HTTPS

มาตรฐาน ESNI ออกตัวจริงเป็น RFC9849 ปิดทางไฟร์วอลล์แอบส่องว่าใครเข้าเว็บอะไร

By lew

on 4 March 2026 - 22:57 Tag: IETF, Internet, HTTPS

IETF

IETF ปล่อยมาตรฐาน RFC9849 TLS Encrypted Client Hello ที่กลุ่มวิศวกรเสนอกันมาตั้งแต่ปี 2018 ปิดช่องทางสุดท้ายที่ไฟร์วอลล์ฝั่งผู้ใช้อินเทอร์เน็ตจะแอบส่องว่าผู้ใช้ภายในเน็ตเวิร์คกำลังเชื่อมต่อ "โดเมน" อะไรอยู่บ้าง

Firefox เริ่มเข้ารหัสชื่อโดเมนระหว่างการเชื่อมต่อ TLS ปิดทางจับข้อมูลว่าใครเข้าเว็บอะไร

By lew

on 5 October 2023 - 16:09 Tag: Firefox, TLS, HTTPS, Privacy

Firefox

Firefox เพิ่งออกเวอร์ชั่น 118 เมื่อปลายเดือนกันยายนที่ผ่านมา โดยฟีเจอร์สำคัญตัวหนึ่งคือการเข้ารหัสข้อความเริ่มต้นเชื่อมต่อ TLS ตามมาตรฐาน Encrypted Client Hello (ECH) ที่เข้ารหัสข้อมูลแทบทั้งหมด ทำให้การดักฟังการเชื่อมต่อไม่สามารถมองเห็นได้ว่าผู้ใช้กำลังเชื่อมต่อไปยังโดเมนอะไร

Chrome จะอัพเกรดลิงก์ HTTP เป็น HTTPS ให้อัตโนมัติ, แจ้งเตือนถ้าดาวน์โหลดไฟล์ผ่าน HTTP

By mk

on 17 August 2023 - 08:55 Tag: Chrome, HTTPS, HTTP, Browser, Security

Chrome

Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้

การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว

Let’s Encrypt เตรียมเลิกออกใบรับรอง Cross-Sign กระทบ Android 7.0 หรือเก่ากว่า

By lew

on 11 July 2023 - 20:03 Tag: Let's Encrypt, HTTPS, Security

Let's Encrypt

Let’s Encrypt ผู้ออกใบรับรองเข้ารหัสเว็บรายใหญ่อาศัยการรับรองซ้อน (cross-sign) กับ IdentTrust มาตั้งแต่เริ่มต้น ทำให้ใบรับรองจาก Let’s Encrypt สามารถใช้งานได้ทั่วไป แต่เดือนกันยายน 2024 ตัวใบรับรอง IdenTrust’s DST Root CA X3 จะหมดอายุ และทาง Let’s Encrpyt ระบุว่าจะไม่พยายามหาทางทำ cross-sign รอบใหม่อีกแล้ว

ผลกระทบสำคัญคืออุปกรณ์ที่ใช้ระบบปฎิบัติการเก่าๆ จะไม่สามารถตรวจสอบใบรับรองได้อีกต่อไป กลุ่มใหญ่ที่ยังมีการใช้งานอยู่คือ Android 7.0 หรือเก่ากว่า ซึ่งตอนนี้ยังมีการใช้งานอยู่ถึง 6.1% ของแอนดรอยด์ทั้งหมด

Google เปิดบริการออกใบรับรองเข้ารหัสเว็บฟรีให้ทุกคน

By lew

on 26 May 2023 - 22:53 Tag: Google Cloud, Security, HTTPS, Digital Certificate, Google

Google Cloud

Google Trust Service (GTS) บริการออกใบรับรองเข้ารหัสเว็บ (Certification Authority - CA) ของกูเกิลประกาศเปิดให้บริการออกใบรับรองแก่ผู้ที่มีบัญชี Google Cloud ทุกคน หลังจากเปิดบริการนี้เมื่อปีที่แล้วในวงจำกัด

GTS ให้บริการผ่านโปรโตคอล ACME จึงใช้งานกับโปรแกรมเดิมที่ขอใบรับรองจาก Let’s Encrypt ได้ สำหรับผู้ดูแลเว็บ ก็อาจจะเลือกคอนฟิก CA ไว้หลายแห่งพร้อมกันเพื่อป้องกันปัญหาในกรณีที่ CA บางรายล่มไป หรือบางครั้ง CA อาจจะมีบั๊กจนต้องออกใบรับรองใหม่จำนวนมากจนให้บริการไม่ทัน

Chrome จะเลิกใช้ไอคอนแม่กุญแจ HTTPS เปลี่ยนเป็นปุ่ม Tune แสดงการตั้งค่าแทน

By mk

on 3 May 2023 - 09:35 Tag: Chrome, Design, Browser, HTTPS, Google

Chrome

กูเกิลประกาศแผนการเลิกแสดงไอคอนแม่กุญแจในช่อง Address Bar ของ Chrome โดยจะเปลี่ยนเป็นไอคอน "tune" แสดงปุ่มการปรับแต่งแทน

เหตุผลของกูเกิลคือ ไอคอนแม่กุญแจเป็นการบ่งบอกสถานะว่าเว็บไซต์ใช้โปรโตคอล HTTPS แบบเข้ารหัส ซึ่งในอดีตมีเว็บไซต์ที่ใช้ HTTPS ไม่เยอะนักจึงต้องมีไอคอนมาบอก แต่ตอนนี้ HTTPS กลายเป็นมาตรฐานไปแล้ว จึงไม่มีความจำเป็นอีกต่อไป

Mozilla ถอด TrustCor ออกจากฐานข้อมูล root CA หลังพบเกี่ยวข้องกับบริษัทขายมัลแวร์

By lew

on 1 December 2022 - 17:43 Tag: Mozilla, HTTPS, Digital Certificate, Security

Mozilla

Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

Tailscale เปิดบริการ Funnel เปิดทางเชื่อมต่อเข้าเซิร์ฟเวอร์ผ่านอินเทอร์เน็ต

By lew

on 19 November 2022 - 13:42 Tag: Tailscale, HTTPS, Security

Tailscale

Tailscale ผู้ให้บริการเครือข่ายส่วนตัวผ่านอินเทอร์เน็ต (คล้าย VPN) เปิดบริการ Tailscale Funnel เพื่อให้เครื่องอื่นๆ นอกเครือข่าย tailnet สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ด้วย

บริการ Funnel ทำให้ Tailscale ให้บริการคล้ายกับบริการอย่าง Cloudflare Tunnel ยิ่งขึ้นโดยผู้ใช้ไม่ต้องมีโดเมนเป็นของตัวเอง แต่ใช้โดเมน .ts.net ของ Tailscale

ทาง Tailscale จะส่งแพ็กเก็ตของผู้ใช้แบบที่เข้ารหัสไปยังโหนดของลูกค้าโดยตรงไม่มีการถอดรหัสระหว่างทาง และทาง Tailscale ยืนยันว่าลูกค้าสามารถตรวจสอบได้ว่าทางบริษัทไม่ได้ออกใบรับรองเข้ารหัสสำหรับโดเมน .ts.net เพื่อดักฟังข้อมูล

Let's Encrypt เปิดเซิร์ฟเวอร์ปล่อยรายการยกเลิกใบรับรอง

By lew

on 15 September 2022 - 11:20 Tag: Let's Encrypt, HTTPS, Security

Let's Encrypt

Let's Encrypt บริการ Certification Authority (CA) ฟรีเปิดบริการ Certificate Revocation Lists (CRLs) สำหรับการประกาศใบรับรองที่ถูกยกเลิกเมื่อมีปัญหาความปลอดภัยของใบรับรอง แม้ว่าที่ผ่านมาหลายปี Let's Encrypt จะไม่รองรับ CRL เลยก็ตาม

Google Cloud เปิดให้ขอใบรับรองเข้ารหัสได้ทุกคน แค่มีบัญชีผู้ใช้

By lew

on 26 August 2022 - 08:20 Tag: Google Cloud, Digital Certificate, HTTPS

Google Cloud

Google Cloud ปรับสถานะบริการ Cloud Certificate Manager เข้าสู่ GA ให้ลูกค้าใช้งานได้ทุกคน หลังจากเปิดบริการแบบวงปิดตั้งแต่ต้นปีที่ผ่านมา ผู้ใช้ Google Cloud สามารถขอใบรับรองได้ฟรีแม้จะเป็นผู้ใช้ที่ไม่ได้จ่ายเงินก็ตาม

กระบวนการขอใบรับรองจะมีขั้นตอนเพิ่มเติมจากการขอใบรับรองจาก Let's Encrypt คือต้องสร้างกุญแจผูกกับบัญชีผู้ใช้ (External Account Binding - EAB) จาก Google Cloud เสียก่อน จากนั้นใส่ค่านี้ในไคลเอนต์ของ ACME ที่รองรับ เช่น certbot ก็จะขอใบรับรองได้ไม่ต่างกัน

Chrome เตรียมขึ้นเตือนหน้า HTTP ไม่ปลอดภัยเสมอ, เลิกแสดงกุญแจบน HTTPS

By lew

on 15 July 2021 - 02:51 Tag: Chrome, HTTPS, Browser

Chrome

โครงการ Chromium ประกาศแนวทางทดสอบหน้าจอแสดงโปรโตคอล HTTP/HTTPS ให้การเข้ารหัสเป็นเรื่องปกติยิ่งกว่าตอนนี้ หลังจากสำรวจพบว่าเว็บมากกว่า 90% เข้ารหัสแล้ว โดยมีสองแนวทางหลักที่จะปรับให้การเข้ารหัสเป็นเรื่องปกติยิ่งขึ้น

Chrome 90 มาแล้ว ใช้ HTTPS เป็น default

By arjin

on 15 April 2021 - 20:08 Tag: Chrome, Google, Browser, HTTPS

Chrome

กูเกิลออกอัพเดต Chrome 90 บนเดสก์ท็อปทั้ง Windows, Mac และ Linux มีของใหม่ที่สำคัญดังนี้

รองรับตัวเข้ารหัสวิดีโอ AV1 ซึ่งใช้แบนด์วิธน้อยลง แต่ยังคงคุณภาพได้ดี (เพิ่มเติม)
เปลี่ยนมาใช้โปรโตคอล HTTPS เป็นค่าเริ่มต้น หากไม่มีการระบุ กรณีเว็บไม่รองรับ HTTPS จึงเปลี่ยนมาใช้ HTTP แทน
ซ่อน Reading List ได้ (ฟีเจอร์นี้เพิ่งใส่มาใน Chrome 89)

ที่มา: 9to5Google

Chrome เปลี่ยนนโยบาย หากผู้ใช้ไม่พิมพ์โปรโตคอลจะถือว่าเป็น HTTPS เสมอ

By lew

on 24 March 2021 - 00:26 Tag: Chrome, Security, Internet, HTTPS, Browser

Chrome

Chrome ประกาศเปลี่ยนนโยบายตั้งแต่เวอร์ชั่น 90 (ปัจจุบันเป็นเบต้า) ว่าหากผู้ใช้พิมพ์เฉพาะโดเมน จะถือว่าผู้ใช้กำลังเข้าเว็บแบบ HTTPS เสมอ เบราว์เซอร์จะไม่พยายามเข้า HTTP ที่ไม่เข้ารหัสเป็นค่าเริ่มต้นอีกต่อไป

Firefox 83 ปรับปรุงเอนจิน JavaScript โหลดเพจเร็วขึ้น 15%, เพิ่มโหมด HTTPS-Only

By mk

on 17 November 2020 - 20:32 Tag: Firefox, JavaScript, Browser, Mozilla, HTTPS

Firefox

Firefox ออกเวอร์ชัน 83 โดยถือเป็นรุ่นที่มีของใหม่หลายอย่าง ฟีเจอร์สำคัญคือการอัพเกรดเอนจินจาวาสคริปต์ SpiderMonkey ครั้งใหญ่ อัพเดตตัวนี้มีชื่อว่า Warp (หรือ WarpBuilder) เป็นการปรับปรุงกระบวนการทำงานของคอมไพเลอร์ just-in-time (JIT) ใหม่ ผลที่ได้คือประสิทธิภาพดีขึ้น 20% ในการโหลดหน้าเว็บ Google Docs, เฉลี่ยแล้ว 15%, ตอบสนองดีขึ้น 12% และใช้หน่วยความจำน้อยลง 8% โดยเฉลี่ย (รายละเอียดเรื่อง Warp สำหรับผู้สนใจ)

Cloudflare เริ่มส่งข้อมูลโปรโตคอลที่รองรับผ่าน DNS ใช้งานใน iOS 14 ได้แล้ว

By lew

on 30 September 2020 - 23:50 Tag: Cloudflare, DNS, HTTPS

Cloudflare

Cloudflare ประกาศรองรับ DNS เรคคอร์ด HTTPS เพื่อระบุว่าว่าเว็บรองรับโปรโตคอล HTTP/2 และ HTTP/3 หรือไม่ เปิดทางให้ไคลเอนต์สามารถเชื่อมต่อเข้าเว็บได้เร็วขึ้น โดยตอนนี้ Safari ใน iOS 14 สามารถเปิดฟีเจอร์นี้ขึ้นมาทดสอบได้แล้ว

โดยปกติแล้วหากผู้ใช้ไม่ได้ระบุโปรโตคอลด้วยตัวเอง เบราว์เซอร์จะพยายามเชื่อมต่อ HTTP ปกติก่อนเสมอ ขณะเดียวกันการเชื่อมต่อ HTTP/3 ก็ต้องอาศัยการประกาศค่าในฟิลด์ Alt-Svc ในค่าเฮดเดอร์ HTTP ก่อน แต่ในร่างมาตรฐาน IETF จะเปิดให้เบราว์เซอร์สามารถคิวรี DNS ได้ค่าเช่น

วันนี้เป็นวันสุดท้ายของการออกใบรับรองเข้ารหัสเว็บอายุ 2 ปี จากนี้ไปใบรับรองอายุไม่เกิน 397 วัน

By lew

on 31 August 2020 - 18:57 Tag: HTTPS, Security, Safari, Digital Certificate, Browser

HTTPS

แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป

Chrome จะปิด autofill พร้อมแจ้งเตือนผู้ใช้หากกำลังกรอกฟอร์มที่ไม่ได้ส่งผ่าน HTTPS

By nutmos

on 18 August 2020 - 08:52 Tag: Chrome, HTTPS, HTTP, Security

Chrome

Google เตรียมยกระดับความปลอดภัย Chrome ขึ้นไปอีกขั้นให้แสดงว่าไม่ปลอดภัยหากกำลังกรอกฟอร์มประเภท mixed forms ที่ไม่ได้ส่งผ่าน HTTPS

ปัจจุบัน เมื่อ Chrome เจอ mixed form จะใช้วิธีหยุดแสดงไอคอนกุญแจที่ใช้กับ HTTPS แต่ทีมความปลอดภัยของ Chrome เห็นว่ายังไม่เพียงพอเพราะว่าข้อมูลที่ส่งยังเป็นแบบไม่ปลอดภัย จึงต้องยกระดับการแจ้งเตือนให้ชัดเจนกว่านี้

Chrome 82 จะเริ่มบล็อคไฟล์ที่ดาวน์โหลดผ่าน HTTP แบบไม่เข้ารหัส ป้องกันถูกยัดไส้

By mk

on 8 February 2020 - 10:40 Tag: Chrome, HTTPS, HTTP, Security, Browser

Chrome

Chrome ประกาศแผนการบล็อคไม่ให้ดาวน์โหลดไฟล์ผ่าน HTTP แบบไม่เข้ารหัส โดยจะเริ่มจาก Chrome 82 ที่ออกช่วงเดือนเมษายน 2020

ปัจจุบัน Chrome ยอมให้เราเข้าเว็บที่เป็น HTTPS แล้วดาวน์โหลดบางไฟล์ผ่านโปรโตคอล HTTP (mixed content download) ซึ่งกูเกิลมองว่าไฟล์อาจถูกยัดไส้เป็นมัลแวร์ หรือโดนดักข้อมูลระหว่างทางได้ (เช่น ดาวน์โหลดไฟล์สรุปข้อมูลการเงินจากเว็บไซต์ธนาคาร)

Firefox ประกาศหยุดรองรับ TLS 1.0, 1.1 ต้นเดือนมีนาคม 2020, ต้องเป็น TLS 1.2 ขึ้นไป

By mk

on 7 February 2020 - 09:42 Tag: Firefox, Mozilla, HTTPS, TLS, Security

Firefox

Mozilla ประกาศแผนหยุดซัพพอร์ตโปรโตคอล Transport Layer Security (TLS) เวอร์ชันเก่า 1.0 และ 1.1 บน Firefox โดยจะเริ่มมีผลใน Firefox 74 ที่จะออกตัวจริงช่วงเดือนมีนาคม 2020

เหตุผลที่เลิกใช้ TLS 1.0 และ 1.1 เป็นเพราะพบช่องโหว่ที่ถูกใช้โจมตีมากขึ้นเรื่อยๆ เช่น ช่องโหว่ BEAST, CRIME, POODLE ในขณะที่โปรโตคอลเวอร์ชันใหม่ TLS 1.3 ออกตั้งแต่ปี 2018 และรองรับตั้งแต่ Firefox 63

Chrome จะเริ่มบล็อคคอนเทนต์ที่โหลดเป็น HTTP ในหน้าเว็บ HTTPS เริ่มปีหน้า

By nutmos

on 4 October 2019 - 23:05 Tag: Chrome, Google, Security, HTTP, HTTPS

Chrome

Google ประกาศเตรียมบล็อคคอนเทนต์ที่เป็น HTTP ภายใต้หน้าเว็บที่เป็น HTTPS เป็นค่าเริ่มต้น ซึ่งจะช่วยเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้มากยิ่งขึ้น รวมถึงสามารถแสดง UX ที่ชัดเจนกับผู้ใช้ได้ด้วยว่าหน้าเว็บนี้ปลอดภัยจริงหรือไม่

Subscribe to HTTPS