ทีมวิจัยสามชาติประเมินการปลอม SHA1 ใช้ทุนเพียง 120,000 ดอลลาร์

By lew Founder on Tag: Security, Research, SSL, TLS, Cryptography, HTTPS
Security

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

Read more

Firefox, Chrome, IE, Edge เตรียมถอดการเข้ารหัสแบบ RC4 ช่วงต้นปี 2016

By mk Founder on Tag: Security, Firefox, Browser, SSL, Chrome, Internet Explorer, Cryptography, HTTPS, Microsoft Edge
Security

การเข้ารหัสแบบ RC4 มีความปลอดภัยต่ำ เพราะกระบวนการสุ่มเลขไม่ดีเท่าที่ควร ซึ่งในแวดวงความปลอดภัยเองก็เตรียมถอด RC4 ออกจากมาตรฐาน IETF มาได้สักพักแล้ว

วันนี้ผู้พัฒนาเบราว์เซอร์รายใหญ่ 3 ค่ายคือ Google, Microsoft, Mozilla ออกมาประกาศแผนว่าจะถอดการใช้งาน RC4 ออกจากเบราว์เซอร์ของตัวเอง (Chrome, IE, Edge, Firefox) พร้อมกันในช่วงต้นปี 2016

Read more

อเมซอนเปิดตัว s2n ไลบรารี TLS/SSL ของตัวเอง

By lew Founder on Tag: Open Source, Security, Amazon, SSL
Open Source

อเมซอนเปิดตัวไลบรารี TLS ของตัวเองในชื่อ s2n โดยเน้นความเล็กและเร็ว จุดเด่นสำคัญที่สุดคือโค้ดที่สั้นกว่า OpenSSL อย่างมาก โดยโค้ดในส่วน TLS นั้น s2n มีโค้ด 6,000 บรรทัด เทียบกับ OpenSSL ที่มีโค้ด 70,000 บรรทัด

Read more

Outlook.com (Hotmail) มีปัญหาใบรับรอง SSL ไม่ถูกต้อง เบื้องต้นคาดเกิดความผิดพลาดในการตั้งค่าเซิร์ฟเวอร์

By Bigta Contributor on Tag: Security, SSL, Outlook
Security

วันนี้ (14 มิถุนายน 2558) ผู้ใช้ Outlook.com (ชื่อเดิมคือ Hotmail) หลายรายพบปัญหาล็อกอินเข้าหน้าเว็บไซต์แล้วปรากฏข้อความแจ้งเตือนใบรับรอง SSL ไม่ถูกต้อง จากการตรวจสอบเบื้องต้นพบว่าเซิร์ฟเวอร์ของ Outlook.com ส่งใบรับรอง SSL ของ bing.com มาให้ แทนที่จะเป็น login.live.com หรือ mail.live.com ตามที่ควรจะเป็น (ภาพประกอบท้ายข่าว)

มีผู้ใช้แจ้งปัญหานี้ไปยัง Microsoft เบื้องต้นคาดว่าสาเหตุน่าจะเกิดจากเซิร์ฟเวอร์ของ Outlook.com ในสิงคโปร์มีการตั้งค่าผิดพลาด ทำให้ผู้ใช้ในแถบเอเชียตะวันออกเฉียงใต้ได้รับผลกระทบ อย่างไรก็ตาม ปัจจุบันยังไม่มีแถลงการณ์อย่างเป็นทางการจาก Microsoft

Read more

Facebook จะเลิกสนับสนุนใบรับรอง SSL ที่ใช้ SHA-1 ในเดือนตุลาคมนี้

By MrNonz Contributor on Tag: Security, SSL, HTTPS, Facebook
Security

ส่วนประกอบที่สำคัญสำหรับ SSL นั้นมีสองส่วนหลักๆ คือ กุญแจสาธารณะ และลายเซ็นดิจิทัล ซึ่งในปัจจุบันนิยมใช้ค่าแฮชของ SHA-1 มาเข้ารหัสด้วยกุญแจ RSA จาก CA (Certificate Authority) จึงจะได้ลายเซ็นดิจิทัลออกมา

หลังจากที่ Google ประกาศนโยบายให้ SHA-1 ไม่ปลอดภัยตั้งแต่ต้นปี 2015 เป็นต้นไป

รวมถึงข่าวเก่าได้ระบุว่า SHA-1 นั้น เริ่มไม่ปลอดภัยมากขึ้นตามเทคโนโลยีที่ก้าวกระโดด

Read more

นักวิจัยพบช่องโหว่ Logjam ในกระบวนการเข้ารหัส TLS เจาะกระบวนการแลกกุญแจ Diffie-Hellman ขนาด 512 บิต

By lew Founder on Tag: Security, SSL, TLS, HTTPS
Security

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

Read more

Instagram ล่มทั่วโลกเพราะลืมเปลี่ยนใบรับรอง SSL

By MrNonz Contributor on Tag: SSL, Instagram
SSL

เป็นข่าวสั้นประจำวันครับ เมื่อเวลา 19:00 (ตามเวลาประเทศไทย) เกิดเหตุ Instagram ล่มพร้อมกันทั่วโลก

สาเหตุเนื่องจากใบรับรอง SSL ของตัวเว็บนั้นหมดอายุตามเวลาดังกล่าว ทำให้ผู้ใช้งานเว็บไซต์ได้รับแจ้งเตือนเรื่องความปลอดภัย

รวมไปถึงผู้ใช้งานผ่านแอพพลิเคชันก็ได้รับผลกระทบไปตามๆ กันทั้งหมดด้วย (ถือได้ว่าเป็นการตกม้าตายกันเลยทีเดียว)

และเวลา 20:08 (ตามเวลาประเทศไทย) เว็บไซต์และแอพพลิเคชันกลับมาทำงานตามปกติแล้ว หลังจากเปลี่ยนใบรับรองใหม่

Read more

CERT ระบุแอพมีช่องโหว่ในแอนดรอยด์แก้ไขหลังได้คำเตือนเพียง 0.1% กูเกิลอาจถอดจากตลาด

By lew Founder on Tag: Security, SSL, Android, TLS, HTTPS
Security

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Read more

แอปเปิลและไมโครซอฟท์ยังคงยอมรับ CNNIC ต่อไป

By lew Founder on Tag: Security, SSL, TLS, HTTPS, CNNIC
Security

เหตุการณ์ CNNIC ออกใบรับรองให้กับ MCS Holdings นำไปออกใบรับรองของโดเมนอื่นๆ โดยไม่ได้รับอนุญาต ทำให้ทางกูเกิลและมอสซิลล่าประกาศถอด CNNIC ออกจากรายชื่อหน่วยงานรับรองที่เชื่อถือได้ และบังคับให้ CNNIC ต้องยื่นเรื่องสมัครเข้ามาใหม่พร้อมกับยอมรับเงื่อนไขเพิ่มเติม แต่ท่าทีของแอปเปิลและไมโครซอฟท์ตอนนี้ยังคงยอมรับ CNNIC ต่อไป

Read more

กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์, รับรองโดย root CA ของจีน

By lew Founder on Tag: Security, China, SSL, Egypt, TLS, HTTPS, Digital Certificate
Security

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Read more

Qualys เปิดไคลเอนต์สำหรับการทดสอบ SSL/TLS ผ่าน API

By lew Founder on Tag: Security, SSL, TLS, HTTPS
Security

Qualys ผู้ให้บริการ SSL Labs เปิดซอร์สโค้ดของโปรแกรม ssllabs-scan เพื่อให้ผู้ดูแลระบบสามารถเข้าถึง API ของ SSL Labs ได้ผ่าน command-line ทำให้ตั้งช่วงเวลาให้ตรวจสอบเซิร์ฟเวอร์เป็นระยะ และรายงานผลเป็นไฟล์ JSON ได้

Read more

OpenSSL ปล่อยแพตช์แล้ว แก้บั๊ก FREAK และบั๊กใหม่ทำเซิร์ฟเวอร์ล่ม

By lew Founder on Tag: Security, SSL, TLS, OpenSSL
Security

OpenSSL ประกาศบั๊กตามที่แจ้งไว้ล่วงหน้า แก้บั๊กความร้ายแรงสูงสองตัว ได้แก่ บั๊ก FREAK ที่เป็นข่าวไปเมื่อต้นเดือนที่ผ่านมา และบั๊กใหม่ที่ทำให้เซิร์ฟเวอร์ล่มได้จากการเชื่อมต่อจากภายนอก

Read more

เว็บไมโครซอฟท์ในฟินแลนด์ถูกออกใบรับรองปลอม

By lew Founder on Tag: Security, SSL, HTTPS, Microsoft
Security

live.fi เว็บหนึ่งของไมโครซอฟท์ถูกจดทะเบียนขอใบรับรอง SSL จากทาง Comodo ผู้ให้บริการรับรองเว็บรายใหญ่ ตอนนี้ทางไมโครซอฟท์รับทราบปัญหานี้แล้วและกำลังออกอัพเดตเพื่อบล็อคใบรับรองนี้อยู่ ทางฝั่ง Comodo เองประกาศยกเลิกใบรับรองนี้แล้ว

สำหรับ Windows 8, Windows Server 2012, และ Windows Phone 8 กระบวนการอัพเดตจะทำโดยอัตโนมัติ (ถ้าไม่ได้ไปปิดไว้) แต่สำหรับ Windows 7 และ Windows Server 2008 ต้องดาวน์โหลดตัวอัพเดตใบรับรองมาติดตั้งเองก่อน

Read more

The Pirate Bay เปลี่ยนไปใช้ HTTPS เป็นค่าเริ่มต้นแล้ว ระบบบล็อคผู้ให้บริการอินเทอร์เน็ตหลายรายไม่ทำงาน

By lew Founder on Tag: Internet Censorship, SSL, The Pirate Bay, HTTPS
Internet Censorship

The Pirate Bay (TPB) เว็บรวบรวม magnet link ขนาดใหญ่ถูกบุกยึดเซิร์ฟเวอร์และถูกบล็อคไปหลายครั้งในหลายประเทศแต่ก็กลับมาเปิดได้เรื่อยๆ ล่าสุดทาง TPB ก็ปรับใช้ให้บริการผ่าน CloudFlare และเปิดบริการ HTTPS เข้ารหัสการเชื่อมต่อทั้งหมดเป็นมาตรฐานแล้ว

ผู้ให้บริการอินเทอร์เน็ตในสหราชอาณาจักรที่ก่อนหน้านี้เคยบล็อค TPB ตอนนี้ก็กลับเข้าได้ทั้งหมด ที่ยืนยันแล้ว เช่น Virgin Media, TalkTak,BT, BT, และ EE ยกเว้นเพียง Sky ที่ยังสามารถบล็อคได้อยู่

Read more

สะเทือนถ้วนหน้า! BlackBerry ประกาศได้รับผลกระทบจากช่องโหว่ FREAK ด้วย

By nrad6949 Writer on Tag: Security, SSL, BlackBerry
Security

หนึ่งในจุดขายผลิตภัณฑ์ของ BlackBerry ตลอดมาอย่างหนึ่งคือเรื่องของความปลอดภัยในการสื่อสาร แต่ทว่าอาจจะเป็นเพียงแค่ความเชื่อเท่านั้น เมื่อ BlackBerry ออกมาประกาศว่า ผลิตภัณฑ์ของตัวเองได้รับผลกระทบจากช่องโหว่ FREAK ด้วยเช่นเดียวกัน

Read more

ไมโครซอฟท์ออกแพตช์แก้ช่องโหว่ FREAK, ออกแพตช์ซ่อมช่องโหว่ Stuxnet

By mk Founder on Tag: Windows, Security, SSL, Internet Explorer, Microsoft
Windows

จากข่าว ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น วันนี้แพตช์มาแล้วครับ

แพตช์ตัวนี้หมายเลข MS15-018 ชื่อที่แสดงให้ผู้ใช้เห็นคือ Cumulative Security Update for Internet Explorer (3032359) ความรุนแรงระดับ critical ครอบคลุม IE ทุกรุ่นตั้งแต่ IE6-IE11

Read more

โครงการตรวจสอบโค้ด OpenSSL เริ่มงานแล้ว

By lew Founder on Tag: Security, SSL, TLS, Heartbleed
Security

หลังบั๊ก Heartbleed ที่ส่งผลกระทบเป็นวงกว้างต่อเซิร์ฟเวอร์จำนวนมากในเดือนเมษายนปีที่แล้ว บริษัทจำนวนมากระดมทุนเพื่อให้ OpenSSL มีทรัพยากรเพียงพอต่อการพัฒนา อีกส่วนหนึ่งก็จัดสรรมาให้โครงการ Open Crypto Audit เพื่อตรวจสอบโค้ดซอฟต์แวร์เข้ารหัส ตอนนี้ทาง OpenSSL และ Cryptography Services (CS) ผู้เข้าตรวจสอบก็พร้อมจะเริ่มกระบวนการตรวจสอบแล้ว

Read more

ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น

By mk Founder on Tag: Windows, Security, SSL, HTTPS, Microsoft
Windows

เมื่อวานนี้เพิ่งมีข่าวช่องโหว่ FREAK ที่ค้นพบบนไลบรารี OpenSSL ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์และระบบปฏิบัติการฝั่งยูนิกซ์ แต่ล่าสุดไมโครซอฟท์ออกมายอมรับแล้วว่า__ระบบปฏิบัติการวินโดวส์ทุกรุ่น__ก็มีช่องโหว่ลักษณะนี้เช่นกัน

Read more

พบช่องโหว่ FREAK บน SSL/TLS กระทบเว็บไซต์นับล้านแห่ง, Android, iOS, OS X โดนหมด

By nutmos Writer on Tag: Security, SSL, Android, TLS, iOS, OS X
Security

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

Read more

การพัฒนาความปลอดภัยเว็บจากฝั่ง Certification Authority

By lew Founder on Tag: Security, SSL, TLS
Security

กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

Read more
Subscribe to SSL