นับถอยหลัง Let's Encrypt ประกาศใบรับรอง wildcard มาเดือนมกราคม 2018

By lew Founder on Tag: Let's Encrypt, HTTPS
Let's Encrypt

Let's Encrypt ประกาศตั้งแต่กลางปีที่ผ่านมาว่าจะรองรับใบรับรองแบบ wildcard (สามารถใช้กับทุก subdomain ได้ด้วยใบรับรองเดียว) แต่ไม่ได้ประกาศช่วงเวลาชัดเจน ตอนนี้ทางโครงการก็ออกมาประกาศแล้วว่าจะเริ่่มออกใบรับรอง wildcard ตั้งแต่เดือนมกราคม 2018

การขอใบรับรองแบบ wildcard ในช่วงแรกจะต้องทำ validation ด้วย DNS เท่านั้น และต้องเชื่อมต่อขอใบรับรองด้วย ACMEv2 เท่านั้น แต่กระบวนการขอใบรับรองอาจจะเพิ่มเติมได้ในอนาคต

ตอนนี้ Let's Encrypt ออกใบรับรองไปแล้วถึง 47 ล้านโดเมน

Read more

Chrome 63 จะขึ้นป้ายเตือน "ไม่ปลอดภัย" เมื่อเชื่อมต่อผ่าน FTP

By mk Founder on Tag: Chrome, FTP, HTTPS, Browser, Security
Chrome

เราเห็น Chrome ผลักดันการใช้งาน HTTPS แทน HTTP มาได้สักพักใหญ่ๆ โดยแสดงข้อความเมื่อเชื่อมต่อผ่าน HTTPS ว่า "ปลอดภัย" และเชื่อมต่อผ่าน HTTP ว่า "ไม่ปลอดภัย" การเปลี่ยนแปลงจะเริ่มใน Chrome เวอร์ชันหน้า (62)

ทีมพัฒนาของกูเกิลยังจะใช้นโยบายนี้กับการเชื่อมต่อ FTP ผ่านเบราว์เซอร์ด้วย (ซึ่งไม่ค่อยมีคนใช้มากนัก สถิติของกูเกิลคือ 0.0026% ของการเข้าเว็บทั้งหมด) คนที่เข้า FTP ด้วย Chrome จะเห็นการแจ้งเตือน Not Secure แบบเดียวกับ HTTP โดยเริ่มตั้งแต่ Chrome 63 เป็นต้นไป

Read more

การกรอกหมายเลขบัตรเครดิตบนเว็บไม่เข้ารหัสเป็นความเสี่ยงผู้ใช้ และเว็บรับบัตรเครดิตควรบังคับ HTTPS ได้แล้ว

By lew Founder on Tag: AIS, HTTPS
AIS

วันนี้มีประเด็นคุณชิงชัย ชาติมหาเจริญ (@oathth) แจ้งไปยังทาง AIS ว่ากำลังซื้อของจาก AIS Online Store แต่พบว่าเว็บไม่เข้ารหัส ทำให้เบราว์เซอร์ขึ้นเตือนว่าเว็บไม่ปลอดภัยจึงแจ้งทาง @AIS_Thailand ไปแต่ได้รับคำยืนยันว่าเว็บมีความปลอดภัย

Read more

ได้เวลาเปลี่ยน Chrome 62 จะเตือนผู้ใช้เว็บ HTTP ว่าไม่ปลอดภัยทุกครั้ง หากผู้ใช้กำลังพิมพ์ข้อความใดๆ ลงเว็บ

By lew Founder on Tag: Chrome, HTTPS, Security
Chrome

เบราว์เซอร์โครมของกูเกิลประกาศนโยบายการเตือนผู้ใช้เมื่อเชื่อมต่อเว็บโดยไม่ได้เข้ารหัส (HTTP) ว่าไม่ปลอดภัยเพิ่มเติม จากตอนนี้ที่จะขึ้นเตือน "Not Secure" ทุกครั้งที่เว็บมีแบบฟอร์มรหัสผ่านหรือหมายเลขบัตรเครดิต โดยจะเพิ่มมาตรการใหม่ในเวอร์ชั่น 62

โครม 62 จะเตือนผู้ใช้ทุกครั้งมีผู้ใช้พิมพ์ข้อความใดๆ ลงเว็บ แถบ URL จะเด้งเตือนว่าเว็บนี้เป็นเว็บไม่ปลอดภัย

โครม 62 มีกำหนดออกในช่วงเดือนตุลาคม 2017 ผู้ดูแลเว็บมีเวลาประมาณห้าเดือนในการปรับตัว

Read more

Netflix ออกชุดทดสอบ BetterTLS ช่วยให้เบราว์เซอร์รองรับ CA แบบจำกัดโดเมนได้ดีขึ้น

By lew Founder on Tag: Security, HTTPS, Netflix
Security

ระบบการออกใบรับรองการเข้ารหัสเว็บทุกวันนี้ ความน่ากลัวอย่างหนึ่งคือเมื่อมี root CA เพิ่มเข้ามาแล้ว root CA นั้นจะออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ทั้งที่จริงๆ แล้วฟีเจอร์หนึ่งของใบรับรองสำหรับ CA คือ Name Constraints สามารถกำหนดโดเมนที่ CA จะออกโดเมนได้แต่ก็ไม่มีใครสนใจใช้งานจริงจังนัก

Read more

รายงานสำรวจ HTTPS ไทยปี 2017 - เว็บข่าว-หน่วยงานรัฐ ยังไม่นิยม HTTPS

By neizod Contributor on Tag: Special Report, Security, Internet, Thailand, SSL, HTTPS
Special Report

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

Read more

เว็บไซต์หนัง 18+ Pornhub จะเข้ารหัส HTTPS ต้นเดือนหน้า

By twometre Writer on Tag: Pornhub, HTTPS, Cybersecurity
Pornhub

เว็บไซต์หนังผู้ใหญ่ระดับโลกอย่าง Pornhub ประกาศว่าตนและเว็บไซต์ลูกจะเปิดใช้การเข้ารหัส HTTPS ในวันที่ 4 เมษายนนี้ เพิ่มความปลอดภัยในการเสพสื่อบันเทิงของเราๆ

การเคลื่อนไหวนี้คาดว่าเกิดขึ้นหลังจากที่มีข่าวว่าสภาคองเกรสอนุญาตให้ผู้ให้บริการอินเทอร์เน็ตสามารถขายข้อมูลการเยี่ยมชมเว็บไซต์ได้ ตลอดจนมีการรณรงค์ให้เว็บไซต์ใช้การเข้ารหัสนี้มากขึ้น แม้จะไม่ได้ช่วยปิดบังให้ผู้ให้บริการอินเทอร์เน็ตรู้ว่าคุณดูเว็บนี้ แต่จะทำให้กระบวนการนี้ยากขึ้น

Pornhub มีผู้เข้าชม 75 ล้านคนต่อวัน นับเป็นเว็บไซต์ที่คนเข้าเยอะสุดอันดับ 38 ของโลกรองจาก Ebay จากการวัดของ Alexa

Read more

รั้งท้าย eBay กลายเป็นเว็บอีคอมเมิร์ชขนาดใหญ่ที่ยังไม่เข้ารหัสเป็นส่วนใหญ่

By lew Founder on Tag: eBay, E-commerce, HTTPS
eBay

15 เดือนหลัง Let's Encrypt เปิดให้บริการออกใบรับรองดิจิตอลฟรี ตอนนี้ปริมาณการเข้าเว็บผ่าน HTTPS ก็พุ่งสูงขึ้นอย่างรวดเร็ว แม้แต่เว็บข่าวก็กลายเป็นเว็บเข้ารหัสจำนวนมาก เว็บอีคอมเมิร์ชระดับโลก เช่น Aliexpress และ Amazon เข้ารหัสเกือบตลอดการใช้งานแล้ว โดยเพิ่งอัพเกรดกันในปีที่ผ่านมา แต่เว็บขนาดใหญ่อย่าง eBay กลับรั้งท้ายให้บริการเป็น HTTP อยู่

Read more

Chrome 56 ออกแล้ว ขึ้นป้าย Not Secure แจ้งเตือนผู้ใช้, รีโหลดเพจเร็วขึ้นบน Android

By mk Founder on Tag: Chrome, Browser, Android, HTTPS
Chrome

Chrome 56 เข้าสถานะเสถียร เวอร์ชันเดสก์ท็อปมีของใหม่ไม่เยอะนัก ได้แก่ รองรับไฟล์เสียงแบบ FLAC, ปิด Flash เป็นค่าดีฟอลต์ และ ขึ้นป้าย Not Secure สำหรับเว็บที่ส่งข้อมูลรหัสผ่านเป็น HTTP

ฟีเจอร์ใหม่ที่สำคัญอยู่บนเวอร์ชัน Android โดย Chrome ปรับปรุงพฤติกรรมของการรีโหลดหน้าเว็บใหม่ ส่งผลให้รีโหลดเร็วขึ้น 28%, ลดจำนวนรีเควสต์ไปยังเซิร์ฟเวอร์ลง 60%

Read more

ระบบออกใบรับรอง GoDaddy มีบั๊กการตรวจสอบเจ้าของโดเมน ต้องยกเลิกใบรับรอง 8,550 ใบ

By lew Founder on Tag: GoDaddy, HTTPS, SSL
GoDaddy

GoDaddy แจ้งว่าการอัพเกรดซอฟต์แวร์เพื่อตรวจสอบโดเมนเมื่อปีที่แล้วมีช่องโหว่ ทำให้กระบวนการออกใบรับรองไม่เป็นไปตามมาตรฐานของ CA/Browser Forum และทางบริษัทจะยกเลิกใบรับรอง 8,850 ใบ กระทบลูกค้ารวม 6,100 ราย

Read more

Chrome 56 Beta เริ่มขึ้นป้ายเตือน Not Secure สำหรับเว็บที่ยังเชื่อมต่อผ่าน HTTP

By mk Founder on Tag: Chrome, Browser, HTTPS
Chrome

กูเกิลออก Chrome 56 Beta ของใหม่ที่สำคัญคือเริ่มแสดงป้ายเตือน Not Secure สำหรับเว็บที่ยังเป็น HTTP ตามที่เคยประกาศไว้ ซึ่งน่าจะช่วยกระตุ้นให้เว็บไซต์ต่างๆ เปลี่ยนมาใช้ HTTPS กันมากขึ้น

ฟีเจอร์อย่างอื่นคือเว็บไซต์สามารถสื่อสารกับอุปกรณ์ Bluetooth LE ได้ผ่าน Bluetooth API ช่วยให้เว็บแอพมีลักษณะเหมือนแอพแบบเนทีฟมากขึ้น ส่วนฟีเจอร์ฝั่งของนักพัฒนาเว็บคือรองรับ CSS position:sticky กำหนดให้วัตถุบนหน้าเว็บสามารถแปะค้าง (sticky) อยู่บนจอ แม้จะเลื่อนไปยังหน้าจออื่นแล้ว

ที่มา - Chromium Blog

Read more

Microsoft Edge จะเตือนเว็บที่ใช้ใบรับรอง SHA-1 ว่าไม่ปลอดภัย หลัง 14 ก.พ. 2017

By Lamicrosz Contributor on Tag: Microsoft Edge, Internet Explorer, SSL, Security, HTTPS
Microsoft Edge

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

Read more

Google เผยเว็บไซต์ที่ใช้งานผ่าน Google Chrome บนเดสก์ท็อปเป็น HTTPS เกินครึ่งแล้ว

By nutmos Writer on Tag: Chrome, Google, HTTPS
Chrome

Google ได้รายงานว่า ตอนนี้เว็บไซต์ที่โหลดผ่าน Google Chrome บนเดสก์ท็อปนั้น เกินครึ่งเป็น HTTPS ทั้งหมดแล้ว และเมื่อคิดเป็นเวลาที่ผู้ใช้ใช้งานเว็บ HTTPS เหล่านั้น ก็คิดเป็นจำนวนกว่า 2 ใน 3 ของเวลาทั้งหมดที่ผู้ใช้ได้ใช้งานเว็บทั้งหมด

นอกจากนี้ Google ยังบอกว่าทราฟฟิกของโฆษณาใน Google นั้นได้ส่งผ่าน HTTPS เพิ่มขึ้นมากในช่วง 3 ปีที่ผ่านมา ไม่ว่าจะเป็น AdWords, AdSense หรือ DoubleClick Ad Exchange ส่วนโฆษณาที่ขายโดยตรงอย่าง DoubleClick for Publishers ยังคงต้องการออกแบบให้เป็นมิตรกับ HTTPS มากขึ้น

Read more

มาตามนัด Chrome Canary เริ่มเปิดการแจ้งเตือนเว็บไม่ปลอดภัยกับเว็บที่ไม่ใช้ HTTPS

By lew Founder on Tag: Chrome, HTTPS, Security
Chrome

กูเกิลประกาศจะเริ่มแจ้งเดือนเว็บที่ไม่ใช้ HTTPS และขอรหัสผ่านหรือข้อมูลสำคัญ เช่นบัตรเครดิตจากผู้ใช้ตั้งแต่ต้นเดือนกันยายน ตอนนี้ประกาศเริ่มเห็นผลจริงจังเมื่อ Chrome Canary 56.0.2896.0 เปิดฟีเจอร์นี้แล้ว

การแจ้งเตือนช่วงแรกเป็นการแจ้งเตือนสีเทา พร้อมคำอธิบายผู้ใช้ว่าไม่ควรใส่ข้อมูลสำคัญใดๆ ลงในเว็บเหล่านี้

หากไม่มีความผิดพลาดอะไร Chrome 56 ก็จะเข้าสู่เบต้าและออกเป็นตัวจริงในเดือนมกราคมนี้

ที่มา - Severtastic

Read more

กูเกิลเปิด HSTS กับเว็บหลัก www.google.com แล้ว

By lew Founder on Tag: Google, HSTS, Security, HTTPS
Google

HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว

Read more

Chrome เตรียมแจ้ง HTTPS ถูกดักฟังจาก CA องค์กรไว้ใน Developer Tools

By lew Founder on Tag: Chrome, Google, Security, HTTPS
Chrome

การใช้งานเว็บเข้ารหัสเริ่มมีมากขึ้นเรื่อย แต่นโยบายองค์กรจำนวนมากก็ต้องบันทึกข้อมูลเข้าออกทุกอย่างเอาไว้ ทำให้ต้องติดตั้ง CA ขององค์กรเพื่อดักฟัง รวมถึงซอฟต์แวร์ป้องกันไวรัสจำนวนหนึ่งก็อาจจะติดตั้งพรอกซี่ไว้ในเครื่องเพื่อตรวจไวรัสก่อนที่จะให้ผู้ใช้เปิดเว็บ แต่แนวทางเช่นนี้เป็นดาบสองคมคือกรณีมัลแวร์ดักฟังข้อมูลไป ผู้ใช้ก็ไม่รู้ตัวว่ากำลังมีคนมาดักคั่นกลางการเชื่อมต่ออยู่ ตอนนี้แพตช์ชุดใหม่ของ Chrome เสนอแนวทางแจ้งเตือนผู้ใช้เมื่อเปิด Developer Tools ขึ้นมาใช้งาน

Read more

StartEncrypt มีช่องโหว่ ออกใบรับรองของเว็บสำคัญๆ ได้

By lew Founder on Tag: StartEncrypt, HTTPS, Security
StartEncrypt

บริการ StartEncrypt จาก StartCom เพิ่งเปิดบริการมาเพียงครึ่งเดือน Thijs Alkemade นักวิจัยจาก Computest ก็พบช่องโหว่สำคัญ ทำให้แฮกเกอร์สามารถหลอกให้ StartEncrypt ออกใบรับรองสำหรับโดเมนต่างๆ โดยที่ผู้ขอไม่ได้เป็นเจ้าของโดเมนได้

Read more

Let's Encrypt ตั้งเป้าหมาย ปีนี้คนจะเข้าเว็บเป็น HTTPS เกิน 50%

By lew Founder on Tag: Let's Encrypt, HTTPS, Security, Internet
Let's Encrypt

โครงการออกใบรับรองฟรี Let's Encrypt เพิ่งเปิดบริการมาเพียงครึ่งปี ตอนนี้ก็มีรายงานความคืบหน้าออกมาหลายรอบ ล่าสุดโครงการออกใบรับรองไปแล้วกว่า 5 ล้านใบ ตอนนี้ยังคงใช้งานได้อยู่ (ยังไม่หมดอายุหรือยกเลิกไปก่อน) จำนวน 3.8 ล้านใบ รวมครอบคลุมกว่า 7 ล้านโดเมน

Read more

StartCom เปิดบริการ StartEncrypt ใบรับรองฟรีแบบขออัตโนมัติอายุ 38 เดือน

By lew Founder on Tag: StartCom, HTTPS, SSL, TLS, Security
StartCom

ยุคก่อนที่จะมี Let's Encrypt ที่ให้บริการใบรับรองเข้ารหัสฟรี StartCom เคยให้บริการใบรับรองฟรีมาก่อนแล้วในชื่อ StartSSL แม้จะมีกระบวนการค่อนข้างยุ่งยากสักหน่อยก็ตาม ตอนนี้ทาง StartCom ก็มาเปิดบริการแข่งกับ Let's Encrypt ในชื่อ StartEncrypt

Read more

Engadget ปรับเว็บเป็น HTTPS แล้ว, ยอมรับว่าไม่ควรใช้เวลานานขนาดนี้

By lew Founder on Tag: Engadget, HTTPS, Security
Engadget

เว็บไอทีชื่อดังในต่างประเทศอย่าง Engadget ประกาศปรับเว็บมาเป็น HTTPS เต็มรูปแบบแล้วพร้อมกับขึ้นต้นประกาศยอมรับว่าไม่น่าจะปล่อยให้ผู้ใช้ไม่มีทางเลือกเข้าเว็บที่ปลอดภัยไว้นานขนาดนี้

Engadget ระบุว่าการเปิด HTTPS กลายเป็นเรื่องพื้นฐานของความปลอดภัยอินเทอร์เน็ต

Read more
Subscribe to HTTPS