Let's Encrypt ออกใบรับรองครบสองแสนใบแล้ว

By lew Founder on Tag: HTTPS, Digital Certificate, Let's Encrypt
HTTPS

Let's Encrypt โครงการออกใบรับรอง TLS/SSL ฟรีเปิดบริการตั้งแต่ต้นเดือนที่ผ่านมา ผ่านไปเพียงไม่ถึงเดือนทางโครงการก็ระบุว่าตอนนี้ออกใบรับรองไปแล้วถึงสองแสนใบ

ใบรับรองใบที่สองแสนของ Let's Encrypt คือเว็บ redey.net หมายเลขซีเรียลใบรับรอง 01:ba:0c:0e:4e:11:2b:53:26:30:bc:20:94:d8:15:2d:c9:b7

ใบรับรองทั้งสองแสนใบไม่ได้ออกในช่วงเดือนที่ผ่านมาทั้งหมด เพราะช่วงทดสอบวงปิดมีการออกใบรับรองไปแล้ว 26,000 ใบ

ที่มา - @letsencrypt_ops

Read more

Namecheap และ GoDaddy วิจารณ์ใบรับรองฟรี ถูกวิจารณ์กลับ

By lew Founder on Tag: SSL, TLS, GoDaddy, Namecheap, Digital Certificate, Let's Encrypt
SSL

โครงการใบรับรองดิจิตอลฟรี Let's Encrypt เพิ่งเปิดให้บริการต่อสาธารณะไม่กี่วัน กลุ่มอำนาจเก่าผู้เสียผลประโยชน์ อย่าง GoDaddy และ Namecheap ก็ออกมาเคลื่อนไหว

ฝั่ง Namecheap นั้นออกมาเขียนบล็อกโจมตี ระบุข้อเสียของใบรับรองดิจิตอลฟรี ระบุว่าใบรับรองฟรีนั้นเพียงแค่เพิ่มการเข้ารหัสท่านั้น และไม่ได้ตรวจสอบผู้รับใบรับรองก่อนที่จะมอบใบรับรอง (ซึ่งไม่จริง เพราะ Let's Encrypt นั้นตรวจสอบผู้ถือครองโดเมน)

ขณะที่ GoDaddy ก็ออกหน้าเปรียบเทียบใบรับรอง และระบุว่าการทำเว็บเพื่อการค้านั้นต้องใช้ใบรับรองแบบ Extended Validation เท่านั้น

Read more

เปิดศักราชเว็บเข้ารหัส Let's Encrypt เริ่มให้บริการทั่วไปแล้ว, เฟซบุ๊กเข้าร่วมเป็นสปอนเซอร์

By lew Founder on Tag: Security, HTTPS, Digital Certificate, Let's Encrypt
Security

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

Read more

ผู้ผลิตจำนวนมากใช้กุญแจเข้ารหัสจาก SDK ทำให้กุญแจซ้ำกันในอุปกรณ์นับล้าน

By lew Founder on Tag: Security, HTTPS, Digital Certificate
Security

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

Read more

ปัญหายังไม่จบ พบแอพ Dell อีกตัวแอบติดตั้ง Root CA ในพีซีลูกค้า

By mk Founder on Tag: Security, Digital Certificate, Dell
Security

ปัญหาโน้ตบุ๊ก Dell แอบติดตั้งใบรับรอง Root CA ยังไม่จบง่ายๆ หลังการค้นพบ Root CA ชื่อ eDellRoot จนเป็นข่าวใหญ่ไปทั่วโลกเมื่อวานนี้ วันนี้มีคนค้นพบว่าแอพอีกตัวของ Dell จะติดตั้งใบรับรองอีกใบด้วยเหมือนกัน

โชคดีว่าแอพตัวนี้ไม่ถูกติดตั้งมากับเครื่อง แต่ถ้าผู้ใช้เข้าเว็บ Dell Support แล้วเลือกให้เว็บตรวจสอบว่าเครื่องที่ใช้เป็นรุ่นอะไร เว็บจะขอให้ผู้ใช้ติดตั้งแอพชื่อ Dell System Detect (DSD) ซึ่งจะมาพร้อมกับใบรับรองชื่อ DSDTestProvider

Read more

เดลล์ออกเอกสารกระบวนการถอน CA eDellRoot, CERT แจ้งเตือนระดับ CVSS 9.4

By lew Founder on Tag: Security, Digital Certificate, Dell
Security

หลังจากเมื่อวานนี้มีรายงานพบใบรับรอง root CA ที่ชื่อว่า eDellRoot ในคอมพิวเตอร์เดลล์หลายรุ่น และทางโฆษกของเดลล์ออกมาให้สัมภาษณ์นักข่าวบางสำนัก ตอนนี้ทางเดลล์ก็เขียนบล็อกเรื่องนี้เป็นทางการ โดยทางเดลล์ชี้แจงว่าติดตั้งใบรับรองนี้เพื่อส่งค่า service tag กลับไปยังระบบซัพพอร์ตของเดลล์

Read more

พบโน้ตบุ๊กเดลล์ติดตั้ง root CA พร้อมกับกุญแจลับอยู่ในเครื่องมาจากโรงงาน

By lew Founder on Tag: Security, Digital Certificate, Dell
Security

ผู้ใช้เว็บ reddit ชื่อว่า rotorcowboy และผู้ใช้ทวิตเตอร์ @jhnord รายงานว่าเครื่อง Dell XPS 15 ของเขามี root CA แปลกๆ ติดตั้งมาด้วยในเครื่อง ใช้ชื่อว่า eDellRoot พร้อมกับติดตั้งกุญแจลับ (private key) เอาไว้ในเครื่อง

Read more

Comodo เปิดเผยข้อมูลตรวจสอบภายใน ออกใบรับรองให้ชื่อโดเมนในองค์กรไป 8 ใบ

By lew Founder on Tag: Certification, Digital Certificate, Cybersecurity, Comodo, CA Browser Forum
Certification

ปัญหาการออกใบรับรองชื่อที่ไม่มีการใช้งานเป็นสากล เช่นชื่อเครื่องอย่าง mail, wiki, intranet เป็นประเด็นความปลอดภัยที่ผู้ให้บริการออกใบรับรองกลับปล่อยใบรับรองให้ชื่อเครื่องเหล่านี้มายาวนาน ตามข้อตกลงของ CA Browser Forum กำหนดว่า CA ทั้งหมดจะต้องไม่ออกใบรับรองประเภทนี้ที่มีอายุการใช้งานหลังจากวันที่ 1 พฤศจิกายนที่ผ่านมา แต่ทาง Comodo ก็ออกมาเปิดเผยข้อมูลตรวจสอบภายใน ระบุว่ายังมีความผิดพลาดในซอฟต์แวร์ทำให้ใบรับรองเหล่านี้ถูกรับรองออกมา

ชื่อโดเมนภายในที่ได้รับใบรับรองไป เช่น help, sums-prod, waterwarecorp.local, mailarchive

Read more

กูเกิลลงโทษ Symantec ฐานออกใบรับรองไม่ถูกต้อง เตรียมไม่รับใบรับรองหากไม่เปิดเผยข้อมูลการออกใบรับรอง

By lew Founder on Tag: Google, Security, Symantec, Digital Certificate
Google

เมื่อเดือนกันยายนที่ผ่านมาไซแมนเทคออกใบรับรองให้กับโดเมน Google.com โดยไม่ได้รับอนุญาต แม้จะระบุว่าเป็นการทดสอบระบบและไล่พนักงานที่เกี่ยวข้องออกไปแล้ว แต่การออกใบรับรองเช่นนี้ผิดไปจากข้อตกลงการรักษาความปลอดภัยของหน่วยงานรับรอง (Certification Authority - CA) และวันนี้ทางกูเกิลก็ประกาศมาตรการเพิ่มข้อจำกัดของไซแมนเทคในการออกใบรับรองในอนาคต

ไซแมนเทครายงานการตรวจสอบภายใน พบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอีก 164 ใบ และมีอีก 2,458 ใบที่รับรองโดเมนที่ไม่เคยมีการจดทะเบียนจริง

Read more

ไมโครซอฟท์และมอสซิลล่าแบน CA จากอียิปต์ที่ใช้ดักฟังแล้ว, ผู้ใช้เรียกร้องให้มอสซิลล่าแบน CA จากจีน

By lew Founder on Tag: Firefox, China, Digital Certificate, Mozilla, Microsoft
Firefox

ไมโครซอฟท์และมอสซิลล่าประกาศยกเลิกใบรับรองของ MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ที่ได้รับการรับรองจาก CNNIC ของจีน เพื่อป้องกันความเสียหายจากการดักฟังเว็บของกูเกิลหลายโดเมน ที่ MCS Holdings ออกใบรับรองโดยไม่ถูกต้อง

จนตอนนี้ยืนยันใบรับรองที่ไม่ถูกต้องนี้ ได้ 7 โดเมนแล้ว ได้แก่ *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com, และ *.googleapis.com โดยได้รับการรับรองจากใบรับรองที่มีค่า Thumbprint เป็น "e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76"

Read more

กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์, รับรองโดย root CA ของจีน

By lew Founder on Tag: Security, China, SSL, Egypt, TLS, HTTPS, Digital Certificate
Security

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Read more

US-CERT ออกโรง เตือนผู้ใช้ Lenovo ลบใบรับรอง Superfish เพื่อลดความเสี่ยงถูกดักข้อมูล

By mk Founder on Tag: Security, Lenovo, DHS, Digital Certificate, Superfish
Security

ปัญหา Lenovo/Superfish กลายเป็นเรื่องระดับชาติไปแล้ว เมื่อหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐ (US-CERT) สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ ได้ออกประกาศเตือนภัย Lenovo Superfish Adware ว่ามีความเสี่ยงต่อการดักข้อมูลผ่าน HTTPS (HTTPS spoofing)

ประเด็นของ US-CERT คือการที่ Superfish ติดตั้งใบรับรองดิจิทัลของตัวเอง และตัวรหัสถูกเปิดเผยแล้ว ทำให้แฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ ทางแก้คือให้ถอนการติดตั้ง Superfish ออกจากระบบ และลบใบรับรอง Superfish ออกด้วย

Read more

Lenovo ออกแถลงการณ์กรณีปัญหา Superfish บอกปิดเซิร์ฟเวอร์แล้ว สัญญาว่าจะไม่ทำอีก

By mk Founder on Tag: Security, Lenovo, Digital Certificate, Superfish, Notebook
Security

จากปัญหาโน้ตบุ๊ก Lenovo แอบฝัง Superfish และมีความเสี่ยงที่จะถูกดักข้อมูล ทางบริษัท Lenovo ก็ออกแถลงการณ์โดยมีใจความดังนี้ครับ

Read more

ผู้ใช้เครื่อง Lenovo ที่ติดตั้งวินโดวส์มาจากโรงงานตรวจสอบด่วน กุญแจ CA ของ Superfish ถูกเปิดเผยแล้ว

By lew Founder on Tag: Security, Lenovo, SSL, TLS, HTTPS, Digital Certificate, Superfish
Security

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้__ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด__

Read more

พบช่องโหว่ Java ไม่เช็คใบรับรองดิจิทัลที่ถูกเพิกถอนแล้ว

By mk Founder on Tag: Java, Security, Digital Certificate
Java

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

Read more

Azure ลืมเปลี่ยน Certificate บริการที่ต้องใช้ HTTPS ทำงานไม่ได้

By lew Founder on Tag: SSL, HTTPS, Digital Certificate, Microsoft, Microsoft Azure
SSL

เมื่อวานนี้บริการ Azure ของไมโครซอฟท์เกิดหยุดทำงานไปหลายส่วน เนื่องจากใบรับรองดิจิตอล (digital certificate) ของบริการเหล่านี้หมดอายุลงเมื่อวันศุกร์ที่ผ่านมา

บริการที่หยุดจากสาเหตุนี้ได้แก่ Access Control 2.0, Media Encoding, Management Portal, Media On-Demand Streaming, Service Bus, Storage, Web Sites โดยทั้งหมดเกิดจากบริการ Storage ใช้งานไม่ได้ทำให้บริการที่เหลือหยุดทำงานไปโดยปริยาย

ปัญหานี้เกิดขึ้นพร้อมกันทั่วโลก และไมโครซอฟท์กำลังแก้ปัญหาอยู่

ที่มา - Windows Azure Service Dashboard

Read more

EFF ระบุ "มีการออก Certificate อย่างไม่ถูกต้องมาถึง 37,000 ใบ"

By lew Founder on Tag: Security, SSL, EFF, Digital Certificate
Security

หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ

Read more
Subscribe to Digital Certificate