กูเกิลพบใบรับรอง Symantec/GeoTrust/Thawe ออกผิดกว่า 30,000 ใบ, บีบอายุใบรับรองเหลือ 9 เดือน, ไม่แสดง EV

By lew Founder on Tag: Digital Certificate, Chrome, Symantec, Security
Digital Certificate

เมื่อเดือนมกราคมที่ผ่านมามีรายงานใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)

Read more

CA Browser Forum ได้ข้อยุติ จำกัดอายุใบรับรองเหลือ 825 วัน

By lew Founder on Tag: CA Browser Forum, Digital Certificate, Browser, Security
CA Browser Forum

CA Browser Forum ผ่านมติการปรับอายุใบรับรองจากเดิมออกได้สูงสุด 39 เดือน มาเหลือ 825 วัน (27 เดือน) เป็นข้อตกลงร่วมกันที่ฝั่งเบราว์เซอร์และหน่วยงานออกใบรับรองเห็นชอบแทบทั้งหมด มีหน่วยงานงดออกเสียงเพียงผู้ออกใบรับรอง 3 หน่วย และฝั่งผู้ผลิตเบราว์เซอร์มีเพียงมอซิลล่าผู้ผลิตไฟร์ฟอกซ์เท่านั้น

Read more

ไม่เสียวเท่า HPKP, มาตรฐาน CAA บังคับ CA ตรวจสิทธิ์การออกใบรับรองบังคับกันยานี้ เจ้าของโดเมนจำกัด CA ได้

By lew Founder on Tag: Digital Certificate, Security, CA Browser Forum
Digital Certificate

กระบวนการออกใบรับรองดิจิตอลทุกวันนี้มีช่องว่างสำคัญคือหน่วยงานออกใบรับรองดิจิตอล (certification authority - CA) ทุกรายสามารถออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ตอนนี้มาตรการเพิ่มเติมในการจำกัดสิทธิ์ของ CA ก็เตรียมบังคับใช้เดือนกันยายนนี้ หลังการโหวตมาตรฐาน Certification Authority Authorization (CAA) โดย CA/Browser Forum ผ่านไปแล้ว

Read more

GlobalSign รองรับโปรโตคอล ACME บนเกตเวย์จัดการใบรับรองสำหรับองค์กร

By lew Founder on Tag: GlobalSign, Digital Certificate, Security
GlobalSign

Let's Encrypt นอกจากจะเป็นหน่วยงานออกใบรับรองดิจิตอลฟรีแล้ว ยังออกแบบโปรโตคอล ACME สำหรับการยืนยันตัวตนของเจ้าของโดเมนเพื่อออกใบรับรองอัตโนมัติไปพร้อมกัน แม้ว่าจะเกิดมาคู่กันแต่โปรโตคอล ACME ก็สามารถนำไปใช้งานกับหน่วยงานออกใบรับรองอื่นๆ ที่อาจจะเก็บเงินก็ได้ ตอนนี้ GlobalSign ก็ประกาศรองรับ ACME บน Auto Enrollment Gateway (AEG) เกตเวย์สำหรับออกใบรับรองในองค์กร

Read more

กูเกิลเสนอจำกัดอายุใบรับรองดิจิตอลเหลือ 398 วัน แม้โหวตไม่ผ่านก็จะบังคับใน Chrome

By lew Founder on Tag: Google, Security, Chrome, Browser, Digital Certificate
Google

กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง

Read more

กูเกิลเปิดตัว root CA ของตัวเอง, ซื้อ root CA จาก GlobalSign อีกสองชุด

By lew Founder on Tag: Google, Digital Certificate, Security
Google

กูเกิลประกาศสร้าง root CA ของตัวเองสำหรับการเชื่อมต่อกับบริการของกูเกิลโดยใช้ชื่อว่า Google Trust Services ชื่อในใบรับรอง ได้แก่ GTS Root R1, R2, R3, และ R4

ใบรับรองสำหรับเว็บกูเกิลเองก่อนหน้านี้ออกใบรับรองผ่าน intermediate CA ของกูเกิลเอง ที่ชื่อว่า Google Internet Authority G2 (GIAG2) ที่ได้รับการรับรองจาก GeoTrust มาอีกที ตอนนี้กูเกิลระบุว่ายังคงใช้ GIAG2 ต่อไปแต่หลังจากนี้จะเริ่มกระบวนการย้ายมาใช้โครงสร้างของตัวเอง

Read more

ทนไม่ไหวอยากลองใช้งาน! ขั้นตอนการติดตั้ง root CA ของรัฐบาลไทยใน Firefox

By lew Founder on Tag: Thailand, Firefox, Digital Certificate, In-Depth
Thailand

หลังจากวันนี้มีข่าว root CA ของรัฐบาลไทยได้รับการเชื่อถือจากไมโครซอฟท์ ตอนนี้ผู้ใช้วินโดวส์จำนวนหนึ่งน่าจะได้รับอัพเดตที่มี root CA นี้เข้ามาในเครื่องแล้ว สำหรับคนที่ไม่ต้องการใช้งานน่าจะมีคนเขียนบทความจำนวนมากเพื่อแนะนำวิธีการถอนใบรับรองนี้ออกจากเครื่อง

Read more

กูเกิลประกาศหยุดเชื่อใบรับรองจาก WoSign และ StartCom, เตือนผู้ดูแลเว็บให้เปลี่ยนใบรับรองด่วน

By lew Founder on Tag: Google, WoSign, China, StartCom, Digital Certificate, Security
Google

คดี WoSign ออกใบรับรองผิดพลาดและควบรวมกับ StartCom โดยไม่แจ้งผู้ผลิตเบราว์เซอร์ให้รับทราบใกล้มาถึงบทสรุปเมื่อทางกูเกิลประกาศหยุดเชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกหลังวันที่ 21 ตุลาคมที่ผ่านมา

กูเกิลแจ้งเตือนว่ากระบวนการตรวจสอบเพื่อให้แน่ใจว่าเบราว์เซอร์จะไม่เชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกมาหลังเส้นตายอีกจะหนาแน่นขึ้นเรื่อยๆ ทำให้เว็บที่ใช้ใบรับรองจากหนึ่งในสองบริษัทอาจจะไม่สามารถใช้งานได้อีกหลังจาก Chrome 56 เป็นต้นไป และการเชื่อถือใบรับรองตอนนี้ก็เป็นมาตรการชั่วคราวเพื่อให้เวลากับผู้ดูแลเว็บได้มีเวลาเปลี่ยนใบรับรองเท่านั้น

Read more

Chrome ประกาศบังคับใบรับรองทุกใบต้องประกาศ Certification Transparency ภายในตุลาคม 2017

By lew Founder on Tag: Chrome, Google, Digital Certificate, Security
Chrome

กูเกิลผลักดันแนวทางให้ CA ทั้งหลายเปิดเผยการออกใบรับรองมาหลายปี ตอนนี้กูเกิลก็ออกมาประกาศว่าภายในเดือนตุลาคม 2017 จะเริ่มบังคับให้ CA ทุกรายต้องเข้ากระบวนการ CT (Certification Transparency กระบวนการที่ CA เปิดเผยรายการใบรับรองที่ออกสู่สาธารณะ) ทั้งหมด ไม่เช่นนั้น Chrome จะไม่เชื่อถือใบรับรองอีกต่อไป

Read more

GlobalSign ยกเลิก Intermediate CA ผิดพลาด เว็บจำนวนมากถูกแจ้งใบรับรองไม่ถูกต้อง

By lew Founder on Tag: GlobalSign, Digital Certificate, Security
GlobalSign

GlobalSign ผู้ให้บริการออกใบรับรอง ที่มี root CA อยู่หลายรายปรับปรุงการทำ cross certificate ระหว่าง root CA โดยวางแผนล่วงหน้าแต่มีความผิดพลาดจนกระทั่ง Intermediate CA จำนวนหนึ่งไม่ได้รับความเชื่อถือจากเบราว์เซอร์

เว็บขนาดใหญ่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ เช่น Wikipedia เบราว์เซอร์จะขึ้นเตือนว่าใบรับรองไม่ถูกต้อง

ตอนนี้ทาง GlobalSign แก้ไขปัญหานี้แล้ว แต่กระบวนการอัพเดตแคชจะใช้เวลาไปอีกระยะ อาจจะถึง 4 วัน สำหรับผู้ใช้ทั่วไป GlobalSign แนะนำกระบวนการอัพเดตแคช OCSP

Read more

เงียบๆ แต่จริงจัง แอปเปิลประกาศบล็อคใบรับรองจาก WoSign ที่ออกหลังวันที่ 19 กันยายน

By lew Founder on Tag: Apple, WoSign, China, Digital Certificate
Apple

ปัญหาของ WoSign ที่เป็น CA จีน ทำให้ Mozilla ประกาศแผนจะบล็อคใบรับรองทั้งหมดที่ออกโดย WoSign และ StartCom แต่แอปเปิลที่ไม่ค่อยมีข่าวนักก็ประกาศบล็อคใบรับรองจาก "WoSign CA Free SSL Certificate G2" จาก iOS Trust Store ไปทันที

ตัว iOS Trust Store ของแอปเปิลไม่ได้มี root CA ของ WoSign อยู่ก่อนหน้านี้ อย่างไรก็ดี "WoSign CA Free SSL Certificate G2" ได้รับการ cross-sign โดย StartCom และ Comodo ทำให้ใช้กับผลิตภัณฑ์ของแอปเปิลได้ด้วย จนกระทั่งแอปเปิลประกาศบล็อคครั้งนี้

Read more

Mozilla เตรียมเลิกเชื่อถือใบรับรองจาก WoSign, เลิกเชื่อถือ Ernst & Young ฮ่องกงไปพร้อมกัน

By lew Founder on Tag: Security, Digital Certificate, China, Mozilla
Security

เหตุการณ์ CA จีน WoSign ออกใบรับรองผิดพลาด ถูกขยายผลต่อเนื่องมาถึงการควบรวมกิจการโดยไม่ได้แจ้งให้ผู้ผลิตเบราว์เซอร์รับทราบ ตอนนี้ทาง Mozilla ก็ออกมาแถลงถึงมาตรการต่อ WoSign แล้ว

เอกสารของ Mozilla ระบุว่ากำลังจะถอน WoSign และ StartCom ออกจากการเชื่อถือของเบราว์เซอร์เป็นเวลาอย่างน้อยหนึ่งปี โดยหากต้องการกลับเข้ามาเป็น root CA อีกครั้งจะต้องผ่านกระบวนการใหม่ทั้งหมด มาตรการเพิ่มเติมได้แก่

Read more

WoSign ประกาศเข้าซื้อ StartCom CA สำเร็จ

By lew Founder on Tag: WoSign, China, Digital Certificate
WoSign

WoSign หน่วยงานออกใบรับรองดิจิตอลจากจีน ประกาศเข้าซื้อ StarCom CA จากอิสราเอลสำเร็จ โดยระบุว่ามีการเซ็นสัญญาทำความตกลงซื้อขายกันตั้งแต่กันยายนปี 2015

การประกาศนี้เกิดหลังจาก มอซิลล่าแถลงรายงานระบุว่า WoSign เข้าซื้อ StartCom ไปตั้งแต่ปีที่แล้ว และมีการใช้เสียงโหวตแยกกันใน CA/Browser Forum หลายครั้ง

แถลงการณ์การเข้าซื้อครั้งนี้ระบุว่า StartCom เข้าช่วยเหลือ WoSign ตั้งแต่ปี 2010 ในการทำ cross-sign และขอรับรอง WebTrust จนกระทั่ง WoSign ได้รับการรับรอง ทุกวันนี้เบราว์เซอร์จำนวนมากรวม WoSign ไว้ในตัว

Read more

CA จีน WoSign เข้าซื้อ StartSSL โดยไม่ได้แจ้งให้ผู้ผลิตเบราว์เซอร์รับทราบ

By lew Founder on Tag: China, WoSign, Digital Certificate, Mozilla
China

หลังจาก CA จากจีน WoSign ออกใบรับรองโดยไม่ได้รับอนุญาต และไม่ได้รายงานเรื่องนี้ต่อ CA/Browser Forum ให้ถูกต้อง ทาง Mozilla ก็ออกรายงานสืบสวนว่า WoSign ได้เข้าซื้อ StartCom CA อีกรายของอิสราเอลที่ให้บริการในแบรนด์ StartSSL มาตั้งแต่ปี 2015

การเข้าซื้อ CA ไม่ใช่เรื่องแปลก แต่ WoSign ไม่ได้แจ้งการเข้าซื้อครั้งนี้ต่อ CA/Browser Forum พร้อมกับปีที่ผ่านมา WoSign และ StartCom ออกเสียงโหวตมติต่างๆ แยกออกจากกันเป็นสองเสียง เมื่อถูกถามถึงความเป็นเจ้าของก็ปฏิเสธที่จะให้รายละเอียดเรื่อยมา

Read more

CA จีน WoSign ออกใบรับรองโดยไม่ได้รับอนุญาต, อาจจะออกใบรับรอง SHA-1 ย้อนหลัง

By lew Founder on Tag: China, Digital Certificate, Security, PKI
China

WoSign หน่วยงานออกใบรับรองจากจีนที่เพิ่งประกาศสนับสนุนการเปิดเผยการออกใบรับรองเมื่อกลางปีที่ผ่านมา กำลังถูกร้องเรียนว่าละเมิดข้อกำหนดความปลอดภัยของการทำหน้าที่หน่วยงานออกใบรับรองหลายประการ

เหตุการณ์เริ่มต้นตั้งแต่ปีที่แล้ว ที่ WoSign อนุญาตให้ยืนยันความเป็นเจ้าของโดเมนโดยใช้ "พอร์ตใดๆ" ในเครื่อง ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถใช้พอร์ตหมายเลขสูงๆ ขอใบรับรองของเครื่องออกมาได้ อย่างไรก็ดี ก่อนหน้านี้กระบวนการของ WoSign ไม่ได้ละเมิดข้อกำหนดการเป็น CA ก่อนการแก้ไขที่ 169

Read more

CA Browser Forum ผ่านกฎการยืนยันความเป็นเจ้าของโดเมนใหม่ ปิดทาง CA สร้างแนวทางของตัวเอง

By lew Founder on Tag: Digital Certificate, Security
Digital Certificate

เมื่อวานนี้ CA Browser Forum องค์กรที่สร้างข้อตกลงร่วมกันระหว่างหน่วยงานออกใบรับรองดิจิตอล (certification authority - CA) และผู้ผลิตเบราว์เซอร์ ลงคะแนนเสียงการแก้ข้อบังคับ (baseline requirement) ฉบับที่ 169 ผ่านอย่างเป็นเอกฉันท์

การแก้ไขที่ 169 นี้ระบุรายละเอียดการตรวจสอบความเป็นเจ้าของโดเมนอย่างชัดเจน จากเดิมที่เปิดทางให้ CA สร้างแนวทางการตรวจสอบของตัวเอง แต่ข้อบังคับใหม่จะลงรรายละเอียดมากกว่าเดิม พร้อมกับปิดช่องทางที่อนุญาตให้ CA สร้างแนวทางการยืนยันตัวตนเป็นของตัวเอง (หัวข้อ 3.2.2.4 ข้อบังคับ 7)

Read more

CA จีน WoSign แสดงความโปร่งใส ล็อก Certificate Transparency สู่สาธารณะทุกใบ

By lew Founder on Tag: China, Digital Certificate, Security, SSL
China

มาตรฐาน Certificate Transparency (CT) ที่เริ่มต้นโดยกูเกิล เรียกร้องให้หน่วยงานออกใบรับรองดิจิตอล (CA) ทุกราย รายงานการออก CA ทุกใบ แต่การเปิดเผยข้อมูลเช่นนี้ทำให้ทุกคนรู้ว่า CA มีลูกค้ามากน้อยแค่ไหนทำให้ CA ส่วนมากมักจะยอมเปิด CT เฉพาะการออกใบรับรองแบบ Extended Validation (EV) เท่านั้น ยกเว้น CA ที่ออกใบรับรองฟรีอย่าง Let's Encrypt แต่ตอนนี้ WoSign ที่เป็น CA สัญชาติจีนก็ออกมาประกาศว่าจะส่งข้อมูล CT สู่สาธารณะเมื่อออกใบรับรองทุกใบแล้ว

Read more

Comodo ยื่นจดเครื่องหมายการค้า Let's Encrypt, อ้างถูกลอกอายุใบรับรอง 90 วัน

By lew Founder on Tag: Let's Encrypt, Comodo, Digital Certificate
Let's Encrypt

โครงการ Let's Encrypt แจกใบรับรองดิจิตอลฟรีสร้างผลกระทบให้กับวงการธุรกิจออกใบรับรองเป็นวงกว้าง ตอนนี้ "กลุ่มผู้เสียผลประโยชน์" อย่าง Comodo ก็ยื่นจดทะเบียนเครื่องหมายการค้า Let's Encrypt สามรายการ ได้แก่ "Let's Encrypt", "Let's Encrypt with Comodo", และ "Comodo Let's Encrypt" อย่างไรก็ตาม ท่าทีล่าสุดของ Comodo มีแนวโน้มว่าจะปล่อยการยื่นจดทะเบียนนี้ให้หมดอายุไปในที่สุด

Read more

AWS เปิดบริการ Certificate Manager ออกใบรับรองเข้ารหัสฟรี

By lew Founder on Tag: Security, Amazon, TLS, AWS, Digital Certificate
Security

AWS เปิดบริการ AWS Certificate Manager ทำให้ลูกค้าที่ใช้ Elastic Load Balancing และ CloudFront สามารถให้บริการเว็บเข้ารหัสได้โดยไม่ต้องเสียเงินค่าใบรับรองเพิ่มเติมอีก

เมื่อปีที่แล้วอเมซอนยื่นเรื่องขอเป็น root CA ในฐานข้อมูลของมอซิลล่าและแอนดรอยด์ แต่ระหว่างนี้ใบรับรองจะได้รับการรับรองโดย "Amazon Root CA 1" ที่ถูกรับรองโดย "Starfield Services Root Certificate Authority - G2" ต่อมาอีกที

Read more

รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ

By lew Founder on Tag: Privacy, HTTPS, Digital Certificate, Mozilla
Privacy

หน่วยงานออกใบรับรองแห่งรัฐบาลคาซัคสถาน (Root Certification Authority of the Republic of Kazakhstan - root.gov.kz) ยื่นความจำนงขอให้มอซิลล่ารวมเอา root CA ของรัฐบาลเข้าไว้ในฐานข้อมูลเพื่อให้ใบรับรองที่ออกโดยรัฐบาลได้รับความเชื่อถือ

Read more
Subscribe to Digital Certificate