Tags:
Node Thumbnail

15 เดือนหลัง Let's Encrypt เปิดให้บริการออกใบรับรองดิจิตอลฟรี ตอนนี้ปริมาณการเข้าเว็บผ่าน HTTPS ก็พุ่งสูงขึ้นอย่างรวดเร็ว แม้แต่เว็บข่าวก็กลายเป็นเว็บเข้ารหัสจำนวนมาก เว็บอีคอมเมิร์ชระดับโลก เช่น Aliexpress และ Amazon เข้ารหัสเกือบตลอดการใช้งานแล้ว โดยเพิ่งอัพเกรดกันในปีที่ผ่านมา แต่เว็บขนาดใหญ่อย่าง eBay กลับรั้งท้ายให้บริการเป็น HTTP อยู่

ล่าสุด Mark Richards อดีตพนักงานสัญญาจ้างของ eBay เองก็ออกมาเขียนบล็อกแสดงความกังวลว่าการใช้ HTTP ไม่เข้ารหัส ทำให้ผู้ใช้โดนขโมยบัญชีได้แม้ส่วนสำคัญจะเชื่อมต่อแบบ HTTPS ก็ตาม

Tags:
Node Thumbnail

Chrome 56 เข้าสถานะเสถียร เวอร์ชันเดสก์ท็อปมีของใหม่ไม่เยอะนัก ได้แก่ รองรับไฟล์เสียงแบบ FLAC, ปิด Flash เป็นค่าดีฟอลต์ และ ขึ้นป้าย Not Secure สำหรับเว็บที่ส่งข้อมูลรหัสผ่านเป็น HTTP

ฟีเจอร์ใหม่ที่สำคัญอยู่บนเวอร์ชัน Android โดย Chrome ปรับปรุงพฤติกรรมของการรีโหลดหน้าเว็บใหม่ ส่งผลให้รีโหลดเร็วขึ้น 28%, ลดจำนวนรีเควสต์ไปยังเซิร์ฟเวอร์ลง 60%

Tags:
Node Thumbnail

GoDaddy แจ้งว่าการอัพเกรดซอฟต์แวร์เพื่อตรวจสอบโดเมนเมื่อปีที่แล้วมีช่องโหว่ ทำให้กระบวนการออกใบรับรองไม่เป็นไปตามมาตรฐานของ CA/Browser Forum และทางบริษัทจะยกเลิกใบรับรอง 8,850 ใบ กระทบลูกค้ารวม 6,100 ราย

ช่องโหว่เป็นซอฟต์แวร์ยืนยันความเป็นเจ้าของโดเมนด้วยการวางไฟล์เปล่าตามชื่อที่กำหนดเอาไว้ในเว็บเซิร์ฟเวอร์ โดยระบบตรวจสอบนี้จะหาว่าเว็บเซิร์ฟเวอร์ตอบไฟล์กลับมาหรือไม่ แต่การอัพเดตซอฟต์แวร์กลับทำให้ระบบตรวจสอบไม่ตรวจ status code ที่เซิร์ฟเวอร์ตอบกลับมา ทำให้เมื่อเซิร์ฟเวอร์ไม่พบไฟล์แล้วตอบกลับมาเป็นรหัส 404 แต่ยังคงมีชื่อไฟล์ในเนื้อ HTTP ทาง GoDaddy ก็ยอมปล่อยใบรับรองให้กับเซิร์ฟเวอร์เหล่านั้น โดยทางบริษัทระบุว่ายังไม่พบการใช้ช่องโหว่นี้จงใจหลอกเพื่อเอาใบรับรองแต่อย่างใด

Tags:
Node Thumbnail

กูเกิลออก Chrome 56 Beta ของใหม่ที่สำคัญคือเริ่มแสดงป้ายเตือน Not Secure สำหรับเว็บที่ยังเป็น HTTP ตามที่เคยประกาศไว้ ซึ่งน่าจะช่วยกระตุ้นให้เว็บไซต์ต่างๆ เปลี่ยนมาใช้ HTTPS กันมากขึ้น

ฟีเจอร์อย่างอื่นคือเว็บไซต์สามารถสื่อสารกับอุปกรณ์ Bluetooth LE ได้ผ่าน Bluetooth API ช่วยให้เว็บแอพมีลักษณะเหมือนแอพแบบเนทีฟมากขึ้น ส่วนฟีเจอร์ฝั่งของนักพัฒนาเว็บคือรองรับ CSS position:sticky กำหนดให้วัตถุบนหน้าเว็บสามารถแปะค้าง (sticky) อยู่บนจอ แม้จะเลื่อนไปยังหน้าจออื่นแล้ว

ที่มา - Chromium Blog

Tags:
Node Thumbnail

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

บทความที่เกียวข้อง: เตรียมลา SHA-1 ตอบคำถามทำไมเข้ารหัสยุ่งยากแล้วต้องอัพเดตใหม่

Tags:
Node Thumbnail

Google ได้รายงานว่า ตอนนี้เว็บไซต์ที่โหลดผ่าน Google Chrome บนเดสก์ท็อปนั้น เกินครึ่งเป็น HTTPS ทั้งหมดแล้ว และเมื่อคิดเป็นเวลาที่ผู้ใช้ใช้งานเว็บ HTTPS เหล่านั้น ก็คิดเป็นจำนวนกว่า 2 ใน 3 ของเวลาทั้งหมดที่ผู้ใช้ได้ใช้งานเว็บทั้งหมด

นอกจากนี้ Google ยังบอกว่าทราฟฟิกของโฆษณาใน Google นั้นได้ส่งผ่าน HTTPS เพิ่มขึ้นมากในช่วง 3 ปีที่ผ่านมา ไม่ว่าจะเป็น AdWords, AdSense หรือ DoubleClick Ad Exchange ส่วนโฆษณาที่ขายโดยตรงอย่าง DoubleClick for Publishers ยังคงต้องการออกแบบให้เป็นมิตรกับ HTTPS มากขึ้น

Tags:
Node Thumbnail

กูเกิลประกาศจะเริ่มแจ้งเดือนเว็บที่ไม่ใช้ HTTPS และขอรหัสผ่านหรือข้อมูลสำคัญ เช่นบัตรเครดิตจากผู้ใช้ตั้งแต่ต้นเดือนกันยายน ตอนนี้ประกาศเริ่มเห็นผลจริงจังเมื่อ Chrome Canary 56.0.2896.0 เปิดฟีเจอร์นี้แล้ว

การแจ้งเตือนช่วงแรกเป็นการแจ้งเตือนสีเทา พร้อมคำอธิบายผู้ใช้ว่าไม่ควรใส่ข้อมูลสำคัญใดๆ ลงในเว็บเหล่านี้

หากไม่มีความผิดพลาดอะไร Chrome 56 ก็จะเข้าสู่เบต้าและออกเป็นตัวจริงในเดือนมกราคมนี้

ที่มา - Severtastic

Tags:
Node Thumbnail

HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว

กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด

Tags:
Node Thumbnail

การใช้งานเว็บเข้ารหัสเริ่มมีมากขึ้นเรื่อย แต่นโยบายองค์กรจำนวนมากก็ต้องบันทึกข้อมูลเข้าออกทุกอย่างเอาไว้ ทำให้ต้องติดตั้ง CA ขององค์กรเพื่อดักฟัง รวมถึงซอฟต์แวร์ป้องกันไวรัสจำนวนหนึ่งก็อาจจะติดตั้งพรอกซี่ไว้ในเครื่องเพื่อตรวจไวรัสก่อนที่จะให้ผู้ใช้เปิดเว็บ แต่แนวทางเช่นนี้เป็นดาบสองคมคือกรณีมัลแวร์ดักฟังข้อมูลไป ผู้ใช้ก็ไม่รู้ตัวว่ากำลังมีคนมาดักคั่นกลางการเชื่อมต่ออยู่ ตอนนี้แพตช์ชุดใหม่ของ Chrome เสนอแนวทางแจ้งเตือนผู้ใช้เมื่อเปิด Developer Tools ขึ้นมาใช้งาน

Chrome ยังคงแสดง URL เป็นสีเขียวปกติต่อไป แต่การแจ้งเตือนจะแสดงสัญลักษณ์สีเทาว่ามีการข้ามการล็อกกุญแจเข้ารหัสจากการใช้ CA ที่ติดตั้งเอง

Tags:
Node Thumbnail

บริการ StartEncrypt จาก StartCom เพิ่งเปิดบริการมาเพียงครึ่งเดือน Thijs Alkemade นักวิจัยจาก Computest ก็พบช่องโหว่สำคัญ ทำให้แฮกเกอร์สามารถหลอกให้ StartEncrypt ออกใบรับรองสำหรับโดเมนต่างๆ โดยที่ผู้ขอไม่ได้เป็นเจ้าของโดเมนได้

Tags:
Node Thumbnail

โครงการออกใบรับรองฟรี Let's Encrypt เพิ่งเปิดบริการมาเพียงครึ่งปี ตอนนี้ก็มีรายงานความคืบหน้าออกมาหลายรอบ ล่าสุดโครงการออกใบรับรองไปแล้วกว่า 5 ล้านใบ ตอนนี้ยังคงใช้งานได้อยู่ (ยังไม่หมดอายุหรือยกเลิกไปก่อน) จำนวน 3.8 ล้านใบ รวมครอบคลุมกว่า 7 ล้านโดเมน

Tags:
Node Thumbnail

ยุคก่อนที่จะมี Let's Encrypt ที่ให้บริการใบรับรองเข้ารหัสฟรี StartCom เคยให้บริการใบรับรองฟรีมาก่อนแล้วในชื่อ StartSSL แม้จะมีกระบวนการค่อนข้างยุ่งยากสักหน่อยก็ตาม ตอนนี้ทาง StartCom ก็มาเปิดบริการแข่งกับ Let's Encrypt ในชื่อ StartEncrypt

StartEncrypt จะมีไคลเอนต์บนเครื่องที่ต้องการขอใบรับรอง โดยไม่ได้ใช้โปรโตคอล ACME ที่ออกแบบมาเพื่อการขอใบรับรองดิจิตอลอัตโนมัติจาก Let's Encrypt แต่ใช้โปรโตคอลของตัวเอง จุดต่างสำคัญคือการออกใบรับรองทีละ 1 ปีเช่นเดียวกับ StartSSL เดิม เป็นจุดที่หลายคนอาจจะไม่ชอบ Let's Encrypt ที่ออกใบรับรองครั้งละเพียง 90 วันเท่านั้น

Tags:
Node Thumbnail

เว็บไอทีชื่อดังในต่างประเทศอย่าง Engadget ประกาศปรับเว็บมาเป็น HTTPS เต็มรูปแบบแล้วพร้อมกับขึ้นต้นประกาศยอมรับว่าไม่น่าจะปล่อยให้ผู้ใช้ไม่มีทางเลือกเข้าเว็บที่ปลอดภัยไว้นานขนาดนี้

Engadget ระบุว่าการเปิด HTTPS กลายเป็นเรื่องพื้นฐานของความปลอดภัยอินเทอร์เน็ต

Tags:
Node Thumbnail

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA)

โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองอิเล็กทรอนิกส์ของผู้ออกใบรับรองอิเล็กทรอนิกส์สำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities)

Tags:
Node Thumbnail

Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (intermediate CA) จาก Symantec

ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025

Blue Coat ระบุว่าใบรับรองนี้ออกมาเพื่อการทดสอบภายในเท่านั้น และกระบวนการออกใบรับรองครั้งนี้ทาง Symantec ก็เป็นผู้ถือกุญแจลับของใบรับรองโดยไม่เคยส่งมอบกุญแจลับให้กับ Blue Coat แต่อย่างใด

Tags:
Node Thumbnail

ปีที่แล้ว Blogger รองรับการเชื่อมต่อผ่าน HTTPS แต่ยังต้องให้เจ้าของบล็อกเปิดใช้กันเองก่อน มาวันนี้กูเกิลประกาศเพิ่ม HTTPS ให้กับบล็อกทุกรายที่โฮสต์อยู่บนโดเมน blogspot.com ของกูเกิลเองแล้ว

การเปิดใช้ HTTPS ครั้งนี้จะทำให้บล็อกบน Blogspot มีสองเวอร์ชันคือ http:// และ https:// ซึ่งในทางปฏิบัติแล้วมองว่าเป็นคนละเว็บกัน อย่างไรก็ตาม กูเกิลยังเปิดให้เจ้าของบล็อกสามารถสั่ง redirect หน้าเพจที่เป็น http:// ให้เป็น https:// ทั้งหมดได้ด้วย (อาจมีปัญหาตรงเนื้อหาบางอย่าง เช่น ภาพหรือวิดีโอ ที่ฝังเป็น http อาจไม่แสดงผลบน https)

Tags:
Node Thumbnail

WordPress.com บริการฝั่งโฮสต์บล็อกประกาศเปิดให้บริการ HTTPS ฟรีกับทุกเว็บแม้จะเป็นเว็บที่โดเมนภายนอกก็ตามโดยอาศัยใบรับรองจาก Let's Encrypt

กระบวนการอัพเกรดจะอัตโนมัติทุกอย่าง ผู้ใช้ไม่ต้องทำอะไรเพิ่ม

WordPress ระบุว่าการอัพเกรดไปยัง HTTPS ไม่ใช่แค่เรื่องของความปลอดภัย แต่ทำให้อันดับค้นหาในกูเกิลดีขึ้น

ทาง WordPress ทดสอบการอัพเกรดมาตั้งแต่เดือนมกราคมที่ผ่านมา และเพิ่งประกาศอัพเกรดให้กับลูกค้าทั้งหมดในวันนี้ สำหรับผู้ใช้ทั่วไปที่ใช้ซับโดเมนของ WordPress.com เองนั้นรองรับ HTTPS มาตั้งแต่ 2014

ตอนนี้ WordPress.com มีลูกค้าที่ใช้โดเมนของตัวเองกว่าล้านราย กระบวนการอัพเกรดครั้งนี้น่าจะทำให้เว็บเข้ารหัสเพิ่มขึ้นอย่างมีนัยสำคัญ

Tags:
Node Thumbnail

HTTP Public Key Pinning (HPKP) เป็นมาตรฐานการรักษาความปลอดภัยอีกขั้นของการทำ HTTPS โดยมันจะประกาศให้เว็บเบราว์เซอร์ล็อกกุญแจเอาไว้ไม่ให้รับกุญแจอื่นแม้จะได้รับการรับรองถูกต้อง แต่ล่าสุด Netcraft ออกมารายงานว่าแม้เว็บที่ทำ HPKP จะมีไม่มากนักแต่ในจำนวนนั้นกลับอิมพลีเมนต์ผิดกันเป็นจำนวนมากทำให้การล็อกกุญแจไม่มีผล

ประเด็นสำคัญของ HPKP คือ การล็อกกุญแจจะต้องล็อกทีละสองกุญแจขึ้นไปเท่านั้น โดยอย่างน้อยมีกุญแจหนึ่งเป็นกุญแจสำรอง เว็บจำนวนมากประกาศล็อกกุญแจไว้เพียงกุญแจเดียวทำให้เบราว์เซอร์ไม่ยอมล็อกกุญแจ เงื่อนไขนี้ประกาศเอาไว้เพื่อป้องกันไม่ให้เว็บถูกล็อกในกรณีที่กุญแจรั่วไหลและผู้ดูแลเว็บต้องสร้างใบรับรองใหม่ กรณีเช่นนี้ผู้ดูแลเว็บยังสามารถใช้กุญแจสำรองมาสร้างใบรับรองได้

Tags:
Node Thumbnail

กูเกิลประกาศเพิ่มหมวดรายงานความโปร่งใส จากเดิมรายงานเน้นการขอข้อมูลผู้ใช้ และการขอลบข้อมูลออกจากระบบ ตอนนี้เพิ่มรายงานการเชื่อมต่อผ่าน HTTPS ของบริการต่างๆ

ข้อมูลของกูเกิลแสดงให้เห็นว่าโดยรวมแล้วตอนนี้จำนวนการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์กูเกิล 75% เป็นการเชื่อมต่อแบบ HTTPS แล้วและแนวโน้มกำลังเพิ่มขึ้นเรื่อยๆ และข้อมูลแยกตามบริการแสดงให้เห็นว่าบริการโฆษณานั้นเพิ่มขึ้นเร็วที่สุด โดยตอนนี้เกิน 75% แล้วจากต้นปี 2014 ที่เชื่อมต่อผ่าน HTTPS เพียง 9% เท่านั้น

ที่มา - Google Security Blog, Google Transparency Report

Tags:
Node Thumbnail

Let's Encrypt ในช่วงเริ่มโครงการนั้นพัฒนาตัวไคลเอนต์สำหรับการขอใบรับรองผ่านโปรโตคอล ACME ด้วยตัวเอง แต่ตอนนี้ทางโครงการก็ระบุว่าจะแยกตัวไคลเอนต์ออกไปแล้ว โดยให้ EFF เป็นผู้ดูแลเต็มที่และทาง Let's Encrypt จะโฟกัสกับการดูแล CA อย่างเดียว

ทาง EFF เป็นผู้พัฒนาซอฟต์แวร์ไคลเอนต์มาตั้งแต่ต้น กระบวนการถ่ายโอนงานจึงไม่น่าจะมีปัญหานัก การแยกงานออกจากกันจะช่วยลดความสับสนในเรื่องของแบรนด์ ให้ Let's Encrypt เป็น CA ฟรีที่รองรับโปรโตคอล ACME ขณะที่ซอฟต์แวร์ไคลเอนต์ก็สามารถใช้งานกับ CA ใดๆ ที่รองรับโปรโตคอลนี้ได้

Tags:
Node Thumbnail

หน่วยงานออกใบรับรองฟรี Let's Encrypt เปิดบริการมาเพียงสามเดือนกว่าๆ ตอนนี้ EFF หนึ่งในหน่วยงานร่วมก่อตั้งก็ออกมาประกาศว่าใบรับรองฟรีถูกออกใบแล้วครบ 1 ล้านใบ

จำนวนใบรับรองที่ออกใหม่เพิ่มขึ้นด้วยอันตราเร่ง จากช่วงแรกที่ใช้เวลา 20 กว่าวันจึงออกใบรับรองได้สองแสนใบ โดยผู้ใช้ส่วนมากมักใส่ข้อมูลติดต่อไว้ในการร้องขอใบรับรองด้วย

จากโดเมน 2.5 ล้านโดเมนที่ขอใบรับรองใหม่ ทาง EFF ระบุว่า 90% เป็นโดเมนที่ไม่เคยมีใบรับรองอย่างถูกต้องมาก่อน

ที่มา - EFF

Tags:
Node Thumbnail

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

รูปแบบการรองรับ HTTPS

การรองรับ HTTPS มีได้หลายแบบ หลายเว็บเลือกที่จะรองรับทั้ง HTTP และ HTTPS ไปพร้อมกัน ซึ่งอาจเกิดจากข้อจำกัดบางประการของแอปพลิเคชันภายใน บางเว็บอาจจะเปิดให้บริการไว้โดยที่รองรับเพียงบางหน้า เช่น หน้าจ่ายเงิน บางเว็บอาจจะยอมรับการโหลดภาพจากเว็บ HTTP ธรรมดา เบื้องต้นเราทำความเข้าใจกับความแตกต่างของการรองรับแต่ละแบบกันก่อน

Tags:
Node Thumbnail

เดิมทีเราคุ้นเคยกับการที่ Chrome แสดงรูปกุญแจสีเขียวเพื่อบอกว่าเป็นการเชื่อมต่อแบบ HTTPS ส่วนการเชื่อมต่อแบบ HTTP ปกติจะแสดงรูปกระดาษเปล่าสีขาว (ถ้าเป็น Firefox เป็นรูปลูกโลก) แต่แผนใหม่ของ Chrome จะไปไกลกว่านั้นคือแสดงกากบาทสีแดงให้ผู้ใช้มองเห็นเด่นชัดไปเลย

กูเกิลเคยนำเสนอไอเดียนี้ไปแล้วครั้งหนึ่ง และล่าสุดทีมงานด้านความปลอดภัยของกูเกิลไปพูดที่งาน Usenix Enigma ยืนยันว่าจะเดินหน้าตามแผนงานนี้ แต่ยังไม่บอกว่าจะใช้งานจริงเมื่อไร

ทิศทางของกูเกิลชัดเจนว่าต้องการผลักดัน HTTPS แทน HTTP โดยมีมาตรการกระตุ้นหลายอย่าง รวมถึงมีผลต่อ Google Search ด้วย

Tags:
Node Thumbnail

งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

งานวิจัยชื่อ The Internet of Unpatched Things ของนักศึกษาจากมหาวิทยาลัยพรินซ์ตัน เลือกอุปกรณ์ IoT มาจำนวนหนึ่ง (ในกลุ่มนี้มี Nest, SmartThing, Belkin WeMo) มาเชื่อมต่อกันผ่าน Wi-Fi และคลื่น Z-Wave แล้วพบว่าอุปกรณ์หลายชิ้นยังขาดระบบรักษาความปลอดภัยอยู่มาก เช่น ส่งข้อมูลผ่าน HTTP โดยไม่เข้ารหัสใดๆ, กล้องวงจรปิดเชื่อมต่อแบบ FTP ไม่เข้ารหัสที่พอร์ต 21 แม้กระทั่งอุปกรณ์ชื่อดังอย่าง Nest เอง ถึงแม้การส่งข้อมูลทั้งหมดต้องผ่าน HTTPS แต่ข้อมูลสภาพอากาศกลับอัพเดตผ่าน HTTP แทน (Nest แก้ปัญหานี้แล้ว)

Tags:
Node Thumbnail

Let's Encrypt บริการออกใบรับรองยืนยันตัวตนของเซิร์ฟเวอร์ฟรีเปิดตัวตั้งแต่ปลายปีที่แล้ว ทำให้ผู้ให้บริการเว็บไซต์ต่างๆ สามารถเปิดให้บริการ HTTPS ได้ฟรีโดยลูกค้าไม่ต้องเสียค่าใบรับรองเพิ่มอีก ตอนนี้บริการโฮสติ้งรายใหญ่อย่าง DreamHost ก็ประกาศรองรับ Let's Encrypt แล้ว

ทาง DreamHost ออกมาประกาศตั้งแต่แรกๆ ว่าสนับสนุน Let's Encrypt แต่เพิ่งอิมพลีเมนต์ระบบสำเร็จโดยลูกค้าเพียงแค่กดเลือกเปิดในหน้าจอคอนฟิกเพียงครั้งเดียวก็จะใช้ HTTPS ได้ทันที ส่วนลูกค้าที่ต้องการใช้ใบรับรองแบบเสียเงินก็ยังเลือกใช้ได้ตามปกติ

DreamHost มีผู้ใช้กว่าสี่แสนราย การที่บริการโฮสติ้งขนาดใหญ่เช่นนี้เปิดรองรับ Let's Encrypt ก็น่าจะช่วยให้เว็บรองรับ HTTPS เพิ่มขึ้นอย่างรวดเร็ว

Pages