SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

อเมซอนฝั่งค้าปลีกเปิดบริการการยืนยันตัวตนผู้ใช้สองขั้นตอนสำหรับลูกค้าทั่วไปแล้ว โดยต้องยืนยันหมายเลขโทรศัพท์ก่อน จึงสามารถขอข้อมูลสำหรับการยืนยันตัวตนผ่านแอป เช่น Google Authenticator ได้

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

ไมโครซอฟท์มีกำหนดการหยุดรองรับใบรับรองที่ใช้ SHA-1 ในการรับรองในวันที่ 1 มกราคม 2017 แต่งานวิจัยใหม่ๆ ก็แสดงความน่ากลัวของการใช้ SHA-1 มากขึ้นเรื่อยๆ เมื่อเดือนที่แล้วมอซิลล่าประกาศว่าอาจจะร่นระยะเวลายกเลิก SHA-1 ขึ้นมาเป็นวันที่ 1 กรกฎาคม ตอนนี้ทางไมโครซอฟท์ก็ออกมาประกาศแนวทางเดียวกันแล้ว

ทางไมโครซอฟท์ระบุว่าจะประเมินความจำเป็นร่วมกับเบราว์เซอร์อื่นๆ ต่อไป ระหว่างนี้ผู้ดูแลระบบทั้งหลายก็ควรเร่งอัพเดตใบรับรองของตัวเองกันโดยเร็ว

เบราว์เซอร์หลักๆ จากกูเกิล, มอซิลล่า, และไมโครซอฟท์ล้วนประกาศแนวทางการเลิกรองรับใบรับรองดิจิตอลที่ใช้ SHA-1 (อ่านบทความอธิบาย) แต่การโจมตีรอบล่าสุดแสดงว่าต้นทุนการโจมตีกำลังถูกลงอย่างรวดเร็ว และเป็นไปได้ที่เราจะเห็น SHA-1 ค่าซ้ำกันในเร็วๆ นี้ ทางมอซิลล่าจึงออกมาแจ้งเตือนว่าอาจจะร่นกำหนดเวลาการหยุดรองรับ SHA-1 เข้ามา เป็นวันที่ 1 กรกฎาคม 2016 หรือเลื่อนขึ้นมา 6 เดือน

Richard Barnes หัวหน้าฝ่ายความปลอดภัยของไฟร์ฟอกซ์ ทวีตประกาศมาตรการความปลอดภัยล่าสุดในไฟร์ฟอกซ์เวอร์ชั่น 44 ที่จะเตือนผู้ใช้ว่าเว็บไม่ปลอดภัย หากหน้าเว็บนั้นๆ มีแบบฟอร์มรหัสผ่านอยู่ในเว็บ และตัวเว็บเชื่อมต่อแบบไม่เข้ารหัส

แนวทางนี้เป็นเพียงการทดสอบในรุ่น Nightly เท่านั้น รุ่นที่เราใช้งานกันทั่วไปยังเป็นรุ่น 41 และกว่ารุ่น 44 จะออกมาจริงยังต้องใช้เวลาอีกหลายเดือน และยังไม่มีการยืนยันว่าแนวทางนี้จะใช้งานในรุ่นจริง

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

US CERT ออกประกาศแจ้งเตือนช่องโหว่เบราว์เซอร์ที่สามารถถูกยิงคุกกี้เข้าไปยังเว็บที่เข้ารหัสได้ และทำให้ผู้ใช้ถูกหลอกให้กรอกข้อมูลทั้งที่กำลังใช้งานอยู่ในเว็บเข้ารหัส

การยิงคุกกี้ (cookie injection) ทำได้เพราะนักพัฒนาเว็บสามารถกำหนดได้ว่าคุกกี้จะใช้งานเฉพาะ HTTPS ด้วยการต่อท้ายคุกกี้ด้วยข้อความ "secure" แต่การกำหนดนี้สามารถกำหนดขณะใช้งาน HTTP ที่ไม่เข้ารหัสก็ได้

แนวทางการโจมตี แฮกเกอร์จะต้องดักฟังการเชื่อมต่อที่ไม่เข้ารหัส และปลอมตัวเป็นเว็บโดเมนเดียวกัน ส่งข้อมูลเว็บแบบไม่เข้ารหัสไปยังเบราว์เซอร์เพื่อให้เบราว์เซอร์ตั้งค่าคุกกี้ในโดเมนที่เข้ารหัสแล้ว

โครงการแจกใบรับรองฟรี Let's Encrypt เข้าสู่ช่วงปล่อยใบรับรองจริงช่วงแรก โดยยังไม่ได้รับรองรับรองซ้อนมาจาก IdenTrust ทำให้ไม่เบราว์เซอร์ทั่วไปไม่รองรับ (จะขึ้นหน้าจอเตือน Invalid Certification Authority)

ใบรับรองชุดแรกออกมาตั้งแต่เมื่อวานนี้ และทาง Let's Encrypt ประกาศเริ่มต้นเข้าสู่ช่วงออกใบรับรองในวันนี้

ระหว่างนี้หากต้องการให้เบราว์เซอร์เชื่อถือเว็บที่ Let's Encrypt รับรองจะต้องติดตั้งใบรับรองของ ISRG ลงในเครื่อง ใบรับรองทดสอบอยู่ที่เว็บ helloworld.letsencrypt.org

Let's Encrypt บริการออกใบรับรองโดเมนฟรีมีกำหนดการเปิดบริการทั่วไปกลางเดือนกันยายนนี้ ตอนนี้ทางโครงการก็ออกมาประกาศเลื่อนออกไปเป็นวันที่ 16 พฤศจิกายนแล้ว

กำหนดการนี้เลื่อนออกไปจากเดิมประมาณสองเดือนสำหรับบริการทั่วไป และสองเดือนครึ่งสำหรับการเปิดบริการเฉพาะกลุ่ม

ทางโครงการไม่ได้บอกเหตุผลของการเลื่อนไว้ตรงๆ แต่บอกเพียงว่าเพื่อใช้เวลาปรับปรุงระบบ

ที่มา - Let's Encrypt

กระบวนการเข้ารหัสแบบ RC4 มีความเป็นไปได้ที่จะถูกเจาะมานานจากปัญหาคุณภาพเลขสุ่มเทียมที่ไม่ดีนัก แต่ก่อนหน้านี้แม้ RC4 จะมีความปลอดภัยต่ำกว่าที่ออกแบบไว้แต่ก็ยังไม่มีใครสาธิตการถอดรหัสภายในเวลาที่เป็นจริงนัก งานวิจัยล่าสุดจาก Mathy Vanhoef และ Frank Piessens นำเสนอการถอดรหัส cookie จาการเชื่อมต่อเว็บได้ภายในเวลาเพียง 75 ชั่วโมงเข้าใกล้การโจมตีอย่างจริงจังมากขึ้น

กระบวนการถอดรหัสนี้ นักวิจัยวางเว็บล่อให้เหยื่อเปิดทิ้งไว้เว็บล่อนี้จะส่ง request ไปยังเว็บที่เข้ารหัสด้วย HTTPS แบบ RC4 ด้วยความถี่ถึง 4450 ครั้งต่อวินาที ตัวนักวิจัยดักฟังข้อมูลทั้งหมด

แนวทางการบังคับ HTTPS ในเว็บใหญ่ๆ มากขึ้นเรื่อยๆ ตอนนี้ชุมชนออนไลน์ขนาดใหญ่อย่าง Reddit ก็ประกาศแล้วว่าวันที่ 29 มิถุนายนนี้จะบังคับเข้าเว็บผ่าน HTTPS เท่านั้น

Reddit เพิ่งเปิดบริการ HTTPS มาเมื่อเดือนกันยายนปีที่แล้ว

เว็บบางส่วนของ Reddit จะใช้งานไม่ได้หลังการบังคับใช้ HSTS เต็มรูปแบบ เพราะทาง Reddit ใช้ใบรับรองแบบ wildcard แต่ใบรับรองเหล่านี้ไม่สามารถใช้งานกับซับโดเมนระดับสอง เช่น www.np.reddit.com