Firefox เพิ่งออกเวอร์ชั่น 118 เมื่อปลายเดือนกันยายนที่ผ่านมา โดยฟีเจอร์สำคัญตัวหนึ่งคือการเข้ารหัสข้อความเริ่มต้นเชื่อมต่อ TLS ตามมาตรฐาน Encrypted Client Hello (ECH) ที่เข้ารหัสข้อมูลแทบทั้งหมด ทำให้การดักฟังการเชื่อมต่อไม่สามารถมองเห็นได้ว่าผู้ใช้กำลังเชื่อมต่อไปยังโดเมนอะไร
Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้
Let’s Encrypt ผู้ออกใบรับรองเข้ารหัสเว็บรายใหญ่อาศัยการรับรองซ้อน (cross-sign) กับ IdentTrust มาตั้งแต่เริ่มต้น ทำให้ใบรับรองจาก Let’s Encrypt สามารถใช้งานได้ทั่วไป แต่เดือนกันยายน 2024 ตัวใบรับรอง IdenTrust’s DST Root CA X3 จะหมดอายุ และทาง Let’s Encrpyt ระบุว่าจะไม่พยายามหาทางทำ cross-sign รอบใหม่อีกแล้ว
ผลกระทบสำคัญคืออุปกรณ์ที่ใช้ระบบปฎิบัติการเก่าๆ จะไม่สามารถตรวจสอบใบรับรองได้อีกต่อไป กลุ่มใหญ่ที่ยังมีการใช้งานอยู่คือ Android 7.0 หรือเก่ากว่า ซึ่งตอนนี้ยังมีการใช้งานอยู่ถึง 6.1% ของแอนดรอยด์ทั้งหมด
Google Trust Service (GTS) บริการออกใบรับรองเข้ารหัสเว็บ (Certification Authority - CA) ของกูเกิลประกาศเปิดให้บริการออกใบรับรองแก่ผู้ที่มีบัญชี Google Cloud ทุกคน หลังจากเปิดบริการนี้เมื่อปีที่แล้วในวงจำกัด
GTS ให้บริการผ่านโปรโตคอล ACME จึงใช้งานกับโปรแกรมเดิมที่ขอใบรับรองจาก Let’s Encrypt ได้ สำหรับผู้ดูแลเว็บ ก็อาจจะเลือกคอนฟิก CA ไว้หลายแห่งพร้อมกันเพื่อป้องกันปัญหาในกรณีที่ CA บางรายล่มไป หรือบางครั้ง CA อาจจะมีบั๊กจนต้องออกใบรับรองใหม่จำนวนมากจนให้บริการไม่ทัน
กูเกิลประกาศแผนการเลิกแสดงไอคอนแม่กุญแจในช่อง Address Bar ของ Chrome โดยจะเปลี่ยนเป็นไอคอน "tune" แสดงปุ่มการปรับแต่งแทน
เหตุผลของกูเกิลคือ ไอคอนแม่กุญแจเป็นการบ่งบอกสถานะว่าเว็บไซต์ใช้โปรโตคอล HTTPS แบบเข้ารหัส ซึ่งในอดีตมีเว็บไซต์ที่ใช้ HTTPS ไม่เยอะนักจึงต้องมีไอคอนมาบอก แต่ตอนนี้ HTTPS กลายเป็นมาตรฐานไปแล้ว จึงไม่มีความจำเป็นอีกต่อไป
ในอดีต กูเกิลเคยปรับดีไซน์ของไอคอนแม่กุญแจ เปลี่ยนจากสีเขียวเป็นสีดำ ตัดคำว่า Secure ออก แต่ผลการศึกษาของกูเกิลก็พบว่าคนยังไม่เข้าใจความหมายของไอคอนนี้อยู่ดี แถมความหมาย "ปลอดภัย" ของไอคอนกุญแจ ยังทำให้คนหลงเชื่อเว็บ phishing ทั้งหลาย พลอยเป็นผลเสียไปด้วย
Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ
ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน
Tailscale ผู้ให้บริการเครือข่ายส่วนตัวผ่านอินเทอร์เน็ต (คล้าย VPN) เปิดบริการ Tailscale Funnel เพื่อให้เครื่องอื่นๆ นอกเครือข่าย tailnet สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ด้วย
บริการ Funnel ทำให้ Tailscale ให้บริการคล้ายกับบริการอย่าง Cloudflare Tunnel ยิ่งขึ้นโดยผู้ใช้ไม่ต้องมีโดเมนเป็นของตัวเอง แต่ใช้โดเมน .ts.net
ของ Tailscale
ทาง Tailscale จะส่งแพ็กเก็ตของผู้ใช้แบบที่เข้ารหัสไปยังโหนดของลูกค้าโดยตรงไม่มีการถอดรหัสระหว่างทาง และทาง Tailscale ยืนยันว่าลูกค้าสามารถตรวจสอบได้ว่าทางบริษัทไม่ได้ออกใบรับรองเข้ารหัสสำหรับโดเมน .ts.net
เพื่อดักฟังข้อมูล
Let's Encrypt บริการ Certification Authority (CA) ฟรีเปิดบริการ Certificate Revocation Lists (CRLs) สำหรับการประกาศใบรับรองที่ถูกยกเลิกเมื่อมีปัญหาความปลอดภัยของใบรับรอง แม้ว่าที่ผ่านมาหลายปี Let's Encrypt จะไม่รองรับ CRL เลยก็ตาม
Google Cloud ปรับสถานะบริการ Cloud Certificate Manager เข้าสู่ GA ให้ลูกค้าใช้งานได้ทุกคน หลังจากเปิดบริการแบบวงปิดตั้งแต่ต้นปีที่ผ่านมา ผู้ใช้ Google Cloud สามารถขอใบรับรองได้ฟรีแม้จะเป็นผู้ใช้ที่ไม่ได้จ่ายเงินก็ตาม
กระบวนการขอใบรับรองจะมีขั้นตอนเพิ่มเติมจากการขอใบรับรองจาก Let's Encrypt คือต้องสร้างกุญแจผูกกับบัญชีผู้ใช้ (External Account Binding - EAB) จาก Google Cloud เสียก่อน จากนั้นใส่ค่านี้ในไคลเอนต์ของ ACME ที่รองรับ เช่น certbot ก็จะขอใบรับรองได้ไม่ต่างกัน
โครงการ Chromium ประกาศแนวทางทดสอบหน้าจอแสดงโปรโตคอล HTTP/HTTPS ให้การเข้ารหัสเป็นเรื่องปกติยิ่งกว่าตอนนี้ หลังจากสำรวจพบว่าเว็บมากกว่า 90% เข้ารหัสแล้ว โดยมีสองแนวทางหลักที่จะปรับให้การเข้ารหัสเป็นเรื่องปกติยิ่งขึ้น
กูเกิลออกอัพเดต Chrome 90 บนเดสก์ท็อปทั้ง Windows, Mac และ Linux มีของใหม่ที่สำคัญดังนี้
ที่มา: 9to5Google
Chrome ประกาศเปลี่ยนนโยบายตั้งแต่เวอร์ชั่น 90 (ปัจจุบันเป็นเบต้า) ว่าหากผู้ใช้พิมพ์เฉพาะโดเมน จะถือว่าผู้ใช้กำลังเข้าเว็บแบบ HTTPS เสมอ เบราว์เซอร์จะไม่พยายามเข้า HTTP ที่ไม่เข้ารหัสเป็นค่าเริ่มต้นอีกต่อไป
ก่อนหน้านี้หากผู้ใช้ไม่ระบุโปรโตคอล Chrome จะเชื่อมต่อไปยังเซิร์ฟเวอร์แบบ HTTP ที่ไม่เข้ารหัสยกเว้นว่าตัวเว็บจะพยายามแจ้งให้เบราว์เซอร์เชื่อมต่อแบบเข้ารหัสเสมอด้วยมาตรฐาน HSTS ขณะที่เว็บจำนวนมากที่ให้บริการเฉพาะ HTTPS ก็มักเปิดเซิร์ฟเวอร์ HTTP เอาไว้สำหรับ redirect ไปยัง HTTPS อยู่ดี กระบวนการนี้มีปัญหาหลายอย่าง ทั้งในแง่ประสบการณ์ของผู้ใช้ที่จะเห็นเว็บช้าลงเพราะโดน redirect ไปมา และบางทีมีข้อมูลสำคัญถูกส่งต่อทาง HTTP โดยไม่ตั้งใจทำให้คนร้ายที่ดักฟังอยู่เห็นข้อมูลได้
Firefox ออกเวอร์ชัน 83 โดยถือเป็นรุ่นที่มีของใหม่หลายอย่าง ฟีเจอร์สำคัญคือการอัพเกรดเอนจินจาวาสคริปต์ SpiderMonkey ครั้งใหญ่ อัพเดตตัวนี้มีชื่อว่า Warp (หรือ WarpBuilder) เป็นการปรับปรุงกระบวนการทำงานของคอมไพเลอร์ just-in-time (JIT) ใหม่ ผลที่ได้คือประสิทธิภาพดีขึ้น 20% ในการโหลดหน้าเว็บ Google Docs, เฉลี่ยแล้ว 15%, ตอบสนองดีขึ้น 12% และใช้หน่วยความจำน้อยลง 8% โดยเฉลี่ย (รายละเอียดเรื่อง Warp สำหรับผู้สนใจ)
Cloudflare ประกาศรองรับ DNS เรคคอร์ด HTTPS เพื่อระบุว่าว่าเว็บรองรับโปรโตคอล HTTP/2 และ HTTP/3 หรือไม่ เปิดทางให้ไคลเอนต์สามารถเชื่อมต่อเข้าเว็บได้เร็วขึ้น โดยตอนนี้ Safari ใน iOS 14 สามารถเปิดฟีเจอร์นี้ขึ้นมาทดสอบได้แล้ว
โดยปกติแล้วหากผู้ใช้ไม่ได้ระบุโปรโตคอลด้วยตัวเอง เบราว์เซอร์จะพยายามเชื่อมต่อ HTTP ปกติก่อนเสมอ ขณะเดียวกันการเชื่อมต่อ HTTP/3 ก็ต้องอาศัยการประกาศค่าในฟิลด์ Alt-Svc
ในค่าเฮดเดอร์ HTTP ก่อน แต่ในร่างมาตรฐาน IETF จะเปิดให้เบราว์เซอร์สามารถคิวรี DNS ได้ค่าเช่น
แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป
Google เตรียมยกระดับความปลอดภัย Chrome ขึ้นไปอีกขั้นให้แสดงว่าไม่ปลอดภัยหากกำลังกรอกฟอร์มประเภท mixed forms ที่ไม่ได้ส่งผ่าน HTTPS
ปัจจุบัน เมื่อ Chrome เจอ mixed form จะใช้วิธีหยุดแสดงไอคอนกุญแจที่ใช้กับ HTTPS แต่ทีมความปลอดภัยของ Chrome เห็นว่ายังไม่เพียงพอเพราะว่าข้อมูลที่ส่งยังเป็นแบบไม่ปลอดภัย จึงต้องยกระดับการแจ้งเตือนให้ชัดเจนกว่านี้
Chrome ประกาศแผนการบล็อคไม่ให้ดาวน์โหลดไฟล์ผ่าน HTTP แบบไม่เข้ารหัส โดยจะเริ่มจาก Chrome 82 ที่ออกช่วงเดือนเมษายน 2020
ปัจจุบัน Chrome ยอมให้เราเข้าเว็บที่เป็น HTTPS แล้วดาวน์โหลดบางไฟล์ผ่านโปรโตคอล HTTP (mixed content download) ซึ่งกูเกิลมองว่าไฟล์อาจถูกยัดไส้เป็นมัลแวร์ หรือโดนดักข้อมูลระหว่างทางได้ (เช่น ดาวน์โหลดไฟล์สรุปข้อมูลการเงินจากเว็บไซต์ธนาคาร)
Chrome 82 จะเริ่มแจ้งเตือนผู้ใช้หากดาวน์โหลดไฟล์ .exe ผ่านโปรโตคอล HTTP ที่ไม่ปลอดภัย จากนั้นจะค่อยๆ ยกระดับการแจ้งเตือนไปยังไฟล์ชนิดอื่นๆ เช่น .zip, .pdf, .doc, .png จนถึง Chrome 86 จะบล็อคการดาวน์โหลดไฟล์ทุกประเภทผ่าน HTTP (ดูตารางประกอบ)
Mozilla ประกาศแผนหยุดซัพพอร์ตโปรโตคอล Transport Layer Security (TLS) เวอร์ชันเก่า 1.0 และ 1.1 บน Firefox โดยจะเริ่มมีผลใน Firefox 74 ที่จะออกตัวจริงช่วงเดือนมีนาคม 2020
เหตุผลที่เลิกใช้ TLS 1.0 และ 1.1 เป็นเพราะพบช่องโหว่ที่ถูกใช้โจมตีมากขึ้นเรื่อยๆ เช่น ช่องโหว่ BEAST, CRIME, POODLE ในขณะที่โปรโตคอลเวอร์ชันใหม่ TLS 1.3 ออกตั้งแต่ปี 2018 และรองรับตั้งแต่ Firefox 63
Google ประกาศเตรียมบล็อคคอนเทนต์ที่เป็น HTTP ภายใต้หน้าเว็บที่เป็น HTTPS เป็นค่าเริ่มต้น ซึ่งจะช่วยเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้มากยิ่งขึ้น รวมถึงสามารถแสดง UX ที่ชัดเจนกับผู้ใช้ได้ด้วยว่าหน้าเว็บนี้ปลอดภัยจริงหรือไม่
ปัจจุบัน เว็บไซต์กว่า 90% ได้ปรับเปลี่ยนเป็น HTTPS แล้ว และผู้ใช้ Chrome ก็ใช้เวลากว่า 90% ใช้งานเว็บ HTTPS บนแพลตฟอร์มหลักทุกแพลตฟอร์ม แต่ก็ยังมีประเด็นเรื่องคอนเทนต์ภายในหน้าเว็บที่ยังเป็น HTTP ผสมอยู่บ้าง แม้ว่า Chrome จะบล็อคคอนเทนต์ประเภทบางอย่างเช่นสคริปต์หรือ iframe แล้ว แต่ภาพ, เสียง หรือวิดีโอยังคงโหลดได้อยู่ ซึ่งเป็นประเด็นเพราะหน้าเว็บก็ไม่ได้ปลอดภัยเต็มที่
ผู้ผลิตเบราว์เซอร์รายใหญ่ประกาศจะหยุดการรับรอง TLS 1.0, 1.1 ในช่วงต้นปีหน้ามาตั้งแต่ปีที่แล้ว ล่าสุด Firefox เป็นเจ้าแรกที่ออกมายกเลิกการรับรอง TLS 1.0 และ 1.1 ในเวอร์ชัน Nightly เพื่อเตรียมยกเลิกการใช้งานในเวอร์ชันเสถียรต้นปีหน้า
เว็บไซต์ที่ยังใช้งานแค่ TLS 1.0, 1.1 หากเข้าผ่าน Firefox Nightly จะไม่สามารถเปิดได้และขึ้นเป็น "secure connection failed"
TLS 1.0 ออกมาตั้งแต่ปี 1999 ทำให้ปีนี้มีอายุ 20 ปีพอดี ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วและมีการใช้งานเพิ่มมากขึ้นเรื่อย ๆ
สำหรับคนที่ใช้ Google Chrome บนโทรศัพท์มือถือเป็นประจำ หนึ่งในคุณสมบัติที่ถูกแนะนำให้เปิดคือ Data Saver (การประหยัดดาต้า) ทำให้เปิดเว็บได้เร็วขึ้นในสภาวะที่เครือข่ายไม่เสถียรหรือแน่นจนเกินไป เรียกว่า Chrome Lite Pages แต่ที่ผ่านมาคุณสมบัตินี้รองรับเฉพาะเว็บที่อยู่บนโปรโตคอล HTTP เท่านั้น ทำให้เว็บเข้ารหัส (HTTPS) ไม่สามารถใช้ได้
วันนี้ Google ประกาศอย่างเป็นทางการว่า ได้ขยายคุณสมบัติดังกล่าวให้รองรับเว็บไซต์ที่อยู่บนโปรโตคอล HTTPS ด้วย ทางบริษัทระบุว่าข้อมูลที่จะถูกแบ่งปันกับบริษัท มีเฉพาะ URL เท่านั้น ไม่มีข้อมูลอื่นใด นอกจากนั้นแล้วจะเปิดการใช้งานอัตโนมัติเมื่อการเชื่อมต่ออยู่ในกลุ่ม 2G หรือพบว่าหน้าแรกจะใช้เวลาโหลดนานกว่า 5 วินาที (first contentful paint)
ครั้งนี้อาจเป็นครั้งแรกๆ ที่หน่วยงานรัฐออกมายอมรับอะไรอย่างนี้ เมื่อนายฐากร ตัณฑสิทธิ์ เลขาธิการ กสทช. ทวีตเรื่องการปิดกั้นเนื้อหาเว็บไซต์ที่ละเมิดทรัพย์สินทางปัญญาและความผิดอื่นๆ พร้อมยอมรับว่าไม่สามารถบล็อคหน้าเว็บที่เชื่อมต่อผ่าน HTTPS ได้
กสทช. ระบุว่ามีการแจ้งความร้องทุกข์ให้บล็อคเว็บทั้งหมด 309 URL บล็อคไปแล้ว 81 URL ส่วนที่เหลือ 228 URL ไม่สามารถบล็อคได้เพราะใช้ HTTPS พร้อมระบุว่าจะขอความร่วมมือจากต่างประเทศและเจ้าของแพลตฟอร์มในต่างประเทศ เข้ามาหารือกับ กสทช. เพื่อปิดกั้นเนื้อหาที่ละเมิดลิขสิทธิ์และผิดกฎหมายไทย โดยเบื้องต้น กสทช. ส่งหนังสือผ่านไปทางสถานทูตสหรัฐและญี่ปุ่นเรื่องเนื้อหาที่เผยแพร่บนเว็บไซต์ที่มีการเข้ารหัสและ กสทช. ไม่สามารถดำเนินการปิดกั้นได้
กูเกิล, ไมโครซอฟท์, มอซิลล่า, และแอปเปิล สี่ผู้ผลิตเบราว์เซอร์สำคัญประกาศแผนการหยุดรองรับการเชื่อมต่อ TLS 1.0 และ 1.1 มีกำหนดที่เดือนมีนาคม 2020
TLS 1.0 ออกมาตั้งแต่ปี 1999 และกำลังจะครบรอบ 20 ปีในต้นปีหน้า ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วแนะคงมีการใช้งานมากขึ้นในเร็วๆ นี้
เซิร์ฟเวอร์ส่วนมากในตอนนี้รองรับการเชื่อมต่อทุกรูปแบบตั้งแต่ TLS 1.0 เป็นต้นมา อย่างไรก็ตาม การเชื่อมต่อจริงนั้นมักกลายเป็น TLS 1.2 แทบทั้งหมดแล้ว ไมโครซอฟท์ระบุว่าการเชื่อมต่อบน Edge นั้นเป็น TLS 1.2 ถึง 99.28% ส่วนแอปเปิลก็ระบุว่าสูงถึง 99.6%
Chrome 70 มีกำหนดการออกประมาณสัปดาห์หน้า ความเปลี่ยนแปลงสำคัญคือการเริ่มบล็อคใบรับรองของ ไซแมนเทคทั้งหมด ตามกำหนดการที่ประกาศมาตั้งแต่เดือนกันยายนปีที่แล้ว อย่างไรก็ตามเว็บสำคัญจำนวนหนึ่งยังคงไม่ได้เปลี่ยนใบรับรอง
Scott Helme นักวิจัยความปลอดภัยสแกนเว็บ 1 ล้านอันดับแรกตามอันดับ Alexa พบว่าเว็บจำนวน 1,139 เว็บ หรือเพียง 0.114% ที่ยังคงใช้ใบรับรองจากไซแมนเทคและหน่วยงานออกใบรับรองในเครือ
มาตรฐาน TLS 1.3 แก้ไขมานานและผ่านโหวตไปตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้ก็ได้เลข RFC เป็นทางการคือ RFC8446 นับเป็นเวลาสิบปีพอดีหลังจาก TLS 1.2 หรือ RFC5246
แม้ว่าตัวมาตรฐานจะเพิ่งออกเป็นทางการ แต่ในความปฎิบัติไลบรารีจำนวนมากรองรับฟีเจอร์ต่างๆ ของ TLS 1.3 อยู่ก่อนแล้ว เช่น Chrome นั้นรองรับมาตั้งแต่ Chrome 56 และเปิดใช้งานเป็นค่าเริ่มต้นมาตั้งแต่ Chrome 63