Tags:
Node Thumbnail

เฟซบุ๊กเริ่มผลักดันการใช้งานเว็บไซต์ที่เข้ารหัส SSL/TLS กับเขาบ้างแล้ว จากการประกาศล่าสุดที่ระบุว่า เฟซบุ๊กจะเปิดใช้งานระบบแก้ลิงก์ ซึ่งจะแก้ลิงก์ที่ไม่เป็น HTTPS สำหรับเว็บที่รองรับ HSTS ให้เป็น HTTPS ทั้งบนทั้งบนเฟซบุ๊กและอินสตาแกรม

วิศวกรของเฟซบุ๊กระบุว่าบริษัทจะตรวจสอบเว็บไซต์จาก HSTS Preload List ที่เบราว์เซอร์ส่วนใหญ่ซัพพอร์ทอยู่แล้ว ขณะเดียวกันถึงแม้เว็บที่ไม่ได้อยู่ใน Preload List แต่ให้บริการเป็น HTTPS ทางเฟซบุ๊กก็จะแก้ไขให้เองด้วยเช่นกัน

Tags:
Node Thumbnail

Chrome ผลักดันการใช้งาน HTTPS แทน HTTP มาโดยตลอด ซึ่งที่ผ่านมาจะขึ้นข้อความเตือนว่าไม่ปลอดภัย (Not Secure) หากเว็บนั้นมีแบบฟอร์มกรอกข้อความ หรือเป็นการเชื่อมต่อผ่าน FTP แต่ประกาศล่าสุดนี้จะมีผลกับ HTTP ทุกกรณีแล้ว

โดยกูเกิลประกาศว่า Chrome 68 ซึ่งมีกำหนดออกมาในเดือนกรกฎาคมปีนี้ จะขึ้นแสดงข้อความว่าเว็บนี้ ไม่ปลอดภัย (Not Secure) สำหรับ HTTP ทุกกรณี

Tags:
Node Thumbnail

Google กำลังผลักดันการใช้งาน HTTPS อยู่เรื่อย ๆ และล่าสุดข้อมูลจาก Transparency Report นั้น Google ก็ได้รายงานว่าทราฟฟิกการใช้งาน HTTPS โดยมีข้อมูลที่น่าสนใจดังนี้

Tags:
Node Thumbnail

Let's Encrypt ประกาศว่าโมดูล mod_md สำหรับ Apache HTTP Server (httpd) ใกล้เสร็จสมบูรณ์ ทำให้เวอร์ชั่นต่อไปเราน่าจะได้ใช้งาน Let's Encrypt โดยคอนฟิกสั้นลงกว่าการใช้ใบรับรองจากที่อื่นเสียอีก

mod_md ต้องการคอนฟิก ManagedDomain เพื่อบอกว่าจะให้ขอใบรับรองสำหรับโดเมนใดบ้าง และเมื่อคอนฟิกแล้วจะไม่ต้องคอนฟิกตำแหน่งใบรับรอง SSLCertificateFile และ SSLCertificateKeyFile เช่นเดิมอีก โดยตัวโมดูลจะขอใบรับรองใหม่เมื่อใบรับรองเดิมใกล้หมดอายุโดยอัตโนมัติ

ตอนนี้โค้ด mod_md อยู่ในเวอร์ชั่นพัฒนาของ httpd แล้ว และมีแผนว่าจะพอร์ต mod_md กลับมาให้เวอร์ชั่น 2.4.x ในอนาคต

Tags:
Node Thumbnail

Let's Encrypt ประกาศตั้งแต่กลางปีที่ผ่านมาว่าจะรองรับใบรับรองแบบ wildcard (สามารถใช้กับทุก subdomain ได้ด้วยใบรับรองเดียว) แต่ไม่ได้ประกาศช่วงเวลาชัดเจน ตอนนี้ทางโครงการก็ออกมาประกาศแล้วว่าจะเริ่่มออกใบรับรอง wildcard ตั้งแต่เดือนมกราคม 2018

การขอใบรับรองแบบ wildcard ในช่วงแรกจะต้องทำ validation ด้วย DNS เท่านั้น และต้องเชื่อมต่อขอใบรับรองด้วย ACMEv2 เท่านั้น แต่กระบวนการขอใบรับรองอาจจะเพิ่มเติมได้ในอนาคต

ตอนนี้ Let's Encrypt ออกใบรับรองไปแล้วถึง 47 ล้านโดเมน

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

เราเห็น Chrome ผลักดันการใช้งาน HTTPS แทน HTTP มาได้สักพักใหญ่ๆ โดยแสดงข้อความเมื่อเชื่อมต่อผ่าน HTTPS ว่า "ปลอดภัย" และเชื่อมต่อผ่าน HTTP ว่า "ไม่ปลอดภัย" การเปลี่ยนแปลงจะเริ่มใน Chrome เวอร์ชันหน้า (62)

ทีมพัฒนาของกูเกิลยังจะใช้นโยบายนี้กับการเชื่อมต่อ FTP ผ่านเบราว์เซอร์ด้วย (ซึ่งไม่ค่อยมีคนใช้มากนัก สถิติของกูเกิลคือ 0.0026% ของการเข้าเว็บทั้งหมด) คนที่เข้า FTP ด้วย Chrome จะเห็นการแจ้งเตือน Not Secure แบบเดียวกับ HTTP โดยเริ่มตั้งแต่ Chrome 63 เป็นต้นไป

Tags:
Topics: 
Node Thumbnail

วันนี้มีประเด็นคุณชิงชัย ชาติมหาเจริญ (@oathth) แจ้งไปยังทาง AIS ว่ากำลังซื้อของจาก AIS Online Store แต่พบว่าเว็บไม่เข้ารหัส ทำให้เบราว์เซอร์ขึ้นเตือนว่าเว็บไม่ปลอดภัยจึงแจ้งทาง @AIS_Thailand ไปแต่ได้รับคำยืนยันว่าเว็บมีความปลอดภัย

Tags:
Node Thumbnail

เบราว์เซอร์โครมของกูเกิลประกาศนโยบายการเตือนผู้ใช้เมื่อเชื่อมต่อเว็บโดยไม่ได้เข้ารหัส (HTTP) ว่าไม่ปลอดภัยเพิ่มเติม จากตอนนี้ที่จะขึ้นเตือน "Not Secure" ทุกครั้งที่เว็บมีแบบฟอร์มรหัสผ่านหรือหมายเลขบัตรเครดิต โดยจะเพิ่มมาตรการใหม่ในเวอร์ชั่น 62

โครม 62 จะเตือนผู้ใช้ทุกครั้งมีผู้ใช้พิมพ์ข้อความใดๆ ลงเว็บ แถบ URL จะเด้งเตือนว่าเว็บนี้เป็นเว็บไม่ปลอดภัย

โครม 62 มีกำหนดออกในช่วงเดือนตุลาคม 2017 ผู้ดูแลเว็บมีเวลาประมาณห้าเดือนในการปรับตัว

Tags:
Node Thumbnail

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก

Tags:
Node Thumbnail

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

Tags:
Node Thumbnail

เว็บไซต์หนังผู้ใหญ่ระดับโลกอย่าง Pornhub ประกาศว่าตนและเว็บไซต์ลูกจะเปิดใช้การเข้ารหัส HTTPS ในวันที่ 4 เมษายนนี้ เพิ่มความปลอดภัยในการเสพสื่อบันเทิงของเราๆ

การเคลื่อนไหวนี้คาดว่าเกิดขึ้นหลังจากที่มีข่าวว่าสภาคองเกรสอนุญาตให้ผู้ให้บริการอินเทอร์เน็ตสามารถขายข้อมูลการเยี่ยมชมเว็บไซต์ได้ ตลอดจนมีการรณรงค์ให้เว็บไซต์ใช้การเข้ารหัสนี้มากขึ้น แม้จะไม่ได้ช่วยปิดบังให้ผู้ให้บริการอินเทอร์เน็ตรู้ว่าคุณดูเว็บนี้ แต่จะทำให้กระบวนการนี้ยากขึ้น

Pornhub มีผู้เข้าชม 75 ล้านคนต่อวัน นับเป็นเว็บไซต์ที่คนเข้าเยอะสุดอันดับ 38 ของโลกรองจาก Ebay จากการวัดของ Alexa

Tags:
Node Thumbnail

15 เดือนหลัง Let's Encrypt เปิดให้บริการออกใบรับรองดิจิตอลฟรี ตอนนี้ปริมาณการเข้าเว็บผ่าน HTTPS ก็พุ่งสูงขึ้นอย่างรวดเร็ว แม้แต่เว็บข่าวก็กลายเป็นเว็บเข้ารหัสจำนวนมาก เว็บอีคอมเมิร์ชระดับโลก เช่น Aliexpress และ Amazon เข้ารหัสเกือบตลอดการใช้งานแล้ว โดยเพิ่งอัพเกรดกันในปีที่ผ่านมา แต่เว็บขนาดใหญ่อย่าง eBay กลับรั้งท้ายให้บริการเป็น HTTP อยู่

ล่าสุด Mark Richards อดีตพนักงานสัญญาจ้างของ eBay เองก็ออกมาเขียนบล็อกแสดงความกังวลว่าการใช้ HTTP ไม่เข้ารหัส ทำให้ผู้ใช้โดนขโมยบัญชีได้แม้ส่วนสำคัญจะเชื่อมต่อแบบ HTTPS ก็ตาม

Tags:
Node Thumbnail

Chrome 56 เข้าสถานะเสถียร เวอร์ชันเดสก์ท็อปมีของใหม่ไม่เยอะนัก ได้แก่ รองรับไฟล์เสียงแบบ FLAC, ปิด Flash เป็นค่าดีฟอลต์ และ ขึ้นป้าย Not Secure สำหรับเว็บที่ส่งข้อมูลรหัสผ่านเป็น HTTP

ฟีเจอร์ใหม่ที่สำคัญอยู่บนเวอร์ชัน Android โดย Chrome ปรับปรุงพฤติกรรมของการรีโหลดหน้าเว็บใหม่ ส่งผลให้รีโหลดเร็วขึ้น 28%, ลดจำนวนรีเควสต์ไปยังเซิร์ฟเวอร์ลง 60%

Tags:
Node Thumbnail

GoDaddy แจ้งว่าการอัพเกรดซอฟต์แวร์เพื่อตรวจสอบโดเมนเมื่อปีที่แล้วมีช่องโหว่ ทำให้กระบวนการออกใบรับรองไม่เป็นไปตามมาตรฐานของ CA/Browser Forum และทางบริษัทจะยกเลิกใบรับรอง 8,850 ใบ กระทบลูกค้ารวม 6,100 ราย

ช่องโหว่เป็นซอฟต์แวร์ยืนยันความเป็นเจ้าของโดเมนด้วยการวางไฟล์เปล่าตามชื่อที่กำหนดเอาไว้ในเว็บเซิร์ฟเวอร์ โดยระบบตรวจสอบนี้จะหาว่าเว็บเซิร์ฟเวอร์ตอบไฟล์กลับมาหรือไม่ แต่การอัพเดตซอฟต์แวร์กลับทำให้ระบบตรวจสอบไม่ตรวจ status code ที่เซิร์ฟเวอร์ตอบกลับมา ทำให้เมื่อเซิร์ฟเวอร์ไม่พบไฟล์แล้วตอบกลับมาเป็นรหัส 404 แต่ยังคงมีชื่อไฟล์ในเนื้อ HTTP ทาง GoDaddy ก็ยอมปล่อยใบรับรองให้กับเซิร์ฟเวอร์เหล่านั้น โดยทางบริษัทระบุว่ายังไม่พบการใช้ช่องโหว่นี้จงใจหลอกเพื่อเอาใบรับรองแต่อย่างใด

Tags:
Node Thumbnail

กูเกิลออก Chrome 56 Beta ของใหม่ที่สำคัญคือเริ่มแสดงป้ายเตือน Not Secure สำหรับเว็บที่ยังเป็น HTTP ตามที่เคยประกาศไว้ ซึ่งน่าจะช่วยกระตุ้นให้เว็บไซต์ต่างๆ เปลี่ยนมาใช้ HTTPS กันมากขึ้น

ฟีเจอร์อย่างอื่นคือเว็บไซต์สามารถสื่อสารกับอุปกรณ์ Bluetooth LE ได้ผ่าน Bluetooth API ช่วยให้เว็บแอพมีลักษณะเหมือนแอพแบบเนทีฟมากขึ้น ส่วนฟีเจอร์ฝั่งของนักพัฒนาเว็บคือรองรับ CSS position:sticky กำหนดให้วัตถุบนหน้าเว็บสามารถแปะค้าง (sticky) อยู่บนจอ แม้จะเลื่อนไปยังหน้าจออื่นแล้ว

ที่มา - Chromium Blog

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

บทความที่เกียวข้อง: เตรียมลา SHA-1 ตอบคำถามทำไมเข้ารหัสยุ่งยากแล้วต้องอัพเดตใหม่

Tags:
Node Thumbnail

Google ได้รายงานว่า ตอนนี้เว็บไซต์ที่โหลดผ่าน Google Chrome บนเดสก์ท็อปนั้น เกินครึ่งเป็น HTTPS ทั้งหมดแล้ว และเมื่อคิดเป็นเวลาที่ผู้ใช้ใช้งานเว็บ HTTPS เหล่านั้น ก็คิดเป็นจำนวนกว่า 2 ใน 3 ของเวลาทั้งหมดที่ผู้ใช้ได้ใช้งานเว็บทั้งหมด

นอกจากนี้ Google ยังบอกว่าทราฟฟิกของโฆษณาใน Google นั้นได้ส่งผ่าน HTTPS เพิ่มขึ้นมากในช่วง 3 ปีที่ผ่านมา ไม่ว่าจะเป็น AdWords, AdSense หรือ DoubleClick Ad Exchange ส่วนโฆษณาที่ขายโดยตรงอย่าง DoubleClick for Publishers ยังคงต้องการออกแบบให้เป็นมิตรกับ HTTPS มากขึ้น

Tags:
Node Thumbnail

กูเกิลประกาศจะเริ่มแจ้งเดือนเว็บที่ไม่ใช้ HTTPS และขอรหัสผ่านหรือข้อมูลสำคัญ เช่นบัตรเครดิตจากผู้ใช้ตั้งแต่ต้นเดือนกันยายน ตอนนี้ประกาศเริ่มเห็นผลจริงจังเมื่อ Chrome Canary 56.0.2896.0 เปิดฟีเจอร์นี้แล้ว

การแจ้งเตือนช่วงแรกเป็นการแจ้งเตือนสีเทา พร้อมคำอธิบายผู้ใช้ว่าไม่ควรใส่ข้อมูลสำคัญใดๆ ลงในเว็บเหล่านี้

หากไม่มีความผิดพลาดอะไร Chrome 56 ก็จะเข้าสู่เบต้าและออกเป็นตัวจริงในเดือนมกราคมนี้

ที่มา - Severtastic

Tags:
Node Thumbnail

HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว

กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด

Tags:
Node Thumbnail

การใช้งานเว็บเข้ารหัสเริ่มมีมากขึ้นเรื่อย แต่นโยบายองค์กรจำนวนมากก็ต้องบันทึกข้อมูลเข้าออกทุกอย่างเอาไว้ ทำให้ต้องติดตั้ง CA ขององค์กรเพื่อดักฟัง รวมถึงซอฟต์แวร์ป้องกันไวรัสจำนวนหนึ่งก็อาจจะติดตั้งพรอกซี่ไว้ในเครื่องเพื่อตรวจไวรัสก่อนที่จะให้ผู้ใช้เปิดเว็บ แต่แนวทางเช่นนี้เป็นดาบสองคมคือกรณีมัลแวร์ดักฟังข้อมูลไป ผู้ใช้ก็ไม่รู้ตัวว่ากำลังมีคนมาดักคั่นกลางการเชื่อมต่ออยู่ ตอนนี้แพตช์ชุดใหม่ของ Chrome เสนอแนวทางแจ้งเตือนผู้ใช้เมื่อเปิด Developer Tools ขึ้นมาใช้งาน

Chrome ยังคงแสดง URL เป็นสีเขียวปกติต่อไป แต่การแจ้งเตือนจะแสดงสัญลักษณ์สีเทาว่ามีการข้ามการล็อกกุญแจเข้ารหัสจากการใช้ CA ที่ติดตั้งเอง

Tags:
Node Thumbnail

บริการ StartEncrypt จาก StartCom เพิ่งเปิดบริการมาเพียงครึ่งเดือน Thijs Alkemade นักวิจัยจาก Computest ก็พบช่องโหว่สำคัญ ทำให้แฮกเกอร์สามารถหลอกให้ StartEncrypt ออกใบรับรองสำหรับโดเมนต่างๆ โดยที่ผู้ขอไม่ได้เป็นเจ้าของโดเมนได้

Tags:
Node Thumbnail

โครงการออกใบรับรองฟรี Let's Encrypt เพิ่งเปิดบริการมาเพียงครึ่งปี ตอนนี้ก็มีรายงานความคืบหน้าออกมาหลายรอบ ล่าสุดโครงการออกใบรับรองไปแล้วกว่า 5 ล้านใบ ตอนนี้ยังคงใช้งานได้อยู่ (ยังไม่หมดอายุหรือยกเลิกไปก่อน) จำนวน 3.8 ล้านใบ รวมครอบคลุมกว่า 7 ล้านโดเมน

Tags:
Node Thumbnail

ยุคก่อนที่จะมี Let's Encrypt ที่ให้บริการใบรับรองเข้ารหัสฟรี StartCom เคยให้บริการใบรับรองฟรีมาก่อนแล้วในชื่อ StartSSL แม้จะมีกระบวนการค่อนข้างยุ่งยากสักหน่อยก็ตาม ตอนนี้ทาง StartCom ก็มาเปิดบริการแข่งกับ Let's Encrypt ในชื่อ StartEncrypt

StartEncrypt จะมีไคลเอนต์บนเครื่องที่ต้องการขอใบรับรอง โดยไม่ได้ใช้โปรโตคอล ACME ที่ออกแบบมาเพื่อการขอใบรับรองดิจิตอลอัตโนมัติจาก Let's Encrypt แต่ใช้โปรโตคอลของตัวเอง จุดต่างสำคัญคือการออกใบรับรองทีละ 1 ปีเช่นเดียวกับ StartSSL เดิม เป็นจุดที่หลายคนอาจจะไม่ชอบ Let's Encrypt ที่ออกใบรับรองครั้งละเพียง 90 วันเท่านั้น

Tags:
Node Thumbnail

เว็บไอทีชื่อดังในต่างประเทศอย่าง Engadget ประกาศปรับเว็บมาเป็น HTTPS เต็มรูปแบบแล้วพร้อมกับขึ้นต้นประกาศยอมรับว่าไม่น่าจะปล่อยให้ผู้ใช้ไม่มีทางเลือกเข้าเว็บที่ปลอดภัยไว้นานขนาดนี้

Engadget ระบุว่าการเปิด HTTPS กลายเป็นเรื่องพื้นฐานของความปลอดภัยอินเทอร์เน็ต

Tags:
Node Thumbnail

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA)

โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองอิเล็กทรอนิกส์ของผู้ออกใบรับรองอิเล็กทรอนิกส์สำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities)

Pages