Tags:
Node Thumbnail

Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน

Tags:
Node Thumbnail

โครงการ Chromium ที่เป็นฐานของเบราว์เซอร์ Chrome ประกาศโครงการ Chrome Root Program และ Chrome Root Store เพื่อจัดการฐานข้อมูล root CA ที่สามารถออกใบรับรองเข้ารหัสแบบต่างๆ ได้

ที่ผ่านมา Chromium/Chrome ใช้ฐานข้อมูล root CA ของแพลตฟอร์มเป็นหลัก ทำให้ประสบการณ์ใช้งานต่างกันในแต่ละแพลตฟอร์ม เช่น บนระบบปฎิบัติการรุ่นเก่าๆ ก็อาจจะไม่สามารถเข้าเว็บที่ใบรับรองจาก root CA ใหม่ๆ ได้แม้จะใช้ Chrome รุ่นใหม่ก็ตาม อย่างไรก็ดี แม้จะใช้ฐานข้อมูลของระบบปฎิบัติการแต่ที่ผ่านมา Chrome ก็มีนโยบายเพิ่มเติมไม่ยอมรับ root CA บางรายอยู่แล้ว เช่น เหตุการณ์ถอดถอน root CA ของ Synmantec การมีโครงการ root CA ของตัวเองจะทำให้ตัวเบราว์เซอร์ควบคุมได้มากขึ้น

Tags:
Node Thumbnail

Google Cloud ปรับสถานะบริการ Cloud Certificate Manager เข้าสู่ GA ให้ลูกค้าใช้งานได้ทุกคน หลังจากเปิดบริการแบบวงปิดตั้งแต่ต้นปีที่ผ่านมา ผู้ใช้ Google Cloud สามารถขอใบรับรองได้ฟรีแม้จะเป็นผู้ใช้ที่ไม่ได้จ่ายเงินก็ตาม

กระบวนการขอใบรับรองจะมีขั้นตอนเพิ่มเติมจากการขอใบรับรองจาก Let's Encrypt คือต้องสร้างกุญแจผูกกับบัญชีผู้ใช้ (External Account Binding - EAB) จาก Google Cloud เสียก่อน จากนั้นใส่ค่านี้ในไคลเอนต์ของ ACME ที่รองรับ เช่น certbot ก็จะขอใบรับรองได้ไม่ต่างกัน

Tags:
Node Thumbnail

Google Cloud เปิดบริการออกใบรับรองเข้ารหัสจาก Certification Authority ของกูเกิลเองผ่านโปรโตคอล ACME ทำให้สามารถใช้ซอฟต์แวร์ขอใบรับรองต่างๆ ที่มีในตลาดเพื่อออกใบรับอรงได้

ทุกวันนี้การขอใบรับรองผ่าน ACME มักใช้งานกับ Let's Encrypt เป็นส่วนใหญ่ แต่ CA หลายรายรวมถึงรายที่ให้บริการแบบคิดค่าบริการก็เริ่มรองรับ ACME กันมากแล้ว แม้ว่า Let's Encrypt จะให้บริการได้เป็นอย่างดี แต่การมี CA สำรองก็เป็นสิ่งสำคัญในกรณีที่บริการบางตัวอาจจะมีปัญหาขึ้นมา

Tags:
Node Thumbnail

บริการรัฐบาลอิเล็กทรอนิกส์รัสเซีย หรือ Gosuslugi เปิดให้บริการออกใบรับรองดิจิทัล เพียงไม่กี่วันหลังจากรัสเซียบุกยูเครน ป้องกันกรณีที่บริษัทออกใบรับรองหยุดให้บริการในรัสเซียและทำให้บริการสำคัญๆ เข้าผ่านเบราว์เซอร์ไม่ได้

ใบรับรอง Russian Trusted Root CA (หมายเลข serial E1:D1:81:E5:CE:5A:5F:04:AA:D2:E9:B6:9D:66:B1:C5:FA:AC:2C:87) เพิ่งสร้างเมื่อวันที่ 1 มีนาคมที่ผ่านมา และตอนนี้เบราว์เซอร์รัสเซีย เช่น Yandex และ Atom (ของค่าย Vk) ก็ยอมรับไว้ในเบราว์เซอร์แล้ว กระบวนการออกใบรับรองยังเป็นการตรวจเอกสารทำให้การออกใบรับรองอาจใช้เวลาถึง 5 วัน หน่วยงานที่ออกใบรับรองไปแล้ว เช่น ธนาคาร Sberbank, ธนาคาร VTB, และธนาคารกลางรัสเซีย ตอนนี้การใช้งานใบรับรองของรัสเซียยังเป็นไปตามสมัครใจ

Tags:
Node Thumbnail

จากข่าว NVIDIA ยืนยันข่าวโดนแฮ็กระบบ แฮ็กเกอร์ได้ข้อมูลพนักงานและซอร์สโค้ด ตอนนี้วงการความปลอดภัยเริ่มตรวจพบมัลแวร์ที่ใช้ใบรับรองดิจิทัลของ NVIDIA ที่หลุดออกมา เซ็นรับรองไบนารีเพื่อเพิ่มความน่าเชื่อถือแล้ว

Tags:
Node Thumbnail

เมื่อวันที่ 15 มิถุนายน 2564 ผู้เขียนข่าวพบว่าระบบไทยชนะ ทั้งตัวแอปพลิเคชันและเว็บไซต์ qr.thaichana.com ไม่สามารถใช้งานได้ เนื่องจากใบรับรอง HTTPS ได้หมดอายุไปแล้ว

ก่อนหน้านี้แอปพลิเคชันหมอชนะก็เคยใช้งานไม่ได้เนื่องจากใบรับรองหมดอายุเช่นเดียวกัน

ที่มา - พบเอง

Tags:
Node Thumbnail

เราเห็นปัญหาความปลอดภัยของระบบใบรับรองดิจิทัลบ่อยขึ้นเรื่อยๆ (อ่านในแท็ก Digital Certificate) แม้แต่ผู้ให้บริการรายใหญ่อย่าง Let's Encrypt ก็เคยเจอปัญหาบั๊กในระบบ จนต้องออกใบรับรองใหม่ 3 ล้านฉบับเมื่อต้นปี 2020

Let's Encrypt บอกว่าปกติแล้วออกใบรับรองใหม่วันละ 2 ล้านฉบับ ออกใบรับรองไปเกิน 1 พันล้านฉบับแล้ว (ตัวเลขเมื่อต้นปี 2020) ถ้านับเฉพาะใบรับรองที่ยังไม่หมดอายุและใช้งานอยู่จริง มีอยู่ราว 150 ล้านฉบับ

Tags:
Node Thumbnail

หลังจาก Let's Encrypt ประกาศเลิกทำ cross-sign จาก IdenTrust แล้วใช้ ISRG Root X1 ของตัวเองเป็น root CA ที่ระบบปฎิบัติการของไคลเอนต์ต้องเชื่อถือ แต่ระบบปฎิบัติการเก่าโดยเฉพาะแอนดรอยด์ที่เก่ากว่าเวอร์ชั่น 7.1.1 จะไม่เชื่อถือใบรับรอง ตอนนี้ทาง Let's Encrypt ก็ออกแนวทางใหม่ออกมา ทำให้ใบรับรองหลังจากนี้สามารถใช้กับอุปกรณ์รุ่นเก่าได้ต่อไป

Tags:
Node Thumbnail

กูเกิล, ไมโครซอฟท์, มอซิลล่า, และแอปเปิล ร่วมกันแบนใบรับรอง root CA ของรัฐบาลคาซัคสถานไม่ให้ติดตั้งลงเบราว์เซอร์ได้ หลังรัฐบาลพยายามแจ้งให้ประชาชนติดตั้งใบรับรองเพื่อดักฟังการเชื่อมต่อเข้ารหัส โดยรัฐบาลอ้างว่าเป็นการฝึกหน่วยงานรัฐให้รับมือการโจมตีทางไซเบอร์

Tags:
Node Thumbnail

Let's Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรีประกาศว่าตั้งแต่ 1 กันยายน 2021 เป็นต้นไปใบรับรองของ Let's Encrypt จะไม่ได้รับการ cross-sign โดย IdenTrust อีกแล้ว ทำให้เบราว์เซอร์เก่าที่ไม่ได้ใส่ใบรับรอง ISRG Root X1 เอาไว้ในระบบจะมองว่าใบรับรองจาก Let's Encrypt ไม่น่าเชื่อถืออีกต่อไป

การเปลี่ยนเส้นทางใบรับรองเช่นนี้มีผลกระทบต่อระบบปฎิบัติการเก่าๆ มาเสมอ แต่รอบนี้จุดน่ากังวลที่สุดคือแอนดรอยด์ที่ยังมีการใช้งานเวอร์ชั่นเก่าอยู่ในระดับสูงมาก โดยแอนดรอยด์ใส่ใบรับรอง ISRG Root X1 ตั้งแต่เวอร์ชั่น 7.1.1 เป็นต้นมา แต่สถิติล่าสุดของกูเกิลก็แสดงว่ามีผู้ใช้ที่รันแอนดรอยด์เวอร์ชั่นเก่ากว่านั้นถึง 33.8% ซึ่งคาดว่าจะกระทบกับเว็บทั่วไปคิดเป็นทราฟิก 1-5%

Tags:
Node Thumbnail

Let's Encrypt ประกาศเพิ่ม Root CA และ Intermediate CA ชุดใหม่สำหรับใช้ลายเซ็นดิจิทัลแบบ ECDSA P-384 ที่มีขนาดกุญแจสาธารณะเพียง 48 ไบต์ และขนาดลายเซ็น 96 ไบต์ เทียบกับ RSA-2048 ที่มีขนาดกุญแจสาธารณะถึง 256 ไบต์ และขนาดลายเซ็น 400 ไบต์ ทำให้ใบรับรองแต่ละใบที่มีทั้งกุญแจสาธารณะและลายเซ็น จะมีขนาดลดลงประมาณ 350 ไบต์

Root CA ตัวใหม่จะใช้ชื่อ "ISRG Root X2" ได้รับรองจาก "ISRG Root X1" ที่ได้อยู่ในฐานข้อมูลส่วนมากอยู่แล้ว โดย Root CA ใหม่จะมีอายุถึงปี 2040 แต่การออกใบรับรองจริงจะใช้ Intermediate CA สองตัว ได้แก่ Let's Encrypt E1 และ Let's Encrypt E2 ที่มีอายุ 5 ปี

Tags:
Node Thumbnail

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

Tags:
Node Thumbnail

วันนี้ (30 พฤษภาคม 2020) ใบรับรอง root CA ของ AddTrust (หมายเลขประจำตัวบน crt.sh เป็น 1) ถึงกำหนดหมดอายุหลังใช้งานมาแล้ว 20 ปี อาจส่งผลกระทบถึงใบรับรองจำนวนมากที่ cross-sign กับทาง AddTrust ไม่สามารถใช้งานได้กับไคลเอนต์เก่าๆ เช่น Ubuntu Trusty 14.04 เป็นต้น

Tags:
Node Thumbnail

ตอนนี้ Safari กำลังจะเริ่มบังคับใช้นโยบายใหม่ คือจะไม่ยอมรับใบรับรองเว็บไซต์ที่กำหนดวันหมดอายุไว้มากกว่า 13 เดือนนับจากวันสร้างใบรับรอง ซึ่งจะส่งผลโดยตรงต่อเว็บไซต์ที่ใช้ใบรับรองที่กำหนดวันหมดอายุไว้นาน ๆ

นโยบายใหม่นี้เสนอในที่ประชุม CA/Browser โดยเริ่มตั้งแต่วันที่ 1 กันยายน Safari จะไม่ยอมรับใบรับรองใดก็ตามที่มีอายุมากกว่า 398 วันนับจากวันออกใบรับรอง ลดลงจากเดิมที่กำหนดไว้ 825 วัน โดยจะขึ้นคำแจ้งเตือนผู้ใช้เหมือนกับเว็บไซต์ที่ใบรับรองไม่ปลอดภัย

Tags:
Node Thumbnail

AWS ส่งเมลแจ้งเตือนลูกค้าที่ใช้บริการฐานข้อมูล Amazon Aurora, Amazon Relational Database Service (RDS), Amazon DocumentDB ให้อัพเดตใบรับรองดิจิทัลเป็นใบใหม่ เพราะใบเก่าใกล้หมดอายุ มิฉะนั้นจะไม่สามารถเชื่อมต่อ SSL/TLS ได้

ใบรับรองดิจิทัลของ AWS มีอายุ 5 ปี แล้วต้องเปลี่ยนใหม่ตามนโยบายด้านความปลอดภัย โดยใบรับรองเดิม (CA-2015) จะหมดอายุในวันที่ 5 มีนาคม 2020 และ AWS ออกใบรับรองใหม่ (CA-2019) มาให้ตั้งแต่เดือนกันยายน 2019 สามารถกดเปลี่ยนได้ทันที

การเปลี่ยนใบรับรองสามารถทำได้จากหน้าเว็บคอนโซลของ AWS ในหน้า Certificate update หรือจะสั่งผ่านคอมมานด์ไลน์ก็ได้ (วิธีการดูได้ตามลิงก์) จากนั้นรีสตาร์ท instance นั้นๆ ก็เสร็จเรียบร้อย

Tags:
Node Thumbnail

เมื่อกลางดึกของคืนวันที่ 3 พฤษภาคม มีผู้ใช้ Firefox จำนวนมากพบว่า Add-ons เกือบทั้งหมดที่ติดตั้งถูกปิด (disabled) จากการตรวจสอบโดยอาสาสมัครจำนวนมากพบว่าเป็นผลจากใบรับรองหมดอายุ

มีผู้ใช้หลายคนพยายามนำเสนอวิธีการแก้ไขชั่วคราวเช่น เปลี่ยนค่า "xpinstall.signatures.required" ใน about:config เป็น false หรือ เปลี่ยนเวลาในเครื่องคอมพิวเตอร์ชั่วคราว แต่ก็ไม่ได้แก้ไขได้ในทุกกรณี

จนถึงตอนนี้ยังไม่มีคำชี้แจงอย่างเป็นทางการจาก Mozilla

Tags:
Node Thumbnail

ระหว่างที่เมลลิ่งลิสต์ mozilla.dev.security.policy (MDSP) กำลังพิจารณารองรับให้บริษัท DarkMatter เข้าเป็นหน่วยงานออกใบรับรองเข้ารหัส (certification authority - CA) Corey Bonnell วิศวกรจาก Sophos พบว่าใบรับรองของ DarkMatter นั้นออกใบรับรองที่หมายเลขซีเรียลความยาวขาดไป 1 บิต จึงโต้แย้งว่าไม่ควรรับ DarkMatter เข้าเป็น CA แต่ปรากฎว่าเมื่อตรวจสอบใบ CA รายสำคัญได้แก่ แอปเปิล, กูเกิล, และ GoDaddy ก็ล้วนออกใบรับรองที่ความยาวหมายเลขซีเรียลไม่เพียงพอเช่นกัน และต้องออกใบรับรองใหม่ทั้งหมดกว่าล้านใบ

Tags:
Node Thumbnail

Ericsson พลาดปล่อยให้ใบรับรองเข้ารหัส บนซอฟต์แวร์จัดการเครือข่าย SGSN–MME (Serving GPRS Support Node – Mobility Management Entity) หมดอายุ ส่งผลให้เครือข่ายโทรศัพท์มือถือล่มพร้อมกันหลายประเทศ

แถลงของ Ericsson ไม่ได้ระบุว่าเครือข่ายใดที่ได้รับผลกระทบบ้าง แต่เครือข่ายหนึ่งที่แถลงออกมาคือ O2 ในอังกฤษ ที่เครือข่ายล่มทั้ง 3G และ 4G ไปทั้งวัน โดยความคืบหน้าล่าสุดสามารถกู้ 3G กลับมาได้แล้ว แต่ 4G ยังมีปัญหา

เมื่อวานนี้ SoftBank ในญี่ปุ่นเองก็มีปัญหาเครือข่ายล่ม แต่ไม่สามารถยืนยันได้ว่าเป็นกรณีเดียวกันหรือไม่

Tags:
Node Thumbnail

Chrome 70 มีกำหนดการออกประมาณสัปดาห์หน้า ความเปลี่ยนแปลงสำคัญคือการเริ่มบล็อคใบรับรองของ ไซแมนเทคทั้งหมด ตามกำหนดการที่ประกาศมาตั้งแต่เดือนกันยายนปีที่แล้ว อย่างไรก็ตามเว็บสำคัญจำนวนหนึ่งยังคงไม่ได้เปลี่ยนใบรับรอง

Scott Helme นักวิจัยความปลอดภัยสแกนเว็บ 1 ล้านอันดับแรกตามอันดับ Alexa พบว่าเว็บจำนวน 1,139 เว็บ หรือเพียง 0.114% ที่ยังคงใช้ใบรับรองจากไซแมนเทคและหน่วยงานออกใบรับรองในเครือ

Tags:
Node Thumbnail

แอปเปิลประกาศถอนใบรับรองที่ออกโดย Symantec ตามรูปแบบเดียวกับที่กูเกิลประกาศใน Chrome 70 (ซึ่งเริ่มปล่อยเป็น Chrome Canary แล้ว) โดยยังเหลือใบรับรองที่ออกจนถึงสิ้นปี 2017 และจะเลิกเชื่อถือทั้งหมดภายหลังโดยยังไม่ประกาศวันที่แน่นอน แต่อาจจะเร็วที่สุดภายในปีนี้

สำหรับใบรับรองที่ยังใช้งานได้ จะเหลือเฉพาะใบรับรองที่เปิดเผยข้อมูลใน CT log เอาไว้เท่านั้น

สำหรับผู้ดูแลเว็บทั่วไปที่ยังใช้งานใบรับรองของ Symantec ตอนนี้อาจจะต้องตรวจสอบว่า root CA อยู่ในรายการที่ยกเลิกหรือยัง

ที่มา - Apple Support

Tags:
Node Thumbnail

จากที่กูเกิลได้ประกาศจะถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70 มาได้เกือบหนึ่งปีแล้วนั้น ตอนนี้ Chrome 70 ก็เริ่มปล่อยรุ่นทดลองมาแล้ว โดยโค้ดสำหรับบล็อคใบรับรองที่ออกโดย Symantec รวมไปถึงแบรนด์ลูกอย่าง RapidSSL, GeoTrust และ Thawte ก็ได้เข้าสู่ Chrome Canary ในเวอร์ชั่น 70.0.3503.0 เป็นที่เรียบร้อยแล้วเมื่อสองวันที่ผ่านมา โดยข้อความแจ้งเตือนจะระบุว่าเป็น ERR_CERT_SYMANTEC_LEGACY

Tags:
Node Thumbnail

update: ล่าสุดธนาคารทหารไทยแก้ไขเปลี่ยนใบรับรองเรียบร้อยแล้ว

ผู้ที่ใช้บริการธนาคารออนไลน์ของธนาคารทหารไทยสองสามวันนี้หลายคนเจอปัญหาไม่สามารถเข้าเว็บได้ เพราะ Chrome บนวินโดวส์เริ่มแจ้งปัญหาว่าใบรับรองเข้ารหัสถูกยกเลิกไปแล้ว

Tags:
Node Thumbnail

AWS เปิดตัวฟีเจอร์ใหม่คือ Private Certificate Authority หรือ Private CA อยู่ภายใต้บริการจัดการใบรับรองหรือ AWS Certificate Manager (ACM)

แต่เดิมนั้น การรับรองส่วนตัวเพื่อใช้งานภายในกลุ่มหรือองค์กร จะต้องมีโครงสร้างพื้นฐานแบบพิเศษรวมถึงความรู้ด้านความปลอดภัย ซึ่งทำให้การจัดการและดำเนินงานมีความซับซ้อนและค่าใช้จ่ายสูง ฟีเจอร์ Private CA ของ AWS จะเข้ามาตอบโจทย์นี้ โดยระบบจะถูกรวมเข้ากับ ACM จึงทำให้ผู้ใช้สามารถจัดการใบรับรองส่วนตัวได้ง่าย และใช้โมเดลจ่ายเงินแบบ pay as you go

Tags:
Node Thumbnail

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

ข้อมูล SCT เป็นข้อมูลที่หน่วยงานออกใบรับรอง (CA) ได้รับจากเซิร์ฟเวอร์ CT เพื่อยืนยันว่าใบรับรองนี้ถูกบันทึกต่อสาธารณะแล้วจริง โดยนโยบายการบันทึกลง CT ของ Let's Encrypt จะตรงกับของ Chrome คือต้องบันทึกอย่างน้อยสองเซิร์ฟเวอร์ เป็นของกูเกิลหนึ่งแห่งและของบริษัทอื่นอีกหนึ่งแห่ง

Pages