tags:
Node Thumbnail

สำนักข่าวรอยเตอร์อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าไซแมนเทคบริษัทให้บริการด้านความปลอดภัยกำลังหาผู้ซื้อกิจการออกใบรับรอง และอยู่ระหว่างการเจรจากับผู้ซื้อหลายราย คาดว่าจะขายได้ราคาสูงถึงพันล้านดอลลาร์ อย่างไรก็ดียังไม่มีการตกลงแน่ชัดกับผู้ซื้อรายใดๆ

ธุรกิจออกใบรับรอง (certification authority - CA) ของไซแมนเทคเป็นธุรกิจขนาดใหญ่ แต่หลังจากมีความผิดพลาดจากการเปิดให้หน่วยงานภายนอกออกใบรับรองแทน (registration authority - RA) ทางไซแมนเทคจึงกลายเป็นผู้ต้องรับผิดชอบ การเจรจารอบล่าสุดทั้งกูเกิลและมอซิลล่าต่างเสนอให้ไซแมนเทควางมือจากการออกใบรับรองด้วยตัวเอง และทำหน้าที่ฝ่ายขายเพียงอย่างเดียว

Tags:
Node Thumbnail

กูเกิลประกาศหยุดเชื่อถือใบรับรองของ WoSign และ StartCom (ที่ถูก WoSign ซื้อในปี 2015) ไปตั้งแต่ปีที่แล้ว โดยตอนนี้ยังมีเซิร์ฟเวอร์จำนวนหนึ่งใช้งานใบรับรองของทั้งสองบริษัทอยู่ แต่ในเวอร์ชั่นล่าสุดกูเกิลก็ประกาศชัดเจนแล้วว่าจะถอดใบรับรองของ CA ทั้งสองออกอย่างถาวร

มาตรการก่อนหน้านี้ของกูเกิลคือการไม่เชื่อถือใบรับรองที่ออกหลังวันที่ 21 ตุลาคม 2016 หลังจากนั้นมีการจำกัดเซิร์ฟเวอร์ที่ใช้งานได้ไว้สำหรับหนึ่งล้านเว็บแรกตามอันดับของ Alexa เท่านั้น

Tags:
Node Thumbnail

ตั้งแต่ Let's Encrypt ออกใบรับรองฟรีให้กับเว็บทั่วโลก ความลำบากก็ตกอยู่กับผู้ให้บริการใบรับรองแบบเสียเงินที่เคยคิดค่าบริการรายปีสำหรับการออกใบรับรอง แต่ผู้ให้บริการเหล่านั้นก็ยังมีสินค้าสำคัญ คือการออกใบรับรองแบบใช้กับ subdomain ได้ทั้งหมด หรือเรียกว่าใบรับรอง wildcard (เช่น *.blognone.com)

บริการที่ใช้ใบรับรอง wildcard เช่นนี้ เช่น บริการโฮสต์หรือบริการเว็บบล็อก เช่น WordPress ที่ลูกค้ามักได้โดเมนเป็นของตัวเองทุกราย

การออกใบรับรอง wildcard เป็นส่วนหนึ่งของการรองรับโปรโตคอล ACMEv2 โดยจะรองรับผ่านการยืนยันตัวตนแบบ DNS เท่านั้น ไม่สามารถใช้ certbot เพื่อยืนยันตัวตนแบบทุกวันนี้ได้

Tags:
Node Thumbnail

Koen Rouwhorst วิศวกรซอฟต์แวร์ของเว็บ Blendle แกะโปรแกรม NOW TV ของเครือข่าย Sky แล้วพบว่ามีใบรับรองของโดเมน drmlocal.cisco.com พร้อมกับกุญแจลับฝังอยู่ในตัวโปรแกรม แนวทางเช่นนี้ทำให้แฮกเกอร์สามารถสร้างเว็บ https://drmlocal.cisco.com/ ได้เหมือนเป็นเซิร์ฟเวอร์ของซิสโก้เอง และหากมีคุกกี้จากโดเมนอื่นที่ตั้ง scope ไว้เป็น cisco.com แฮกเกอร์ก็จะสามารถดึงคุกกี้ออกไปได้

ผู้ออกใบรับรองนี้คือ HydrantID แม้จะไม่ได้ทำผิดพลาดด้วยตัวเอง แต่ต้องรีบยกเลิกใบรับรองที่รู้ว่ารั่วไหลออกไปแล้วโดยเร็ว ล่าสุด CRL ของ HydrantID ก็ประกาศยกเลิกใบรับรองนี้แล้ว

Tags:
Node Thumbnail

StartCom เป็นหน่วยงานออกใบรับรองอิสราเอลที่ WoSign จากจีนซื้อไปตั้งแต่ปี 2015 แต่ภายหลังจากมีเหตุการณ์ WoSign ออกใบรับรองผิดพลาด ก็ทำให้ มอซิลล่า และ Chrome เลิกเชื่อถือทั้ง WoSign และ StartCom ไปพร้อมกัน วันนี้กลับมีเหตุการณ์ความผิดพลาดอีกครั้ง เมื่อ StartCom ประกาศยกเลิกใบรับรอง Intermediate CA ของ WoSign ที่ทำการ cross-sign กันเอาไว้

Pages