Tags:
Node Thumbnail

กูเกิล, ไมโครซอฟท์, มอซิลล่า, และแอปเปิล สี่ผู้ผลิตเบราว์เซอร์สำคัญประกาศแผนการหยุดรองรับการเชื่อมต่อ TLS 1.0 และ 1.1 มีกำหนดที่เดือนมีนาคม 2020

TLS 1.0 ออกมาตั้งแต่ปี 1999 และกำลังจะครบรอบ 20 ปีในต้นปีหน้า ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วแนะคงมีการใช้งานมากขึ้นในเร็วๆ นี้

เซิร์ฟเวอร์ส่วนมากในตอนนี้รองรับการเชื่อมต่อทุกรูปแบบตั้งแต่ TLS 1.0 เป็นต้นมา อย่างไรก็ตาม การเชื่อมต่อจริงนั้นมักกลายเป็น TLS 1.2 แทบทั้งหมดแล้ว ไมโครซอฟท์ระบุว่าการเชื่อมต่อบน Edge นั้นเป็น TLS 1.2 ถึง 99.28% ส่วนแอปเปิลก็ระบุว่าสูงถึง 99.6%

Tags:
Node Thumbnail

Chrome 70 มีกำหนดการออกประมาณสัปดาห์หน้า ความเปลี่ยนแปลงสำคัญคือการเริ่มบล็อคใบรับรองของ ไซแมนเทคทั้งหมด ตามกำหนดการที่ประกาศมาตั้งแต่เดือนกันยายนปีที่แล้ว อย่างไรก็ตามเว็บสำคัญจำนวนหนึ่งยังคงไม่ได้เปลี่ยนใบรับรอง

Scott Helme นักวิจัยความปลอดภัยสแกนเว็บ 1 ล้านอันดับแรกตามอันดับ Alexa พบว่าเว็บจำนวน 1,139 เว็บ หรือเพียง 0.114% ที่ยังคงใช้ใบรับรองจากไซแมนเทคและหน่วยงานออกใบรับรองในเครือ

Tags:
Node Thumbnail

มาตรฐาน TLS 1.3 แก้ไขมานานและผ่านโหวตไปตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้ก็ได้เลข RFC เป็นทางการคือ RFC8446 นับเป็นเวลาสิบปีพอดีหลังจาก TLS 1.2 หรือ RFC5246

แม้ว่าตัวมาตรฐานจะเพิ่งออกเป็นทางการ แต่ในความปฎิบัติไลบรารีจำนวนมากรองรับฟีเจอร์ต่างๆ ของ TLS 1.3 อยู่ก่อนแล้ว เช่น Chrome นั้นรองรับมาตั้งแต่ Chrome 56 และเปิดใช้งานเป็นค่าเริ่มต้นมาตั้งแต่ Chrome 63

Tags:
Node Thumbnail

ใบรับรอง Let's Encrypt ใช้งานได้ในไคลเอนต์หลักๆ แทบทั้งหมดมาหลายปี แต่ที่จริงแล้วใบรับรองที่ได้รับการเชื่อถือจากฐานข้อมูลทั้งหลายเริ่มต้นจากใบรับรอง root CA ของ IdenTrust เป็นหลัก (ออราเคิลรองรับ IdenTrust DST Root CA X3 เมื่อปี 2016) ตอนนี้ใบรับรองของ Let's Encrypt เองคือ ISRG Root X1 นั้นถูกรวมเข้าฐานข้อมูลหลักทั้งหมดแล้ว

ตอนนี้ฐานข้อมูลใบรับรองหลัก ที่รับรอง Let's Encrypt ได้แก่ ไมโครซอฟท์, กูเกิล, มอซิลล่า, ออราเคิล, และแบล็คเบอรี่

Tags:
Node Thumbnail

แอปเปิลประกาศถอนใบรับรองที่ออกโดย Symantec ตามรูปแบบเดียวกับที่กูเกิลประกาศใน Chrome 70 (ซึ่งเริ่มปล่อยเป็น Chrome Canary แล้ว) โดยยังเหลือใบรับรองที่ออกจนถึงสิ้นปี 2017 และจะเลิกเชื่อถือทั้งหมดภายหลังโดยยังไม่ประกาศวันที่แน่นอน แต่อาจจะเร็วที่สุดภายในปีนี้

สำหรับใบรับรองที่ยังใช้งานได้ จะเหลือเฉพาะใบรับรองที่เปิดเผยข้อมูลใน CT log เอาไว้เท่านั้น

สำหรับผู้ดูแลเว็บทั่วไปที่ยังใช้งานใบรับรองของ Symantec ตอนนี้อาจจะต้องตรวจสอบว่า root CA อยู่ในรายการที่ยกเลิกหรือยัง

ที่มา - Apple Support

Tags:
Node Thumbnail

ต่อเนื่องจากข่าว Chrome 68 เริ่มกาหัวเว็บ HTTP เป็น "Not secure" ทั้งหมด กูเกิลออกมาประกาศแล้วว่าในอีก 2 รุ่นถัดไปคือ Chrome 70 ที่จะออกในเดือนตุลาคม ถ้าหากผู้ใช้ป้อนข้อมูลลงในฟอร์มบนหน้าเว็บแบบ HTTP คำว่า Not secure สีเทาจะแสดงเป็นสีแดงด้วย เพื่อเตือนให้ผู้ใช้ทราบว่าข้อมูลนั้นจะถูกส่งผ่านอินเทอร์เน็ตโดยไม่เข้ารหัส

นอกจากนี้กูเกิลยังจะนำคำว่า Secure ออกไป (เพราะ HTTPS กลายเป็นเรื่องปกติสามัญ) ในเดือนกันยายนด้วย

กูเกิลเผยสถิติว่าหลังประกาศเดินหน้า HTTPS เมื่อสองปีก่อน ทำให้ทราฟฟิกที่เป็น HTTPS มีสัดส่วนสูงขึ้นมาก

Tags:
Node Thumbnail

Chrome 68 มีกำหนดปล่อยตัวจริงเดือนกรกฎาคม และวันนี้ทาง Chrome ก็เริ่มปล่อยตัวจริงออกมาแล้ว ความเปลี่ยนแปลงสำคัญที่สุดคือการแสดงข้อความ "Not secure" สีเทาหน้า URL ทุกเว็บที่ยังไม่เข้ารหัส นับเป็นขั้นตอนรองสุดท้าย ก่อน Chrome จะยกระดับคำเตือนเป็นสีแดง (ยังไม่กำหนดเวลา)

นอกจากการปรับการแสดง URL แล้ว Chrome 68 ยังปรับนโยบายใบรับรองที่ออกมาหลังจากเดือนเมษายน 2018 ทั้งหมด ต้องยืนยันว่ามีการบันทึกลง CT log อย่างน้อยสองแห่ง ส่วนบนแอนดรอยด์จะรองรับ Site Isolation เพิ่มความปลอดภัย (แต่กินแรมเพิ่ม) นอกจากนี้ยังบล็อค CA ที่ติดตั้งโดย Mitel VoIP

ปกติ Chrome จะค่อยๆ ปล่อยอัพเดตทีละกลุ่ม อีกประมาณ 2 สัปดาห์ทุกคนก็น่าจะได้อัพเดตจนครบ

Tags:
Node Thumbnail

งานประชุม IETF 102 ปีนี้ กลุ่มวิศวกรจากแอปเปิล, มอซิลล่า, Fastly, Cloudflare ร่วมกันลองอิมพลีเมนต์ TLS ESNI ที่ยังเป็นร่างมาตรฐาน IETF อยู่ในตอนนี้ มาตรฐานนี้จะทำให้ผู้ให้บริการอินเทอร์เน็ตไม่รู้โดเมนที่ผู้ใช้กำลังเชื่อมต่ออยู่อีกต่อไป

Tags:
Node Thumbnail

รัฐบาลแคนาดาออกประกาศ Information Technology Policy Implementation Notice (ITPIN) บังคับให้เว็บหน่วยงานรัฐบาลทั้งหมดต้องให้บริการผ่านทางช่องทางเข้ารหัสที่ปลอดภัยเท่านั้น

แนวทางระบุข้อบังคับเอาไว้ 5 รายการ

Tags:
Node Thumbnail

Facebook ประกาศนโยบายใหม่ของเว็บและแอพที่ใช้บริการ Facebook Login ว่าจะบังคับเชื่อมต่อผ่าน HTTPS แล้ว

แอพใหม่ที่ใช้งาน Facebook Login หลังเดือนมีนาคม 2018 ถูกบังคับใช้ HTTPS มาตั้งแต่ต้น ส่วนแอพเก่าจะมีเวลาถึงวันที่ 6 ตุลาคม 2018 ก่อนจะโดนบังคับเปลี่ยนเป็น HTTPS (หากยังไม่เปลี่ยนหลังเส้นตาย การเชื่อมต่อผ่าน HTTP จะใช้งานไม่ได้อีก)

สำหรับแอพเก่าที่ต้องการเปลี่ยนเป็น HTTPS ก่อนหน้านั้น สามารถตั้งค่า Enforce HTTPS ได้จากหน้า Settings ของ Facebook Login

การใช้งานผ่าน HTTP จะยังทำได้เพียงกรณีเดียวคือเชื่อมต่อบน localhost และตั้งค่าแอพเป็นโหมด development

Tags:
Node Thumbnail

Chrome มีแนวทางการประกาศว่าเว็บ HTTP ปกติที่ไม่ได้เข้ารหัสเป็นเว็บที่ไม่ปลอดภัยมาตลอด ตอนนี้ส่วนกลับอีกด้านคือเว็บที่เข้ารหัสเป็น HTTPS จะเริ่มถูกปรับให้กลายเป็นเว็บธรรมดา ไม่มีคำรับรองว่าปลอดภัยอีกต่อไป

ตั้งแต่ Chrome 69 ที่กำลังจะออกเดือนกันยายนนี้ เว็บที่เป็น HTTPS จะไม่แสดงแถบสีเขียวและคำว่า "Secure" อีกต่อไป แต่จะเหลือเพียงกุญแจสีดำปกติเท่านั้น และหลังจากนี้จะไม่มีกุญแจอีกเลย เว็บเข้ารหัสจะกลายเป็นเพียงเว็บทั่วๆ ไป

Tags:
Node Thumbnail

กูเกิลเปิดตัวโดเมนเนม .app ที่เป็นโดเมนเนมระดับบนสุด (top-level domain หรือ TLD) ออกแบบมาสำหรับเว็บแอพโดยเฉพาะ

ความพิเศษของโดเมน .app คือความปลอดภัย เพราะบังคับใช้ HTTPS ทั้งหมด 100% ป้องกันปัญหาการแอบฝังข้อมูลบางอย่างหรือแอบดักข้อมูลระหว่างทาง

โดเมน .app จะเริ่มเปิดจองในวันที่ 7 พฤษภาคมนี้ ใครอยากได้ต้องเตรียมตัวกันให้พร้อม โดเมนเปิดขายผ่าน registrar เจ้าดังๆ หลายเจ้าทั้ง GoDaddy, Namecheap, Name.com รวมถึง Google Domains ด้วย รายละเอียดดูได้จาก get.app

ที่มา - Google

Tags:
Node Thumbnail

Let's Encrypt ประกาศออกใบรับรองแบบ Wildcard มาตั้งแต่กลางปีที่แล้ว และถูกเลื่อนมาหลายครั้ง วันนี้ก็ประกาศออกใบรับรองเป็นทางการแล้ว

การขอใบรับรอง Wildcard ต้องใช้โปรโตคอล ACMEv2 ผ่านทาง https://acme-v02.api.letsencrypt.org/directory และยืนยันความเป็นเจ้าของโดเมนด้วยกระบวนการ DNS-01 เท่านั้น โดยผู้ขอใบรับรองสามารถขอโดยระบุ newOrder เป็นแบบ Wildcard ได้ เช่น *.blognone.com

สำหรับผู้ใช้ certbot ต้องใช้เวอร์ชั่น 0.22.0 ขึ้นไป

Tags:
Node Thumbnail

เฟซบุ๊กเริ่มผลักดันการใช้งานเว็บไซต์ที่เข้ารหัส SSL/TLS กับเขาบ้างแล้ว จากการประกาศล่าสุดที่ระบุว่า เฟซบุ๊กจะเปิดใช้งานระบบแก้ลิงก์ ซึ่งจะแก้ลิงก์ที่ไม่เป็น HTTPS สำหรับเว็บที่รองรับ HSTS ให้เป็น HTTPS ทั้งบนทั้งบนเฟซบุ๊กและอินสตาแกรม

วิศวกรของเฟซบุ๊กระบุว่าบริษัทจะตรวจสอบเว็บไซต์จาก HSTS Preload List ที่เบราว์เซอร์ส่วนใหญ่ซัพพอร์ทอยู่แล้ว ขณะเดียวกันถึงแม้เว็บที่ไม่ได้อยู่ใน Preload List แต่ให้บริการเป็น HTTPS ทางเฟซบุ๊กก็จะแก้ไขให้เองด้วยเช่นกัน

Tags:
Node Thumbnail

Chrome ผลักดันการใช้งาน HTTPS แทน HTTP มาโดยตลอด ซึ่งที่ผ่านมาจะขึ้นข้อความเตือนว่าไม่ปลอดภัย (Not Secure) หากเว็บนั้นมีแบบฟอร์มกรอกข้อความ หรือเป็นการเชื่อมต่อผ่าน FTP แต่ประกาศล่าสุดนี้จะมีผลกับ HTTP ทุกกรณีแล้ว

โดยกูเกิลประกาศว่า Chrome 68 ซึ่งมีกำหนดออกมาในเดือนกรกฎาคมปีนี้ จะขึ้นแสดงข้อความว่าเว็บนี้ ไม่ปลอดภัย (Not Secure) สำหรับ HTTP ทุกกรณี

Tags:
Node Thumbnail

Google กำลังผลักดันการใช้งาน HTTPS อยู่เรื่อย ๆ และล่าสุดข้อมูลจาก Transparency Report นั้น Google ก็ได้รายงานว่าทราฟฟิกการใช้งาน HTTPS โดยมีข้อมูลที่น่าสนใจดังนี้

Tags:
Node Thumbnail

Let's Encrypt ประกาศว่าโมดูล mod_md สำหรับ Apache HTTP Server (httpd) ใกล้เสร็จสมบูรณ์ ทำให้เวอร์ชั่นต่อไปเราน่าจะได้ใช้งาน Let's Encrypt โดยคอนฟิกสั้นลงกว่าการใช้ใบรับรองจากที่อื่นเสียอีก

mod_md ต้องการคอนฟิก ManagedDomain เพื่อบอกว่าจะให้ขอใบรับรองสำหรับโดเมนใดบ้าง และเมื่อคอนฟิกแล้วจะไม่ต้องคอนฟิกตำแหน่งใบรับรอง SSLCertificateFile และ SSLCertificateKeyFile เช่นเดิมอีก โดยตัวโมดูลจะขอใบรับรองใหม่เมื่อใบรับรองเดิมใกล้หมดอายุโดยอัตโนมัติ

ตอนนี้โค้ด mod_md อยู่ในเวอร์ชั่นพัฒนาของ httpd แล้ว และมีแผนว่าจะพอร์ต mod_md กลับมาให้เวอร์ชั่น 2.4.x ในอนาคต

Tags:
Node Thumbnail

Let's Encrypt ประกาศตั้งแต่กลางปีที่ผ่านมาว่าจะรองรับใบรับรองแบบ wildcard (สามารถใช้กับทุก subdomain ได้ด้วยใบรับรองเดียว) แต่ไม่ได้ประกาศช่วงเวลาชัดเจน ตอนนี้ทางโครงการก็ออกมาประกาศแล้วว่าจะเริ่่มออกใบรับรอง wildcard ตั้งแต่เดือนมกราคม 2018

การขอใบรับรองแบบ wildcard ในช่วงแรกจะต้องทำ validation ด้วย DNS เท่านั้น และต้องเชื่อมต่อขอใบรับรองด้วย ACMEv2 เท่านั้น แต่กระบวนการขอใบรับรองอาจจะเพิ่มเติมได้ในอนาคต

ตอนนี้ Let's Encrypt ออกใบรับรองไปแล้วถึง 47 ล้านโดเมน

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

เราเห็น Chrome ผลักดันการใช้งาน HTTPS แทน HTTP มาได้สักพักใหญ่ๆ โดยแสดงข้อความเมื่อเชื่อมต่อผ่าน HTTPS ว่า "ปลอดภัย" และเชื่อมต่อผ่าน HTTP ว่า "ไม่ปลอดภัย" การเปลี่ยนแปลงจะเริ่มใน Chrome เวอร์ชันหน้า (62)

ทีมพัฒนาของกูเกิลยังจะใช้นโยบายนี้กับการเชื่อมต่อ FTP ผ่านเบราว์เซอร์ด้วย (ซึ่งไม่ค่อยมีคนใช้มากนัก สถิติของกูเกิลคือ 0.0026% ของการเข้าเว็บทั้งหมด) คนที่เข้า FTP ด้วย Chrome จะเห็นการแจ้งเตือน Not Secure แบบเดียวกับ HTTP โดยเริ่มตั้งแต่ Chrome 63 เป็นต้นไป

Tags:
Topics: 
Node Thumbnail

วันนี้มีประเด็นคุณชิงชัย ชาติมหาเจริญ (@oathth) แจ้งไปยังทาง AIS ว่ากำลังซื้อของจาก AIS Online Store แต่พบว่าเว็บไม่เข้ารหัส ทำให้เบราว์เซอร์ขึ้นเตือนว่าเว็บไม่ปลอดภัยจึงแจ้งทาง @AIS_Thailand ไปแต่ได้รับคำยืนยันว่าเว็บมีความปลอดภัย

Tags:
Node Thumbnail

เบราว์เซอร์โครมของกูเกิลประกาศนโยบายการเตือนผู้ใช้เมื่อเชื่อมต่อเว็บโดยไม่ได้เข้ารหัส (HTTP) ว่าไม่ปลอดภัยเพิ่มเติม จากตอนนี้ที่จะขึ้นเตือน "Not Secure" ทุกครั้งที่เว็บมีแบบฟอร์มรหัสผ่านหรือหมายเลขบัตรเครดิต โดยจะเพิ่มมาตรการใหม่ในเวอร์ชั่น 62

โครม 62 จะเตือนผู้ใช้ทุกครั้งมีผู้ใช้พิมพ์ข้อความใดๆ ลงเว็บ แถบ URL จะเด้งเตือนว่าเว็บนี้เป็นเว็บไม่ปลอดภัย

โครม 62 มีกำหนดออกในช่วงเดือนตุลาคม 2017 ผู้ดูแลเว็บมีเวลาประมาณห้าเดือนในการปรับตัว

Tags:
Node Thumbnail

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก

Tags:
Node Thumbnail

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

Tags:
Node Thumbnail

เว็บไซต์หนังผู้ใหญ่ระดับโลกอย่าง Pornhub ประกาศว่าตนและเว็บไซต์ลูกจะเปิดใช้การเข้ารหัส HTTPS ในวันที่ 4 เมษายนนี้ เพิ่มความปลอดภัยในการเสพสื่อบันเทิงของเราๆ

การเคลื่อนไหวนี้คาดว่าเกิดขึ้นหลังจากที่มีข่าวว่าสภาคองเกรสอนุญาตให้ผู้ให้บริการอินเทอร์เน็ตสามารถขายข้อมูลการเยี่ยมชมเว็บไซต์ได้ ตลอดจนมีการรณรงค์ให้เว็บไซต์ใช้การเข้ารหัสนี้มากขึ้น แม้จะไม่ได้ช่วยปิดบังให้ผู้ให้บริการอินเทอร์เน็ตรู้ว่าคุณดูเว็บนี้ แต่จะทำให้กระบวนการนี้ยากขึ้น

Pornhub มีผู้เข้าชม 75 ล้านคนต่อวัน นับเป็นเว็บไซต์ที่คนเข้าเยอะสุดอันดับ 38 ของโลกรองจาก Ebay จากการวัดของ Alexa

Tags:
Node Thumbnail

15 เดือนหลัง Let's Encrypt เปิดให้บริการออกใบรับรองดิจิตอลฟรี ตอนนี้ปริมาณการเข้าเว็บผ่าน HTTPS ก็พุ่งสูงขึ้นอย่างรวดเร็ว แม้แต่เว็บข่าวก็กลายเป็นเว็บเข้ารหัสจำนวนมาก เว็บอีคอมเมิร์ชระดับโลก เช่น Aliexpress และ Amazon เข้ารหัสเกือบตลอดการใช้งานแล้ว โดยเพิ่งอัพเกรดกันในปีที่ผ่านมา แต่เว็บขนาดใหญ่อย่าง eBay กลับรั้งท้ายให้บริการเป็น HTTP อยู่

ล่าสุด Mark Richards อดีตพนักงานสัญญาจ้างของ eBay เองก็ออกมาเขียนบล็อกแสดงความกังวลว่าการใช้ HTTP ไม่เข้ารหัส ทำให้ผู้ใช้โดนขโมยบัญชีได้แม้ส่วนสำคัญจะเชื่อมต่อแบบ HTTPS ก็ตาม

Pages