Digital Certificate

แอปเปิลเริ่มถอดใบรับรองจาก Symantec เตรียมถอดทั้งหมดในปีนี้

By lew

on 6 August 2018 - 11:17 Tag: Apple, Security, HTTPS, Symantec, Digital Certificate

Apple

แอปเปิลประกาศถอนใบรับรองที่ออกโดย Symantec ตามรูปแบบเดียวกับที่กูเกิลประกาศใน Chrome 70 (ซึ่งเริ่มปล่อยเป็น Chrome Canary แล้ว) โดยยังเหลือใบรับรองที่ออกจนถึงสิ้นปี 2017 และจะเลิกเชื่อถือทั้งหมดภายหลังโดยยังไม่ประกาศวันที่แน่นอน แต่อาจจะเร็วที่สุดภายในปีนี้

สำหรับใบรับรองที่ยังใช้งานได้ จะเหลือเฉพาะใบรับรองที่เปิดเผยข้อมูลใน CT log เอาไว้เท่านั้น

สำหรับผู้ดูแลเว็บทั่วไปที่ยังใช้งานใบรับรองของ Symantec ตอนนี้อาจจะต้องตรวจสอบว่า root CA อยู่ในรายการที่ยกเลิกหรือยัง

กูเกิลเริ่มการบล็อคใบรับรอง Symantec แบบถาวรแล้วใน Chrome Canary

By koronin

on 28 July 2018 - 07:00 Tag: Symantec, Google, Digital Certificate, Chrome

Symantec

จากที่กูเกิลได้ประกาศจะถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70 มาได้เกือบหนึ่งปีแล้วนั้น ตอนนี้ Chrome 70 ก็เริ่มปล่อยรุ่นทดลองมาแล้ว โดยโค้ดสำหรับบล็อคใบรับรองที่ออกโดย Symantec รวมไปถึงแบรนด์ลูกอย่าง RapidSSL, GeoTrust และ Thawte ก็ได้เข้าสู่ Chrome Canary ในเวอร์ชั่น 70.0.3503.0 เป็นที่เรียบร้อยแล้วเมื่อสองวันที่ผ่านมา โดยข้อความแจ้งเตือนจะระบุว่าเป็น ERR_CERT_SYMANTEC_LEGACY

[แก้ไขแล้ว] ธนาคารทหารไทยให้บริการเว็บ TMB Direct ด้วยใบรับรองที่ถูกยกเลิกไปแล้ว

By lew

on 25 July 2018 - 00:51 Tag: TMB, Thailand, Banking, Security, Digital Certificate

TMB

update: ล่าสุดธนาคารทหารไทยแก้ไขเปลี่ยนใบรับรองเรียบร้อยแล้ว

ผู้ที่ใช้บริการธนาคารออนไลน์ของธนาคารทหารไทยสองสามวันนี้หลายคนเจอปัญหาไม่สามารถเข้าเว็บได้ เพราะ Chrome บนวินโดวส์เริ่มแจ้งปัญหาว่าใบรับรองเข้ารหัสถูกยกเลิกไปแล้ว

AWS เปิดตัวฟีเจอร์ Private CA บริการสร้างและจัดการใบรับรองส่วนตัวบนคลาวด์

By nutmos

on 8 April 2018 - 08:49 Tag: AWS, Digital Certificate, Amazon, Security

AWS

AWS เปิดตัวฟีเจอร์ใหม่คือ Private Certificate Authority หรือ Private CA อยู่ภายใต้บริการจัดการใบรับรองหรือ AWS Certificate Manager (ACM)

แต่เดิมนั้น การรับรองส่วนตัวเพื่อใช้งานภายในกลุ่มหรือองค์กร จะต้องมีโครงสร้างพื้นฐานแบบพิเศษรวมถึงความรู้ด้านความปลอดภัย ซึ่งทำให้การจัดการและดำเนินงานมีความซับซ้อนและค่าใช้จ่ายสูง ฟีเจอร์ Private CA ของ AWS จะเข้ามาตอบโจทย์นี้ โดยระบบจะถูกรวมเข้ากับ ACM จึงทำให้ผู้ใช้สามารถจัดการใบรับรองส่วนตัวได้ง่าย และใช้โมเดลจ่ายเงินแบบ pay as you go

สู่ยุคใบรับรองโปร่งใส Let's Encrypt เพิ่มข้อมูล SCT, CloudFlare เปิดตัวเซิร์ฟเวอร์ Nimbus สำหรับล็อกใบรับรอง

By lew

on 30 March 2018 - 02:17 Tag: Let's Encrypt, Cloudflare, Digital Certificate

Let's Encrypt

กูเกิลเตรียมบังคับใบรับรองเข้ารหัสเว็บทุกใบต้องผ่านการบันทึกบนเซิร์ฟเวอร์ Certification Transparency (CT) ภายในเดือนเมษายนนี้ ตอนนี้ผู้ออกใบรับรองรายใหญ่อย่าง Let's Encrypt ก็ออกมาประกาศเพิ่มข้อมูลยืนยันการบันทึกลงล็อก (Signed Certificate Timestamps - SCT) ลงในใบรับรองโดยตรง เพื่อให้ใบรับรองใช้งานได้ต่อไปโดยผู้ดูแลระบบไม่ต้องทำอะไรเพิ่มอีก

DigiCert ประกาศ revoke ใบรับรองรวดเดียว 23,000 ใบ หลังพบหลักฐานว่ากุญแจหลุด อาจมีเพิ่มอีก

By lew

on 1 March 2018 - 01:33 Tag: Digital Certificate, Security

Digital Certificate

Jeremy Rowley จาก DigiCert แจ้งเตือนในกลุ่ม mozilla.dev.security.policy ว่าบริษัทกำลังประกาศยกเลิก (revoke) ใบรับรองรวดเดียวจำนวน 23,000 ใบ หลังยืนยันได้ว่ากุญแจสำหรับใบรับรองเหล่านั้นหลุดออกไปยังผู้อื่นแล้วจริง

อีเมลของ Rwoley ระบุว่าใบรับรองเหล่านี้ขายผ่านบริษัทตัวแทน Trustico ที่แจ้งขอยกเลิกใบรับรองเหล่านี้มาตั้งแต่ต้นเดือนกุมภาพันธ์แต่กลับสื่อสารผิดพลาดจึงไม่เดินหน้าไปไหน โดยทาง DigiCert ขอหลักฐานว่ากุญแจรั่วไหลออกไปแล้วจริง

ข้อจำกัดของใบรับรองแบบ EV, นักวิจัยขอใบรับรอง "Stripe, Inc" ได้สำเร็จ

By lew

on 13 December 2017 - 06:57 Tag: Digital Certificate, Security

Digital Certificate

เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ

เป็นทางการ กูเกิลประกาศถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70

By lew

on 12 September 2017 - 10:59 Tag: Symantec, Google, Digital Certificate, Chrome

Symantec

กูเกิลประกาศตารางเวลาการถอด root CA ของไซแมนเทคและแบรนด์ลูกต่างๆ ออกจาก Chrome หลังมีรายงานว่า มีใบรับรองที่ออกอย่างไม่ถูกต้องกว่า 30,000 ใบ หลังจากเจรจากันอยู่หลายรอบข้อยุติคือไซแมนเทคจะต้องล้างระบบออกใบรับรองใหม่ที่ให้บริการโดยผู้ให้บริการรายอื่น และตอนนี้ไซแมนเทคก็เลือกให้ DigiCert เป็นผู้ให้บริการหลังจากประกาศขายกิจการออกใบรับรองทั้งหมดให้ DigiCert ไปด้วยเมื่อเดือนที่แล้ว

WoSign คือ WoTrus บริษัทออกใบรับรองจีนเปลี่ยนชื่อ เตรียมให้บริการอีกครั้ง

By lew

on 5 September 2017 - 16:01 Tag: Digital Certificate, Security, China

Digital Certificate

WoSign CA Limited ผู้ให้บริการออกใบรับรองจากจีนที่มีปัญหาการออกใบรับรองจนกระทั่งเบราว์เซอร์และระบบปฎิบัติการหลักๆ ล้วนถอนความเชื่อถือออก ประกาศเปลี่ยนชื่อเป็น WoTrus CA Limited ตั้งแต่วันที่ 24 สิงหาคมที่ผ่านมา

ชื่อภาษาจีนของ WoTrus ยังคงเดิม และเร็วๆ นี้จะสร้างเว็บ wotrus.com ขึ้นมาใหม่ ส่วนเว็บ wosign.com จะขายใบรับรองจาก sub-CA ที่สร้างขึ้นมาใหม่ภายใต้ root-CA ใหม่ แต่ได้รับความเชื่อถือจากทุกเบราว์เซอร์

ตอนนี้ยังไม่มีข้อมูลการขอให้เบราว์เซอร์เชื่อถือ root CA ใหม่จาก WoTrus แต่อย่างใด

ไซแมนเทคขายกิจการออกใบรับรองและความปลอดภัยเว็บให้ DigiCert

By lew

on 4 August 2017 - 10:49 Tag: Symantec, Digital Certificate

Symantec

ไซแมนเทคประกาศขายกิจการการออกใบรับรองและความปลอดภัยเว็บให้กับ DigiCert ด้วยเงินสด 950 ล้านดอลลาร์ และหุ้นของ DigiCert อีก 30%

ธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคมีปัญหาในช่วงหลัง จากการออกใบรับรองผิดพลาดจำนวนมากจนกระทั่งผู้ผลิตเบราว์เซอร์กำหนดเส้นตายในการหยุดรับรองใบรับรองจากไซแมนเทค ล่าสุดมอซิลล่าประกาศว่าจะปรับระยะเวลาการยกเลิกรองรับใบรับรองจากไซแมคเทคให้ตรงกับโครม โดยจะเหลื่อมกันเล็กน้อยขึ้นกับช่วงเวลาที่ออกเวอร์ชั่นใหม่

Comodo จัดโปรฯพิเศษแจกฟรีใบรับรองสำหรับลูกค้า Symantec คู่แข่ง

By jedi

on 14 July 2017 - 14:00 Tag: Comodo, Symantec, Digital Certificate, Security

Comodo

จากกรณีที่กูเกิลโครมเตรียมปลดสถานะ EV และหดระยะเวลาการรับรองใบรับรองดิจิตอลที่ออกโดยไซแมนเทคให้สั้นลงกว่าอายุจริงของใบรับรองเองจากสาเหตุการไม่ปฏิบัติตามมาตรฐานการออกใบรับรองของไซแมนเทคในช่วงเวลาที่ผ่านมานั้น โคโมโด (Comodo) ซึ่งเป็นผู้ให้บริการออกใบรับรองที่มีส่วนแบ่งการตลาดมากที่สุดในเวลานี้ก็ได้ออกโปรฯพิเศษสำหรับลูกค้าไซแมนเทคที่ได้รับผลกระทบจากกรณีดังกล่าว ซึ่งครอบคลุม CA ทั้ง 3 แบรนด์ภายใต้ไซแมนเทค คือ Symantec, Thawte และ GeoTrust โดยให้สิทธิ์การขอรับใบรับรองใบใหม่จากโคโมโดไปใช้แทนของเดิมได้ฟรีเป็นเวลา 1 ปี โดยใบรับรองใ

[ข่าวลือ] Symantec เตรียมขายกิจการ CA คาดว่าราคาพันล้านดอลลาร์

By lew

on 12 July 2017 - 19:36 Tag: Symantec, Digital Certificate

Symantec

สำนักข่าวรอยเตอร์อ้างแหล่งข่าวไม่เปิดเผยตัวตน ระบุว่าไซแมนเทคบริษัทให้บริการด้านความปลอดภัยกำลังหาผู้ซื้อกิจการออกใบรับรอง และอยู่ระหว่างการเจรจากับผู้ซื้อหลายราย คาดว่าจะขายได้ราคาสูงถึงพันล้านดอลลาร์ อย่างไรก็ดียังไม่มีการตกลงแน่ชัดกับผู้ซื้อรายใดๆ

กูเกิลเริ่มถอดใบรับรองของ WoSign และ StartCom แบบหมดจด เข้าเบต้าสิ้นเดือนนี้, ตัวจริงออกเดือนกันยายน

By lew

on 11 July 2017 - 11:26 Tag: Chrome, WoSign, StartCom, Digital Certificate

Chrome

กูเกิลประกาศหยุดเชื่อถือใบรับรองของ WoSign และ StartCom (ที่ถูก WoSign ซื้อในปี 2015) ไปตั้งแต่ปีที่แล้ว โดยตอนนี้ยังมีเซิร์ฟเวอร์จำนวนหนึ่งใช้งานใบรับรองของทั้งสองบริษัทอยู่ แต่ในเวอร์ชั่นล่าสุดกูเกิลก็ประกาศชัดเจนแล้วว่าจะถอดใบรับรองของ CA ทั้งสองออกอย่างถาวร

มาตรการก่อนหน้านี้ของกูเกิลคือการไม่เชื่อถือใบรับรองที่ออกหลังวันที่ 21 ตุลาคม 2016 หลังจากนั้นมีการจำกัดเซิร์ฟเวอร์ที่ใช้งานได้ไว้สำหรับหนึ่งล้านเว็บแรกตามอันดับของ Alexa เท่านั้น

ไม่เหลือที่ยืนให้บริการเสียเงิน Let's Encrypt ประกาศรองรับใบรับรอง Wildcard ในปี 2018

By lew

on 7 July 2017 - 02:41 Tag: Let's Encrypt, Digital Certificate, Security

Let's Encrypt

ตั้งแต่ Let's Encrypt ออกใบรับรองฟรีให้กับเว็บทั่วโลก ความลำบากก็ตกอยู่กับผู้ให้บริการใบรับรองแบบเสียเงินที่เคยคิดค่าบริการรายปีสำหรับการออกใบรับรอง แต่ผู้ให้บริการเหล่านั้นก็ยังมีสินค้าสำคัญ คือการออกใบรับรองแบบใช้กับ subdomain ได้ทั้งหมด หรือเรียกว่าใบรับรอง wildcard (เช่น *.blognone.com)

บริการที่ใช้ใบรับรอง wildcard เช่นนี้ เช่น บริการโฮสต์หรือบริการเว็บบล็อก เช่น WordPress ที่ลูกค้ามักได้โดเมนเป็นของตัวเองทุกราย

Cisco เผลอปล่อยใบรับรองพร้อมกุญแจของโดเมน drmlocal.cisco.com ไปกับตัวเล่นวิดีโอของ Sky

By lew

on 19 June 2017 - 22:15 Tag: Cisco, Digital Certificate

Cisco

Koen Rouwhorst วิศวกรซอฟต์แวร์ของเว็บ Blendle แกะโปรแกรม NOW TV ของเครือข่าย Sky แล้วพบว่ามีใบรับรองของโดเมน drmlocal.cisco.com พร้อมกับกุญแจลับฝังอยู่ในตัวโปรแกรม แนวทางเช่นนี้ทำให้แฮกเกอร์สามารถสร้างเว็บ https://drmlocal.cisco.com/ ได้เหมือนเป็นเซิร์ฟเวอร์ของซิสโก้เอง และหากมีคุกกี้จากโดเมนอื่นที่ตั้ง scope ไว้เป็น cisco.com แฮกเกอร์ก็จะสามารถดึงคุกกี้ออกไปได้

กดผิดชีวิตเปลี่ยน StartCom ยกเลิกใบรับรอง Intermediate CA 4 ใบผิดพลาด แล้วยกเลิก "การยกเลิก" ภายหลัง

By lew

on 1 June 2017 - 18:38 Tag: StartCom, Digital Certificate, Security

StartCom

StartCom เป็นหน่วยงานออกใบรับรองอิสราเอลที่ WoSign จากจีนซื้อไปตั้งแต่ปี 2015 แต่ภายหลังจากมีเหตุการณ์ WoSign ออกใบรับรองผิดพลาด ก็ทำให้ มอซิลล่า และ Chrome เลิกเชื่อถือทั้ง WoSign และ StartCom ไปพร้อมกัน วันนี้กลับมีเหตุการณ์ความผิดพลาดอีกครั้ง เมื่อ StartCom ประกาศยกเลิกใบรับรอง Intermediate CA ของ WoSign ที่ทำการ cross-sign กันเอาไว้

กูเกิลและมอซิลล่าเสนอล้าง CA ของไซแมนเทคแล้วโยกไปให้ผู้ให้บริการอื่นดำเนินการแทน

By lew

on 9 May 2017 - 08:13 Tag: Symantec, Digital Certificate, Security

Symantec

ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา

พบสาเหตุที่ Chrome 57 ไม่โชว์ Green Bar สำหรับเว็บไซต์หลายแห่งที่ใช้ใบรับรองแบบ EV

By jedi

on 29 March 2017 - 17:55 Tag: Chrome, Digital Certificate, Google, Symantec, Security

Chrome

กรณีปัญหาระหว่างกูเกิลกับไซแมนเทคเกี่ยวกับการออกใบรับรองดิจิตอลที่ไม่เป็นไปตามมาตรฐานมาเป็นเวลานาน (ทั้งที่ออกโดยไซแมนเทคเองและที่ออกโดย (อดีต) ตัวแทนของไซแมนเทค) ซึ่งทำให้กูเกิลได้เตรียมมาตรการเพื่อปกป้องผู้ใช้งานเว็บเบราว์เซอร์ Chrome เอาไว้แล้วนั้น ได้พบว่าการยกเลิกการโชว์สถานะ EV หรือที่เรียกกันว่าแถบ Green Bar ซึ่งเป็นหนึ่งในมาตรการที่กูเกิลได้เตรีย

ข้อมูลเพิ่มเติมกูเกิลและ CA ไซแมนเทค: กูเกิลนับรวมใบรับรองทั้งหมดที่ออกโดยพันธมิตรที่ถูกถอนสิทธิ์ไปแล้ว

By lew

on 27 March 2017 - 20:21 Tag: Symantec, Google, Chrome, Security, Digital Certificate

Symantec

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น

ไซแมนเทคโต้กูเกิล "เขียนอย่างไร้ความรับผิดชอบ" ยืนยันออกใบรับรองผิดพลาดเพียงเล็กน้อย

By lew

on 25 March 2017 - 01:40 Tag: Symantec, Google, Digital Certificate, Security

Symantec

หลังจากเมื่อวานนี้กูเกิลออกมาระบุว่าไซแมนเทคและหน่วยงานออกใบรับรองในเครือ ได้ออกใบรับรองผิดพลาดรวมกว่า 30,000 ใบ ตอนนี้ทางฝั่งไซแมนเทคก็ออกมาโต้ตอบว่าการเขียนข้อความของกูเกิลเป็นการระบุปัญหาใหญ่เกินจริง และใบรับรองที่ออกผิดพลาดมีทั้งหมด 127 ใบ ไม่ใช่ 30,000 ใบ

Subscribe to Digital Certificate