แนะนำ HTTP Public Key Pinning (HPKP) เพื่อป้องกันปัญหา Certification Authority ออก TLS Certificate ซ้ำซ้อน

By Ford AntiTrust Contributor on Tag: Security, Web Security, HTTPS, HTTP, TLS, In-Depth
Security

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA)

โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองอิเล็กทรอนิกส์ของผู้ออกใบรับรองอิเล็กทรอนิกส์สำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities)

Read more

Blue Coat ผู้ผลิตอุปกรณ์ดักฟังอินเทอร์เน็ตได้รับ Intermediate CA จาก Symantec

By lew Founder on Tag: Blue Coat, Security, HTTPS
Blue Coat

Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (intermediate CA) จาก Symantec

ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025

Read more

ทุกบล็อกบน Blogger/Blogspot เปิดใช้งาน HTTPS แล้ว

By mk Founder on Tag: Blogger, Google, HTTPS
Blogger

ปีที่แล้ว Blogger รองรับการเชื่อมต่อผ่าน HTTPS แต่ยังต้องให้เจ้าของบล็อกเปิดใช้กันเองก่อน มาวันนี้กูเกิลประกาศเพิ่ม HTTPS ให้กับบล็อกทุกรายที่โฮสต์อยู่บนโดเมน blogspot.com ของกูเกิลเองแล้ว

การเปิดใช้ HTTPS ครั้งนี้จะทำให้บล็อกบน Blogspot มีสองเวอร์ชันคือ http:// และ https:// ซึ่งในทางปฏิบัติแล้วมองว่าเป็นคนละเว็บกัน อย่างไรก็ตาม กูเกิลยังเปิดให้เจ้าของบล็อกสามารถสั่ง redirect หน้าเพจที่เป็น http:// ให้เป็น https:// ทั้งหมดได้ด้วย (อาจมีปัญหาตรงเนื้อหาบางอย่าง เช่น ภาพหรือวิดีโอ ที่ฝังเป็น http อาจไม่แสดงผลบน https)

Read more

WordPress ประกาศเปิด HTTPS ให้กับทุกโดเมนด้วย Let's Encrypt

By lew Founder on Tag: WordPress, Automattic, HTTPS, Let's Encrypt
WordPress

WordPress.com บริการฝั่งโฮสต์บล็อกประกาศเปิดให้บริการ HTTPS ฟรีกับทุกเว็บแม้จะเป็นเว็บที่โดเมนภายนอกก็ตามโดยอาศัยใบรับรองจาก Let's Encrypt

กระบวนการอัพเกรดจะอัตโนมัติทุกอย่าง ผู้ใช้ไม่ต้องทำอะไรเพิ่ม

WordPress ระบุว่าการอัพเกรดไปยัง HTTPS ไม่ใช่แค่เรื่องของความปลอดภัย แต่ทำให้อันดับค้นหาในกูเกิลดีขึ้น

ทาง WordPress ทดสอบการอัพเกรดมาตั้งแต่เดือนมกราคมที่ผ่านมา และเพิ่งประกาศอัพเกรดให้กับลูกค้าทั้งหมดในวันนี้ สำหรับผู้ใช้ทั่วไปที่ใช้ซับโดเมนของ WordPress.com เองนั้นรองรับ HTTPS มาตั้งแต่ 2014

Read more

Netcraft เตือนเว็บที่ทำ Key Pinning จำนวนมากอิมพลีเมนต์ผิดพลาด

By lew Founder on Tag: HTTPS, Internet, Security
HTTPS

HTTP Public Key Pinning (HPKP) เป็นมาตรฐานการรักษาความปลอดภัยอีกขั้นของการทำ HTTPS โดยมันจะประกาศให้เว็บเบราว์เซอร์ล็อกกุญแจเอาไว้ไม่ให้รับกุญแจอื่นแม้จะได้รับการรับรองถูกต้อง แต่ล่าสุด Netcraft ออกมารายงานว่าแม้เว็บที่ทำ HPKP จะมีไม่มากนักแต่ในจำนวนนั้นกลับอิมพลีเมนต์ผิดกันเป็นจำนวนมากทำให้การล็อกกุญแจไม่มีผล

Read more

กูเกิลเปิดรายงานความโปร่งใส, รายงานว่าส่งข้อมูลด้วย HTTPS กี่เปอร์เซ็นต์

By lew Founder on Tag: Google, HTTPS, Security
Google

กูเกิลประกาศเพิ่มหมวดรายงานความโปร่งใส จากเดิมรายงานเน้นการขอข้อมูลผู้ใช้ และการขอลบข้อมูลออกจากระบบ ตอนนี้เพิ่มรายงานการเชื่อมต่อผ่าน HTTPS ของบริการต่างๆ

ข้อมูลของกูเกิลแสดงให้เห็นว่าโดยรวมแล้วตอนนี้จำนวนการเชื่อมต่อเข้ามายังเซิร์ฟเวอร์กูเกิล 75% เป็นการเชื่อมต่อแบบ HTTPS แล้วและแนวโน้มกำลังเพิ่มขึ้นเรื่อยๆ และข้อมูลแยกตามบริการแสดงให้เห็นว่าบริการโฆษณานั้นเพิ่มขึ้นเร็วที่สุด โดยตอนนี้เกิน 75% แล้วจากต้นปี 2014 ที่เชื่อมต่อผ่าน HTTPS เพียง 9% เท่านั้น

Read more

Let's Encrypt แยกโครงการไคลเอนต์ ให้ EFF ดูแลแทน

By lew Founder on Tag: Let's Encrypt, HTTPS, EFF
Let's Encrypt

Let's Encrypt ในช่วงเริ่มโครงการนั้นพัฒนาตัวไคลเอนต์สำหรับการขอใบรับรองผ่านโปรโตคอล ACME ด้วยตัวเอง แต่ตอนนี้ทางโครงการก็ระบุว่าจะแยกตัวไคลเอนต์ออกไปแล้ว โดยให้ EFF เป็นผู้ดูแลเต็มที่และทาง Let's Encrypt จะโฟกัสกับการดูแล CA อย่างเดียว

ทาง EFF เป็นผู้พัฒนาซอฟต์แวร์ไคลเอนต์มาตั้งแต่ต้น กระบวนการถ่ายโอนงานจึงไม่น่าจะมีปัญหานัก การแยกงานออกจากกันจะช่วยลดความสับสนในเรื่องของแบรนด์ ให้ Let's Encrypt เป็น CA ฟรีที่รองรับโปรโตคอล ACME ขณะที่ซอฟต์แวร์ไคลเอนต์ก็สามารถใช้งานกับ CA ใดๆ ที่รองรับโปรโตคอลนี้ได้

Read more

Let's Encrypt ออกใบรับรองครบ 1 ล้านใบแล้ว รวม 2.5 ล้านโดเมน

By lew Founder on Tag: Security, HTTPS, Let's Encrypt
Security

หน่วยงานออกใบรับรองฟรี Let's Encrypt เปิดบริการมาเพียงสามเดือนกว่าๆ ตอนนี้ EFF หนึ่งในหน่วยงานร่วมก่อตั้งก็ออกมาประกาศว่าใบรับรองฟรีถูกออกใบแล้วครบ 1 ล้านใบ

จำนวนใบรับรองที่ออกใหม่เพิ่มขึ้นด้วยอันตราเร่ง จากช่วงแรกที่ใช้เวลา 20 กว่าวันจึงออกใบรับรองได้สองแสนใบ โดยผู้ใช้ส่วนมากมักใส่ข้อมูลติดต่อไว้ในการร้องขอใบรับรองด้วย

จากโดเมน 2.5 ล้านโดเมนที่ขอใบรับรองใหม่ ทาง EFF ระบุว่า 90% เป็นโดเมนที่ไม่เคยมีใบรับรองอย่างถูกต้องมาก่อน

Read more

รายงานสำรวจการเปิดใช้งาน HTTPS ในไทยปี 2016

By neizod Contributor on Tag: Special Report, Security, Internet, Thailand, SSL, HTTPS
Special Report

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

Read more

Chrome จะแสดงไอคอนเตือนการเชื่อมต่อแบบ HTTP ว่า "ไม่ปลอดภัย"

By mk Founder on Tag: Google, Security, Browser, Chrome, HTTPS, HTTP
Google

เดิมทีเราคุ้นเคยกับการที่ Chrome แสดงรูปกุญแจสีเขียวเพื่อบอกว่าเป็นการเชื่อมต่อแบบ HTTPS ส่วนการเชื่อมต่อแบบ HTTP ปกติจะแสดงรูปกระดาษเปล่าสีขาว (ถ้าเป็น Firefox เป็นรูปลูกโลก) แต่แผนใหม่ของ Chrome จะไปไกลกว่านั้นคือแสดงกากบาทสีแดงให้ผู้ใช้มองเห็นเด่นชัดไปเลย

กูเกิลเคยนำเสนอไอเดียนี้ไปแล้วครั้งหนึ่ง และล่าสุดทีมงานด้านความปลอดภัยของกูเกิลไปพูดที่งาน Usenix Enigma ยืนยันว่าจะเดินหน้าตามแผนงานนี้ แต่ยังไม่บอกว่าจะใช้งานจริงเมื่อไร

Read more

ความปลอดภัยของอุปกรณ์ IoT ยังมีปัญหาอยู่มาก อุปกรณ์หลายตัวส่งข้อมูลผ่าน HTTP

By mk Founder on Tag: Security, Privacy, HTTPS, Internet of Things
Security

งานสัมมนา PrivacyCon ที่จัดโดยคณะกรรมการการค้าของสหรัฐ (FTC) หัวข้อที่ได้รับความสนใจอย่างมากในปีนี้คือประเด็นเรื่องความปลอดภัยของ Internet of Things

Read more

DreamHost บริการโฮสติ้งขนาดใหญ่ รองรับ Let's Encrypt แล้ว

By lew Founder on Tag: HTTPS, Let's Encrypt
HTTPS

Let's Encrypt บริการออกใบรับรองยืนยันตัวตนของเซิร์ฟเวอร์ฟรีเปิดตัวตั้งแต่ปลายปีที่แล้ว ทำให้ผู้ให้บริการเว็บไซต์ต่างๆ สามารถเปิดให้บริการ HTTPS ได้ฟรีโดยลูกค้าไม่ต้องเสียค่าใบรับรองเพิ่มอีก ตอนนี้บริการโฮสติ้งรายใหญ่อย่าง DreamHost ก็ประกาศรองรับ Let's Encrypt แล้ว

ทาง DreamHost ออกมาประกาศตั้งแต่แรกๆ ว่าสนับสนุน Let's Encrypt แต่เพิ่งอิมพลีเมนต์ระบบสำเร็จโดยลูกค้าเพียงแค่กดเลือกเปิดในหน้าจอคอนฟิกเพียงครั้งเดียวก็จะใช้ HTTPS ได้ทันที ส่วนลูกค้าที่ต้องการใช้ใบรับรองแบบเสียเงินก็ยังเลือกใช้ได้ตามปกติ

Read more

รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ

By lew Founder on Tag: Privacy, HTTPS, Digital Certificate, Mozilla
Privacy

หน่วยงานออกใบรับรองแห่งรัฐบาลคาซัคสถาน (Root Certification Authority of the Republic of Kazakhstan - root.gov.kz) ยื่นความจำนงขอให้มอซิลล่ารวมเอา root CA ของรัฐบาลเข้าไว้ในฐานข้อมูลเพื่อให้ใบรับรองที่ออกโดยรัฐบาลได้รับความเชื่อถือ

Read more

[Ask Blognone] ถามหาบริการโฮสติ้งที่รองรับ Let's Encrypt

By lew Founder on Tag: Ask Blognone, HTTPS, Let's Encrypt
Ask Blognone

ปี 2015 เป็นปีสำคัญของความปลอดภัยเว็บ โดยเฉพาะโครงการ Let's Encrypt ที่เปิดให้เว็บทุกเว็บในโลกสามารถเข้ารหัส TLS ได้ฟรีโดยไม่ต้องมีค่าใช้จ่ายเพิ่มเติม เป็นจุดเริ่มต้นว่าในอนาคตเราอาจจะถือว่าเว็บทุกเว็บต้องเป็น HTTPS เสมอ

แม้ว่าตัวซอฟต์แวร์ของ Let's Encrypt ยังไม่สมบูรณ์นักแต่ระบบโฮสติ้งหลายรายก็เริ่มรองรับกันบ้างแล้ว ผมเลยเสนอสิทธิ์ให้กับบริการโฮสต์ที่รองรับ Let's Encrypt ให้มาประกาศตัวกันในโพสนี้

เงื่อนไขมีดังนี้

Read more

Let's Encrypt ออกใบรับรองครบสองแสนใบแล้ว

By lew Founder on Tag: HTTPS, Digital Certificate, Let's Encrypt
HTTPS

Let's Encrypt โครงการออกใบรับรอง TLS/SSL ฟรีเปิดบริการตั้งแต่ต้นเดือนที่ผ่านมา ผ่านไปเพียงไม่ถึงเดือนทางโครงการก็ระบุว่าตอนนี้ออกใบรับรองไปแล้วถึงสองแสนใบ

ใบรับรองใบที่สองแสนของ Let's Encrypt คือเว็บ redey.net หมายเลขซีเรียลใบรับรอง 01:ba:0c:0e:4e:11:2b:53:26:30:bc:20:94:d8:15:2d:c9:b7

ใบรับรองทั้งสองแสนใบไม่ได้ออกในช่วงเดือนที่ผ่านมาทั้งหมด เพราะช่วงทดสอบวงปิดมีการออกใบรับรองไปแล้ว 26,000 ใบ

ที่มา - @letsencrypt_ops

Read more

Chrome รุ่น 48 จะเพิ่ม Security Panel แสดงรายละเอียดการเชื่อมต่อ HTTPS

By pe3z Writer on Tag: Security, Chrome, HTTPS
Security

ฟีเจอร์ Security Panel จะเป็นฟีเจอร์ใหม่ที่กำลังจะถูกเพิ่มใน Chrome รุ่น 48 ซึ่งจะช่วยในการแสดงรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS และปัญหาที่อาจส่งผลต่อความน่าเชื่อถือของเว็บไซต์ให้สามารถเข้าใจได้ง่ายมากขึ้น

ในการตรวจสอบรายละเอียดของการเชื่อมต่อบนโปรโตคอล HTTPS นั้น มีปัญหาในเรื่องของความไม่ชัดเจนในบางกรณี เช่น การเรียกวัตถุทรัพยากรใดๆ ผ่านโปรโตคอล HTTP ซึ่งไม่ได้มีการระบุอย่างชัดเจนถึงวัตถุหรือทรัพยากรนั้นว่าคืออะไร หรือในเรื่องของการให้ข้อมูลซึ่งยากต่อการทำความเข้าใจต่อผู้ใช้งานทั่วไป

Read more

Google Search เริ่มมองหา URL ที่เป็น HTTPS ก่อน HTTP แล้ว

By mk Founder on Tag: Security, Search Engine, HTTPS, Google Search
Security

กูเกิลประกาศปรับวิธีการทำดัชนีการค้นหา โดยจะพยายามมองหา URL ที่เป็น HTTPS แทน HTTP ก่อนเสมอ และถ้าพบว่า URL นั้นมีเนื้อหาเหมือนกัน (ต่างกันแค่ S) ก็จะแสดงผลการค้นหาที่เป็น HTTPS เป็นค่าดีฟอลต์

มีบางกรณียกเว้นที่กูเกิลจะไม่แสดงลิงก์ HTTPS ของ URL นั้น เช่น ถูกบล็อคโดยไฟล์ robots.txt ของเว็บไซต์ หรือมี noindex อยู่ใน meta tag

กูเกิลแนะนำให้เจ้าของเว็บไซต์ควรรองรับ HTTPS กันได้แล้ว และควร redirect เว็บเพจที่เป็น HTTP ให้กลายเป็น HTTPS รวมถึงใส่ header HSTS ไว้ที่เว็บเซิร์ฟเวอร์ด้วย

Read more

มารู้จัก Let's Encrypt กันเถอะ

By griefdlament Contributor on Tag: HTTPS, Let's Encrypt, ISRG, Special Report
HTTPS

Let's Encrypt (LE) เป็นระบบหน่วยงานออกใบรับรอง (Certification Authority หรือ CA) ที่สามารถใช้งานได้ฟรีและใช้ระบบอัตโนมัติในการจัดการใบรับรองความปลอดภัยสำหรับเว็บไซต์เข้ารหัส โดยเราจะใช้งานผ่าน client ที่มีให้ มีจุดมุ่งหมายเพื่อสาธารณประโยชน์ ระบบของ LE ให้บริการโดย Internet Security Research Group (ISRG)

Read more

เฟซบุ๊กและ CloudFlare เรียกร้องผู้ผลิตเบราว์เซอร์ หาทางออกให้เบราว์เซอร์เก่าที่ยังไม่รองรับ SHA-2

By lew Founder on Tag: SSL, TLS, HTTPS, Cloudflare, Facebook
SSL

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

Read more

เปิดศักราชเว็บเข้ารหัส Let's Encrypt เริ่มให้บริการทั่วไปแล้ว, เฟซบุ๊กเข้าร่วมเป็นสปอนเซอร์

By lew Founder on Tag: Security, HTTPS, Digital Certificate, Let's Encrypt
Security

หลังจากเลื่อนมาหลายรอบ วันนี้ก็เป็นวันแรกที่ Let's Encrypt บริการออกใบรับรองดิจิตอลสำหรับเว็บที่ให้บริการฟรี เริ่มให้บริการต่อสาธารณะ จากช่วงบริการในวงปิดที่มีโดเมนต่างๆ ใช้งานอยู่ก่อนแล้วกว่า 26,000 โดเมน หลังจากเปิดบริการไม่ถึงวัน ตอนนี้ทางโครงการก็ออกใบรับรองไปแล้วกว่า 36,000 โดเมน

รายชื่อโดเมนที่ออกใบรับรองโดย Let's Encrypt เปิดเผยผ่านกระบวนการ Certificate Transparency โดยโพสอยู่ที่ crt.sh

Read more
Subscribe to HTTPS