IE11 รองรับ HSTS ล็อกการเข้าเว็บด้วย HTTPS ตลอดเวลา

By lew Founder on Tag: Security, Internet Explorer, HTTPS, Microsoft
Security

IE11 บน Windows 10 เริ่มทดสอบรองรับมาตรฐานการเข้ารหัสเว็บตลอดเวลา HSTS มาตั้งแต่เดือนกุมภาพันธ์ ตอนนี้อัพเดตล่าสุด KB3058515 ก็อัพเดตไปยัง Windows 7 และ Windows 8.1 แล้วทำให้ IE11 บนวินโดวส์ทั้งสองรุ่นรองรับ HSTS เต็มรูปแบบ

Read more

แนวทางให้เว็บรัฐบาลสหรัฐฯ ต้องเป็น HTTPS ออกเป็นบันทึกถึงหน่วยงานรัฐบาลกลางทั้งหมดแล้ว

By lew Founder on Tag: Security, USA, HTTPS
Security

เมื่อเดือนมีนาคมรัฐบาลโอบามาประกาศแนวทางให้เว็บของหน่วยงานรัฐบาลกลางทั้งหมดต้องเป็น HTTPS ภายในสองปีโดยนำร่างแนวทางการอัพเกรดขึ้น GitHub เพื่อให้ประชาชนส่งข้อเสนอเข้ามา ตอนนี้ร่างทั้งหมดก็ลงถึงช่วงใช้งานจริง โดย Tony Scott CIO ของรัฐบาลกลางได้ลงนามเป็นบันทึกถึงผู้บริหารของหน่วยงานภายใต้รัฐบาลกลางทั้งหมดให้เตรียมอัพเกรดไปใช้ HTTPS ภายในสิ้นปี 2016

Read more

Facebook จะเลิกสนับสนุนใบรับรอง SSL ที่ใช้ SHA-1 ในเดือนตุลาคมนี้

By MrNonz Contributor on Tag: Security, SSL, HTTPS, Facebook
Security

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

Read more

นักวิจัยพบช่องโหว่ Logjam ในกระบวนการเข้ารหัส TLS เจาะกระบวนการแลกกุญแจ Diffie-Hellman ขนาด 512 บิต

By lew Founder on Tag: Security, SSL, TLS, HTTPS
Security

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

Read more

ไฟร์ฟอกซ์ประกาศแผนการเลิกรองรับ HTTP ไม่เข้ารหัส, เว็บไม่เข้ารหัสจะใช้ฟีเจอร์ใหม่ไม่ได้

By lew Founder on Tag: Security, Firefox, HTTPS, Mozilla
Security

มอซิลล่าผู้พัฒนาเบราว์เซอร์ไฟร์ฟอกซ์ประกาศแผนการกดดันให้เว็บเลิกใช้งาน HTTP ที่ไม่เข้ารหัส โดยแบ่งแผนการออกมาเป็นสองลำดับ

  1. เมื่อถึงวันที่กำหนด ฟีเจอร์ใหม่ๆ ทั้งหมด ไม่ว่าจะเป็นฟีเจอร์ใดๆ จะไม่ทำงานบนเว็บ HTTP อีกต่อไป
  2. ค่อยๆ ปิดฟีเจอร์เดิมที่เกี่ยวข้องกับความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ออกไปจากเว็บที่ไม่เข้ารหัส

แนวทางนี้ยังคงเป็นกรอบกว้างๆ ที่สำคัญคือยังไม่มีการกำหนดวันที่ตัดฟีเจอร์ใหม่ออกจากเว็บ HTTP และยังต้องนิยามฟีเจอร์ใหม่ที่เว็บ HTTP จะใช้งานไม่ได้ให้ชัดเจน ฟีเจอร์ที่อาจจะใช้งานไม่ได้ เช่น การเข้าถึงฮาร์ดแวร์ด้วย API ใหม่ๆ

Read more

CERT ระบุแอพมีช่องโหว่ในแอนดรอยด์แก้ไขหลังได้คำเตือนเพียง 0.1% กูเกิลอาจถอดจากตลาด

By lew Founder on Tag: Security, SSL, Android, TLS, HTTPS
Security

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Read more

กูเกิลประกาศแผน เตรียมแสดงโฆษณาผ่าน HTTPS ทั้งหมด

By mk Founder on Tag: Google, HTTPS, Advertising
Google

กูเกิลประกาศเดินหน้าผลักดันบริการของตัวเองเป็น HTTPS ทั้งหมด และล่าสุดเป็นคิวของผลิตภัณฑ์สายโฆษณาแล้ว

Read more

Chrome 43 เข้าสู่สถานะเบต้า เพิ่มฟีเจอร์ช่วยให้เว็บอัพเกรดไป HTTPS ง่ายขึ้น

By lew Founder on Tag: Browser, Chrome, HTTPS
Browser

Chrome 43 เข้าสู่สถานะเบต้า ทีมงานก็ออกมาประกาศว่าฟีเจอร์อะไรที่เราจะได้เห็นกันในรุ่นนี้

ฟีเจอร์สำคัญสำหรับเว็บที่ต้องการอัพเกรดเป็น HTTPS แต่กลับมีโค้ดเก่าๆ ฝัง URL ภาพหรือ CSS ไว้เป็น HTTP ทำให้เว็บไม่สมบูรณ์ ตอนนี้จะมีทางออกด้วยฟีเจอร์ upgrade-insecure-resources หากไฟล์เดิมเป็น HTTP อยู่ก็จะอัพเกรดมาเป็น HTTPS ให้เอง

ฟีเจอร์อื่นๆ ได้แก่

Read more

แอปเปิลและไมโครซอฟท์ยังคงยอมรับ CNNIC ต่อไป

By lew Founder on Tag: Security, SSL, TLS, HTTPS, CNNIC
Security

เหตุการณ์ CNNIC ออกใบรับรองให้กับ MCS Holdings นำไปออกใบรับรองของโดเมนอื่นๆ โดยไม่ได้รับอนุญาต ทำให้ทางกูเกิลและมอสซิลล่าประกาศถอด CNNIC ออกจากรายชื่อหน่วยงานรับรองที่เชื่อถือได้ และบังคับให้ CNNIC ต้องยื่นเรื่องสมัครเข้ามาใหม่พร้อมกับยอมรับเงื่อนไขเพิ่มเติม แต่ท่าทีของแอปเปิลและไมโครซอฟท์ตอนนี้ยังคงยอมรับ CNNIC ต่อไป

Read more

ไฟร์ฟอกซ์เตรียมรองรับการเข้ารหัสแบบไม่ยืนยันตัวตนในรุ่น 37

By lew Founder on Tag: Security, Firefox, HTTPS
Security

Firefox 37 เตรียมรองรับมาตรฐาน HTTP/2 มีฟีเจอร์หนึ่งเพิ่มเข้ามาสำหรับเซิร์ฟเวอร์ทั่วไป คือ opportunistic encryption (OE) เป็นการเข้ารหัสจากใบรับรองแบบรับรองตนเอง (self-signed) ที่แม้ว่าจะไม่ได้ช่วยยืนยันว่าเรากำลังเชื่อมต่อกับเซิร์ฟเวอร์อยู่จริง แต่ก็ป้องกันการดักฟังปกติที่ไม่ได้คั่นกลางการเชื่อมต่อ

เซิร์ฟเวอร์ที่รองรับมาตรฐานนี้จะต้องเป็นเซิร์ฟเวอร์ HTTP/2 และคอนฟิกให้รองรับการเชื่อมต่อแบบเข้ารหัสที่พอร์ต 443 โดยใช้ใบรับรองอะไรก็ได้ แม้แต่ใบรับรองแบบรับรองตัวเอง จากนั้นเพิ่มฟิลด์ Alt-Svc: h2=":443" เข้าไปใน HTTP header ของการเชื่อมต่อพอร์ต 80 ธรรมดา

Read more

กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์, รับรองโดย root CA ของจีน

By lew Founder on Tag: Security, China, SSL, Egypt, TLS, HTTPS, Digital Certificate
Security

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Read more

Qualys เปิดไคลเอนต์สำหรับการทดสอบ SSL/TLS ผ่าน API

By lew Founder on Tag: Security, SSL, TLS, HTTPS
Security

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

Read more

รัฐบาลโอบามาเสนอให้เว็บรัฐบาลกลางทั้งหมดต้องเป็น HTTPS เปิดรับความเห็นผ่าน GitHub

By lew Founder on Tag: Politics, GitHub, HTTPS, Whitehouse
Politics

รัฐบาลโอบามาเปิดข้อเสนอบังคับให้เว็บไซต์รัฐบาลกลางทั้งหมดจะต้องเปลี่ยนไปใช้ HTTPS เท่านั้น ทางรัฐบาลเปิดรับฟังความคิดเห็นต่อข้อเสนอนี้ในช่วงแรกภายในวันที่ 31 มีนาคมนี้

ข้อเสนอนี้จะบังคับเว็บไซต์ของรัฐบาลกลาง ดังนี้

Read more

เว็บไมโครซอฟท์ในฟินแลนด์ถูกออกใบรับรองปลอม

By lew Founder on Tag: Security, SSL, HTTPS, Microsoft
Security

live.fi เว็บหนึ่งของไมโครซอฟท์ถูกจดทะเบียนขอใบรับรอง SSL จากทาง Comodo ผู้ให้บริการรับรองเว็บรายใหญ่ ตอนนี้ทางไมโครซอฟท์รับทราบปัญหานี้แล้วและกำลังออกอัพเดตเพื่อบล็อคใบรับรองนี้อยู่ ทางฝั่ง Comodo เองประกาศยกเลิกใบรับรองนี้แล้ว

สำหรับ Windows 8, Windows Server 2012, และ Windows Phone 8 กระบวนการอัพเดตจะทำโดยอัตโนมัติ (ถ้าไม่ได้ไปปิดไว้) แต่สำหรับ Windows 7 และ Windows Server 2008 ต้องดาวน์โหลดตัวอัพเดตใบรับรองมาติดตั้งเองก่อน

Read more

The Pirate Bay เปลี่ยนไปใช้ HTTPS เป็นค่าเริ่มต้นแล้ว ระบบบล็อคผู้ให้บริการอินเทอร์เน็ตหลายรายไม่ทำงาน

By lew Founder on Tag: Internet Censorship, SSL, The Pirate Bay, HTTPS
Internet Censorship

The Pirate Bay (TPB) เว็บรวบรวม magnet link ขนาดใหญ่ถูกบุกยึดเซิร์ฟเวอร์และถูกบล็อคไปหลายครั้งในหลายประเทศแต่ก็กลับมาเปิดได้เรื่อยๆ ล่าสุดทาง TPB ก็ปรับใช้ให้บริการผ่าน CloudFlare และเปิดบริการ HTTPS เข้ารหัสการเชื่อมต่อทั้งหมดเป็นมาตรฐานแล้ว

ผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรที่ก่อนหน้านี้เคยบล็อค TPB ตอนนี้ก็กลับเข้าได้ทั้งหมด ที่ยืนยันแล้ว เช่น Virgin Media, TalkTak,BT, BT, และ EE ยกเว้นเพียง Sky ที่ยังสามารถบล็อคได้อยู่

Read more

ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น

By mk Founder on Tag: Windows, Security, SSL, HTTPS, Microsoft
Windows

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่า__ระบบปฏิบัติการวินโดวส์ทุกรุ่น__ก็มีช่องโหว่ลักษณะนี้เช่นกัน

Read more

พบช่องโหว่ระบบรักษาความปลอดภัยเว็บ PrivDog คล้ายกับ Superfish

By lew Founder on Tag: Security, SSL, HTTPS, Superfish
Security

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

Read more

Instagram เริ่มใช้ HTTPS กับเว็บไซต์แล้ว

By jingjingmaple Contributor on Tag: SSL, Instagram, HTTPS
SSL

หลังจากที่เว็บโซเชียลเน็ตเวิร์ค เช่นเฟซบุ๊ก, ทวิตเตอร์ และยูทูบ ต่างรองรับ HTTPS กันมานานพอสมควร วันนี้ Instagram เริ่มใช้ HTTPS กับเว็บของตัวเองแล้ว จากที่ก่อนหน้านี้ไม่ว่าเมื่อผู้ใช้เข้าเว็บไซต์ Instagram ดูรูปที่ถูกโพสต์, ดูหน้าฟีดของตนเอง หรือแม้กระทั่งหน้าล็อกอินเข้าสู่ระบบ ล้วนอยู่ใน HTTP ที่ไม่เข้ารหัส ซึ่งอาจจะสร้างความเสี่ยงในการถูกดักข้อมูลของผู้ใช้งานได้

Read more

ผู้ใช้เครื่อง Lenovo ที่ติดตั้งวินโดวส์มาจากโรงงานตรวจสอบด่วน กุญแจ CA ของ Superfish ถูกเปิดเผยแล้ว

By lew Founder on Tag: Security, Lenovo, SSL, TLS, HTTPS, Digital Certificate, Superfish
Security

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้__ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด__

Read more

Venafi และ DigiCert ประกาศเข้าร่วมโครงการ Certificate Transparency เปิดเผยการออกใบรับรอง

By lew Founder on Tag: Security, SSL, TLS, HTTPS
Security

Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

Read more
Subscribe to HTTPS