Tags:
Node Thumbnail

Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (intermediate CA) จาก Symantec

ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025

Blue Coat ระบุว่าใบรับรองนี้ออกมาเพื่อการทดสอบภายในเท่านั้น และกระบวนการออกใบรับรองครั้งนี้ทาง Symantec ก็เป็นผู้ถือกุญแจลับของใบรับรองโดยไม่เคยส่งมอบกุญแจลับให้กับ Blue Coat แต่อย่างใด

Tags:
Node Thumbnail

ปีที่แล้ว Blogger รองรับการเชื่อมต่อผ่าน HTTPS แต่ยังต้องให้เจ้าของบล็อกเปิดใช้กันเองก่อน มาวันนี้กูเกิลประกาศเพิ่ม HTTPS ให้กับบล็อกทุกรายที่โฮสต์อยู่บนโดเมน blogspot.com ของกูเกิลเองแล้ว

การเปิดใช้ HTTPS ครั้งนี้จะทำให้บล็อกบน Blogspot มีสองเวอร์ชันคือ http:// และ https:// ซึ่งในทางปฏิบัติแล้วมองว่าเป็นคนละเว็บกัน อย่างไรก็ตาม กูเกิลยังเปิดให้เจ้าของบล็อกสามารถสั่ง redirect หน้าเพจที่เป็น http:// ให้เป็น https:// ทั้งหมดได้ด้วย (อาจมีปัญหาตรงเนื้อหาบางอย่าง เช่น ภาพหรือวิดีโอ ที่ฝังเป็น http อาจไม่แสดงผลบน https)

Tags:
Node Thumbnail

WordPress.com บริการฝั่งโฮสต์บล็อกประกาศเปิดให้บริการ HTTPS ฟรีกับทุกเว็บแม้จะเป็นเว็บที่โดเมนภายนอกก็ตามโดยอาศัยใบรับรองจาก Let's Encrypt

กระบวนการอัพเกรดจะอัตโนมัติทุกอย่าง ผู้ใช้ไม่ต้องทำอะไรเพิ่ม

WordPress ระบุว่าการอัพเกรดไปยัง HTTPS ไม่ใช่แค่เรื่องของความปลอดภัย แต่ทำให้อันดับค้นหาในกูเกิลดีขึ้น

ทาง WordPress ทดสอบการอัพเกรดมาตั้งแต่เดือนมกราคมที่ผ่านมา และเพิ่งประกาศอัพเกรดให้กับลูกค้าทั้งหมดในวันนี้ สำหรับผู้ใช้ทั่วไปที่ใช้ซับโดเมนของ WordPress.com เองนั้นรองรับ HTTPS มาตั้งแต่ 2014

ตอนนี้ WordPress.com มีลูกค้าที่ใช้โดเมนของตัวเองกว่าล้านราย กระบวนการอัพเกรดครั้งนี้น่าจะทำให้เว็บเข้ารหัสเพิ่มขึ้นอย่างมีนัยสำคัญ

Tags:
Node Thumbnail

HTTP Public Key Pinning (HPKP) เป็นมาตรฐานการรักษาความปลอดภัยอีกขั้นของการทำ HTTPS โดยมันจะประกาศให้เว็บเบราว์เซอร์ล็อกกุญแจเอาไว้ไม่ให้รับกุญแจอื่นแม้จะได้รับการรับรองถูกต้อง แต่ล่าสุด Netcraft ออกมารายงานว่าแม้เว็บที่ทำ HPKP จะมีไม่มากนักแต่ในจำนวนนั้นกลับอิมพลีเมนต์ผิดกันเป็นจำนวนมากทำให้การล็อกกุญแจไม่มีผล

ประเด็นสำคัญของ HPKP คือ การล็อกกุญแจจะต้องล็อกทีละสองกุญแจขึ้นไปเท่านั้น โดยอย่างน้อยมีกุญแจหนึ่งเป็นกุญแจสำรอง เว็บจำนวนมากประกาศล็อกกุญแจไว้เพียงกุญแจเดียวทำให้เบราว์เซอร์ไม่ยอมล็อกกุญแจ เงื่อนไขนี้ประกาศเอาไว้เพื่อป้องกันไม่ให้เว็บถูกล็อกในกรณีที่กุญแจรั่วไหลและผู้ดูแลเว็บต้องสร้างใบรับรองใหม่ กรณีเช่นนี้ผู้ดูแลเว็บยังสามารถใช้กุญแจสำรองมาสร้างใบรับรองได้

Tags:
Node Thumbnail

กูเกิลประกาศเพิ่มหมวดรายงานความโปร่งใส จากเดิมรายงานเน้นการขอข้อมูลผู้ใช้ และการขอลบข้อมูลออกจากระบบ ตอนนี้เพิ่มรายงานการเชื่อมต่อผ่าน HTTPS ของบริการต่างๆ

ข้อมูลของกูเกิลแสดงให้เห็นว่าโดยรวมแล้วตอนนี้จำนวนการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์กูเกิล 75% เป็นการเชื่อมต่อแบบ HTTPS แล้วและแนวโน้มกำลังเพิ่มขึ้นเรื่อยๆ และข้อมูลแยกตามบริการแสดงให้เห็นว่าบริการโฆษณานั้นเพิ่มขึ้นเร็วที่สุด โดยตอนนี้เกิน 75% แล้วจากต้นปี 2014 ที่เชื่อมต่อผ่าน HTTPS เพียง 9% เท่านั้น

ที่มา - Google Security Blog, Google Transparency Report

Tags:
Node Thumbnail

Let's Encrypt ในช่วงเริ่มโครงการนั้นพัฒนาตัวไคลเอนต์สำหรับการขอใบรับรองผ่านโปรโตคอล ACME ด้วยตัวเอง แต่ตอนนี้ทางโครงการก็ระบุว่าจะแยกตัวไคลเอนต์ออกไปแล้ว โดยให้ EFF เป็นผู้ดูแลเต็มที่และทาง Let's Encrypt จะโฟกัสกับการดูแล CA อย่างเดียว

ทาง EFF เป็นผู้พัฒนาซอฟต์แวร์ไคลเอนต์มาตั้งแต่ต้น กระบวนการถ่ายโอนงานจึงไม่น่าจะมีปัญหานัก การแยกงานออกจากกันจะช่วยลดความสับสนในเรื่องของแบรนด์ ให้ Let's Encrypt เป็น CA ฟรีที่รองรับโปรโตคอล ACME ขณะที่ซอฟต์แวร์ไคลเอนต์ก็สามารถใช้งานกับ CA ใดๆ ที่รองรับโปรโตคอลนี้ได้

Tags:
Node Thumbnail

หน่วยงานออกใบรับรองฟรี Let's Encrypt เปิดบริการมาเพียงสามเดือนกว่าๆ ตอนนี้ EFF หนึ่งในหน่วยงานร่วมก่อตั้งก็ออกมาประกาศว่าใบรับรองฟรีถูกออกใบแล้วครบ 1 ล้านใบ

จำนวนใบรับรองที่ออกใหม่เพิ่มขึ้นด้วยอันตราเร่ง จากช่วงแรกที่ใช้เวลา 20 กว่าวันจึงออกใบรับรองได้สองแสนใบ โดยผู้ใช้ส่วนมากมักใส่ข้อมูลติดต่อไว้ในการร้องขอใบรับรองด้วย

จากโดเมน 2.5 ล้านโดเมนที่ขอใบรับรองใหม่ ทาง EFF ระบุว่า 90% เป็นโดเมนที่ไม่เคยมีใบรับรองอย่างถูกต้องมาก่อน

ที่มา - EFF

Tags:
Node Thumbnail

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

รูปแบบการรองรับ HTTPS

การรองรับ HTTPS มีได้หลายแบบ หลายเว็บเลือกที่จะรองรับทั้ง HTTP และ HTTPS ไปพร้อมกัน ซึ่งอาจเกิดจากข้อจำกัดบางประการของแอปพลิเคชันภายใน บางเว็บอาจจะเปิดให้บริการไว้โดยที่รองรับเพียงบางหน้า เช่น หน้าจ่ายเงิน บางเว็บอาจจะยอมรับการโหลดภาพจากเว็บ HTTP ธรรมดา เบื้องต้นเราทำความเข้าใจกับความแตกต่างของการรองรับแต่ละแบบกันก่อน

Tags:
Node Thumbnail

เดิมทีเราคุ้นเคยกับการที่ Chrome แสดงรูปกุญแจสีเขียวเพื่อบอกว่าเป็นการเชื่อมต่อแบบ HTTPS ส่วนการเชื่อมต่อแบบ HTTP ปกติจะแสดงรูปกระดาษเปล่าสีขาว (ถ้าเป็น Firefox เป็นรูปลูกโลก) แต่แผนใหม่ของ Chrome จะไปไกลกว่านั้นคือแสดงกากบาทสีแดงให้ผู้ใช้มองเห็นเด่นชัดไปเลย

กูเกิลเคยนำเสนอไอเดียนี้ไปแล้วครั้งหนึ่ง และล่าสุดทีมงานด้านความปลอดภัยของกูเกิลไปพูดที่งาน Usenix Enigma ยืนยันว่าจะเดินหน้าตามแผนงานนี้ แต่ยังไม่บอกว่าจะใช้งานจริงเมื่อไร

ทิศทางของกูเกิลชัดเจนว่าต้องการผลักดัน HTTPS แทน HTTP โดยมีมาตรการกระตุ้นหลายอย่าง รวมถึงมีผลต่อ Google Search ด้วย

Tags:
Node Thumbnail

งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

งานวิจัยชื่อ The Internet of Unpatched Things ของนักศึกษาจากมหาวิทยาลัยพรินซ์ตัน เลือกอุปกรณ์ IoT มาจำนวนหนึ่ง (ในกลุ่มนี้มี Nest, SmartThing, Belkin WeMo) มาเชื่อมต่อกันผ่าน Wi-Fi และคลื่น Z-Wave แล้วพบว่าอุปกรณ์หลายชิ้นยังขาดระบบรักษาความปลอดภัยอยู่มาก เช่น ส่งข้อมูลผ่าน HTTP โดยไม่เข้ารหัสใดๆ, กล้องวงจรปิดเชื่อมต่อแบบ FTP ไม่เข้ารหัสที่พอร์ต 21 แม้กระทั่งอุปกรณ์ชื่อดังอย่าง Nest เอง ถึงแม้การส่งข้อมูลทั้งหมดต้องผ่าน HTTPS แต่ข้อมูลสภาพอากาศกลับอัพเดตผ่าน HTTP แทน (Nest แก้ปัญหานี้แล้ว)

Tags:
Node Thumbnail

Let's Encrypt บริการออกใบรับรองยืนยันตัวตนของเซิร์ฟเวอร์ฟรีเปิดตัวตั้งแต่ปลายปีที่แล้ว ทำให้ผู้ให้บริการเว็บไซต์ต่างๆ สามารถเปิดให้บริการ HTTPS ได้ฟรีโดยลูกค้าไม่ต้องเสียค่าใบรับรองเพิ่มอีก ตอนนี้บริการโฮสติ้งรายใหญ่อย่าง DreamHost ก็ประกาศรองรับ Let's Encrypt แล้ว

ทาง DreamHost ออกมาประกาศตั้งแต่แรกๆ ว่าสนับสนุน Let's Encrypt แต่เพิ่งอิมพลีเมนต์ระบบสำเร็จโดยลูกค้าเพียงแค่กดเลือกเปิดในหน้าจอคอนฟิกเพียงครั้งเดียวก็จะใช้ HTTPS ได้ทันที ส่วนลูกค้าที่ต้องการใช้ใบรับรองแบบเสียเงินก็ยังเลือกใช้ได้ตามปกติ

DreamHost มีผู้ใช้กว่าสี่แสนราย การที่บริการโฮสติ้งขนาดใหญ่เช่นนี้เปิดรองรับ Let's Encrypt ก็น่าจะช่วยให้เว็บรองรับ HTTPS เพิ่มขึ้นอย่างรวดเร็ว

Tags:
Node Thumbnail

หน่วยงานออกใบรับรองแห่งรัฐบาลคาซัคสถาน (Root Certification Authority of the Republic of Kazakhstan - root.gov.kz) ยื่นความจำนงขอให้มอซิลล่ารวมเอา root CA ของรัฐบาลเข้าไว้ในฐานข้อมูลเพื่อให้ใบรับรองที่ออกโดยรัฐบาลได้รับความเชื่อถือ

Tags:
Node Thumbnail

ปี 2015 เป็นปีสำคัญของความปลอดภัยเว็บ โดยเฉพาะโครงการ Let's Encrypt ที่เปิดให้เว็บทุกเว็บในโลกสามารถเข้ารหัส TLS ได้ฟรีโดยไม่ต้องมีค่าใช้จ่ายเพิ่มเติม เป็นจุดเริ่มต้นว่าในอนาคตเราอาจจะถือว่าเว็บทุกเว็บต้องเป็น HTTPS เสมอ

แม้ว่าตัวซอฟต์แวร์ของ Let's Encrypt ยังไม่สมบูรณ์นักแต่ระบบโฮสติ้งหลายรายก็เริ่มรองรับกันบ้างแล้ว ผมเลยเสนอสิทธิ์ให้กับบริการโฮสต์ที่รองรับ Let's Encrypt ให้มาประกาศตัวกันในโพสนี้

เงื่อนไขมีดังนี้

Tags:
Node Thumbnail

Let's Encrypt โครงการออกใบรับรอง TLS/SSL ฟรีเปิดบริการตั้งแต่ต้นเดือนที่ผ่านมา ผ่านไปเพียงไม่ถึงเดือนทางโครงการก็ระบุว่าตอนนี้ออกใบรับรองไปแล้วถึงสองแสนใบ

ใบรับรองใบที่สองแสนของ Let's Encrypt คือเว็บ redey.net หมายเลขซีเรียลใบรับรอง 01:ba:0c:0e:4e:11:2b:53:26:30:bc:20:94:d8:15:2d:c9:b7

ใบรับรองทั้งสองแสนใบไม่ได้ออกในช่วงเดือนที่ผ่านมาทั้งหมด เพราะช่วงทดสอบวงปิดมีการออกใบรับรองไปแล้ว 26,000 ใบ

ที่มา - @letsencrypt_ops

Tags:
Node Thumbnail

ฟีเจอร์ Security Panel จะเป็นฟีเจอร์ใหม่ที่กำลังจะถูกเพิ่มใน Chrome รุ่น 48 ซึ่งจะช่วยในการแสดงรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS และปัญหาที่อาจส่งผลต่อความน่าเชื่อถือของเว็บไซต์ให้สามารถเข้าใจได้ง่ายมากขึ้น

ในการตรวจสอบรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS นั้น มีปัญหาในเรื่องของความไม่ชัดเจนในบางกรณี เช่น การเรียกวัตถุทรัพยากรใดๆ ผ่านโปรโตคอล HTTP ซึ่งไม่ได้มีการระบุอย่างชัดเจนถึงวัตถุหรือทรัพยากรนั้นว่าคืออะไร หรือในเรื่องของการให้ข้อมูลซึ่งยากต่อการทำความเข้าใจต่อผู้ใช้งานทั่วไป

Tags:
Node Thumbnail

กูเกิลประกาศปรับวิธีการทำดัชนีการค้นหา โดยจะพยายามมองหา URL ที่เป็น HTTPS แทน HTTP ก่อนเสมอ และถ้าพบว่า URL นั้นมีเนื้อหาเหมือนกัน (ต่างกันแค่ S) ก็จะแสดงผลการค้นหาที่เป็น HTTPS เป็นค่าดีฟอลต์

มีบางกรณียกเว้นที่กูเกิลจะไม่แสดงลิงก์ HTTPS ของ URL นั้น เช่น ถูกบล็อคโดยไฟล์ robots.txt ของเว็บไซต์ หรือมี noindex อยู่ใน meta tag

กูเกิลแนะนำให้เจ้าของเว็บไซต์ควรรองรับ HTTPS กันได้แล้ว และควร redirect เว็บเพจที่เป็น HTTP ให้กลายเป็น HTTPS รวมถึงใส่ header HSTS ไว้ที่เว็บเซิร์ฟเวอร์ด้วย

Tags:
Node Thumbnail

Let's Encrypt (LE) เป็นระบบหน่วยงานออกใบรับรอง (Certification Authority หรือ CA) ที่สามารถใช้งานได้ฟรีและใช้ระบบอัตโนมัติในการจัดการใบรับรองความปลอดภัยสำหรับเว็บไซต์เข้ารหัส โดยเราจะใช้งานผ่าน client ที่มีให้ มีจุดมุ่งหมายเพื่อสาธารณประโยชน์ ระบบของ LE ให้บริการโดย Internet Security Research Group (ISRG)

ข้อมูลเกี่ยวกับใบรับรอง

ใบรับรองที่ออกโดย LE จะมีอายุเพียงแค่ 90 วันเท่านั้น ซึ่งดูเป็นช่วงเวลาที่สั้นสำหรับผู้ดูแลระบบหลายๆคนที่ใช้งานใบรับรองที่มีอายุ1ปี ซึ่งทาง LE ให้เหตุผลในการออกใบรับรองที่มีอายุเพียงแค่ 90 วันไว้ดังนี้

Tags:
Node Thumbnail

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

Tags:
Node Thumbnail

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

Tags:
Node Thumbnail

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

Tags:
Node Thumbnail

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

ผมเองลองเข้าเว็บอเมซอนวันนี้ก็สังเกตว่าแทบทุกหน้าสามารถใช้งานผ่าน HTTPS ได้ทั้งหมดแล้ว จากเดิมที่หน้าส่วนใหญ่ไม่รองรับและหากพยายามเข้าผ่าน HTTPS ก็จะถูก redirect มายังหน้า HTTP แม้จะยังสามารถเข้าผ่าน HTTP ได้ด้วยก็ตาม สำหรับผู้ใช้ที่กังวลว่าจะมีข้อมูลรั่วไหลก็สามารถใช้ปลั๊กอิน SSL Enforcer มาบังคับให้เบราว์เซอร์ใช้ HTTPS ตลอดเวลาได้

Tags:
Node Thumbnail

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

ไมโครซอฟท์มีกำหนดการหยุดรองรับใบรับรองที่ใช้ SHA-1 ในการรับรองในวันที่ 1 มกราคม 2017 แต่งานวิจัยใหม่ๆ ก็แสดงความน่ากลัวของการใช้ SHA-1 มากขึ้นเรื่อยๆ เมื่อเดือนที่แล้วมอซิลล่าประกาศว่าอาจจะร่นระยะเวลายกเลิก SHA-1 ขึ้นมาเป็นวันที่ 1 กรกฎาคม ตอนนี้ทางไมโครซอฟท์ก็ออกมาประกาศแนวทางเดียวกันแล้ว

ทางไมโครซอฟท์ระบุว่าจะประเมินความจำเป็นร่วมกับเบราว์เซอร์อื่นๆ ต่อไป ระหว่างนี้ผู้ดูแลระบบทั้งหลายก็ควรเร่งอัพเดตใบรับรองของตัวเองกันโดยเร็ว

การกดดันจากผู้ผลิตเบราว์เซอร์รายใหญ่อย่างต่อเนื่องทำให้การอัพเดตใบรับรองเป็นไปอย่างรวดเร็ว ในช่วงเวลาไม่ถึงสองปี ใบรับรองที่เคยใช้ SHA-1 กว่า 70% ถูกอัพเดตเป็น SHA-2 แล้ว

Tags:

มาตรฐาน HTTP Strict Transport Security (HSTS) ใช้เพื่อป้องกันไม่ให้เว็บเบราว์เซอร์เข้าเว็บผ่าน HTTP ในกรณีที่ผู้ใช้ไม่ได้ระบุ URL เป็น HTTPS โดยตรง เว็บเซิร์ฟเวอร์จะแจ้งเบราว์เซอร์ให้จำโดเมนว่าจำเป็นต้องเข้าผ่าน HTTPS เท่านั้น และเบราว์เซอร์จะไม่เข้าเว็บผ่าน HTTP อีกเลยตลอดช่วงเวลาที่กำหนด

Yan Zhu (@bcrypt) นำเสนอแนวทางการตรวจสอบประวัติการเข้าเว็บด้วยการจับเวลาการเข้าเว็บ ประกอบเข้ากับนโยบาย Content Security Policy (CSP) ที่สามารถกำหนดให้โหลดภาพผ่าน HTTP (ไม่เข้ารหัส) เท่านั้น ซึ่งเป็นนโยบายที่ไม่ค่อยมีใครทำกันแต่ก็สามารถใช้งานได้

Tags:
Node Thumbnail

Adam Langley นักวิจัยด้านความปลอดภัยของกูเกิล (เป็นคนเสนอให้ CA ต้องเปิดเผยการออกใบรับรองตั้งแต่ปี 2011) ออกมาอธิบายแนวคิดการพัฒนาของ BoringSSL ไลบรารีเข้ารหัสที่กูเกิลแยกโครงการออกมาจาก OpenSSL ว่าแม้จะมี API คล้ายกับ OpenSSL แต่มีความแตกต่างกันลงลึกถึงระดับล่างจำนวนมาก

Pages