หลังจากมีผู้ไม่หวังดีจดทะเบียน certificate ปลอม ไมโครซอฟท์จึงรีบปล่อยอัพเดตบน Windows แพลตฟอร์มแทบจะในทันที ล่าสุดไมโครซอฟท์ก็ได้ปล่อยอัพเดตรายการยกเลิกใบรับรอง (Certificate Revocation List - CRL) ให้กับ Windows Phone 7 ที่ผ่านการอัพเกรด NoDo มาแล้ว สำหรับเครื่องใดที่ยังไม่ได้รับการอัพเกรด NoDo ก็ได้ถูกอัพเกรด NoDo ให้ด้วยเลย - WMPoweruser
ทั้ง Facebook และ Twitter ประกาศเปิดให้ใช้ HTTPS ตลอดเวลาเพื่อเพิ่มความปลอดภัยของผู้ใช้ คราวนี้ถึงคิวของ Foursquare บ้าง
Foursquare ประกาศผ่านการทวีตว่าการเชื่อมต่อทุกชนิดของตัวเอง ไม่ว่าจะเป็นเว็บหรือแอพ จะอยู่บน HTTPS ทั้งหมด ด้วยเหตุผลว่าข้อมูลสถานที่จากการเช็คอินเป็นข้อมูลสำคัญ ที่ไม่ควรจะมีใครดักจับไปได้นั่นเอง
ที่มา - Mashable
หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ
ต่อจากข่าว ไมโครซอฟท์แอบถอด HTTPS ออกจาก Hotmail ในบางประเทศ หลังจากเรื่องดังขึ้นมา ไมโครซอฟท์ได้แก้ไขให้ผู้ใช้ Hotmail ทุกคนสามารถใช้ HTTPS ได้ดังเดิมแล้ว
ไมโครซอฟท์อธิบายเรื่องนี้ว่าถือเป็น "บั๊กลึกลับ" ที่ไมโครซอฟท์เองก็หาสาเหตุไม่เจอ แต่ก็ยืนยันว่าไม่ได้ตั้งใจปิดตัวเลือก HTTPS ในบางประเทศแต่อย่างใด
ที่มา - Windows Live Help, The Register
Hotmail Wave 4 เพิ่งมีฟีเจอร์เชื่อมต่อผ่าน HTTPS/SSL ตลอดเวลา ไปเมื่อปีที่แล้ว แต่ล่าสุดทาง Electronic Frontier Foundation หรือ EFF ออกมาเปิดเผยว่าไมโครซอฟท์แอบถอดฟีเจอร์นี้ออกไปเงียบๆ สำหรับผู้ใช้ในบางประเทศ
ประเทศที่ไม่สามารถต่อผ่าน HTTPS ได้ ส่วนมากได้แก่ ประเทศกลุ่มตะวันออกกลาง แอฟริกาเหนือ และเอเชียกลาง โดยมีเพื่อนบ้านของเราคือพม่ารวมอยู่ด้วย ประเทศทั้งหมดมีดังนี้ Bahrain, Morocco, Algeria, Syria, Sudan, Iran, Lebanon, Jordan, Congo, Myanmar, Nigeria, Kazakhstan, Uzbekistan, Turkmenistan, Tajikistan, Kyrgyzstan
บริษัท Comodo ผู้ให้บริการด้านความปลอดภัย และเป็นผู้ให้บริการรับรองตัวตน (certificate) สำหรับการเข้ารหัสแบบ SSL ได้แจ้งข่าวว่าบริษัทได้ออกใบรับรองแก่ผู้ไม่หวังดีไปจำนวน 9 ใบ ทำให้ผู้ใช้อาจถูกหลอกลวงให้เข้าเว็บปลอมได้
ระบบการเข้ารหัสแบบ SSL ต้องการใบรับรองตัวตนที่ได้รับการรับรองจากหน่วยงานที่เชื่อถือได้ (Trusted Root Certification Authorities) ไม่เช่นนั้นเบราเซอร์จะแจ้งเตือนผู้ใช้เมื่อผู้ใช้พยายามเข้าเว็บที่มีการเข้ารหัสแบบ SSL ว่าใบรับรองตัวตนของเว็บนั้นไม่ถูกต้อง โดยระบบปฎิบัติการต่างๆ จะมีรายชื่อของหน่วยงานให้บริการรับรองที่เชื่อถือได้แตกต่างกันไป
ก่อนหน้านี้ Facebook เพิ่มตัวเลือกให้ใช้งาน HTTPS ตลอดเวลา ตอนนี้ถึงคราวของ Twitter บ้าง
ผู้ที่ต้องการใช้งาน Twitter ผ่าน HTTPS ต้องเข้าไปที่หน้า Settings และเลือก Always use HTTPS ซึ่งเป็นตัวเลือกใหม่ที่เพิ่มเข้ามา
ต่อให้ไม่เลือกตัวเลือกนี้ ตอนใส่รหัสผ่านบนเว็บไซต์ Twitter จะใช้ HTTPS อยู่แล้ว ส่วนคนที่เข้าเว็บเวอร์ชันมือถือจะต้องเข้าผ่าน https://mobile.twitter.com/ ด้วยตัวเอง
ตอนนี้มีเว็บไซต์หลายแห่งที่เปิดให้ใช้ HTTPS เข้าเว็บตลอดเวลา ดูได้จากข่าวเก่าหมวด SSL ครับ
หลังจากที่ fan page ของ Mark Zuckerberg ถูกแฮ็ก ทาง Facebook ก็เพิ่มระดับความปลอดภัยของเว็บไซต์ ด้วยการเปิดให้ผู้ใช้เลือกใช้งานผ่านโปรโตคอล HTTPS ได้ตลอดเวลาครับ
ก่อนหน้านี้โดยปกติแล้ว Facebook จะใช้โปรโตคอล HTTPS แค่ตอน log in เท่านั้น ซึ่งเปิดโอกาสให้มีการ "ไฮแจ็ก" session cookie ได้ อย่างที่ซอฟต์แวร์ Firesheep แสดงให้เห็นมาแล้วว่ามันอันตรายแค่ไหน
ก่อนหน้าข่าวการขู่ปิดบริการ BlackBerry ใน UAE นั้นข่าวใหญ่อีกข่าวหนึ่งคืออัพเดตที่ผู้ใช้บริการได้รับจาก Etisalat นั้นมีมัลแวร์อยู่ภายใน เหตุการณ์นี้เกิดขึ้นได้เพราะ Etisalat นั้นเป็น CA ระดับกลางทีี่ได้รับการรับรองจาก Verizon ที่เป็น root CA อีกทีหนึ่ง
การอัพเดตเครื่อง BlackBerry โดยส่งมัลแวร์ไปอย่างจงใจจากผู้ให้บริการเองทำให้ EFF ขอให้ Verizon พิจารณาที่จะถอดความเป็น CA ออกจาก Etisalat เนื่องจากสถานะ CA ชั้นกลางนี้ทำให้ Etisalat สามารถปลอมแปลงหน้าจอ HTTPS ของเว็บที่เข้ารหัสเช่น Gmail, EFF, Google จนถึงเว็บ Verizon เองได้
EFF ได้ออกส่วนเสริม (extension) สำหรับไฟร์ฟอกซ์เพื่อให้เบราเซอร์เรียกเว็บผ่านทางโปรโตคอล HTTPS ก่อน HTTP เสมอ พร้อมกับแจ้งเตือนเราเมื่อเว็บที่เราใช้งานไม่รองรับ HTTPS หรือรองรับเพียงบางส่วน โดยใช้ชื่อโครงการว่า HTTPS Everywhere
ทุกวันนี้การเข้าเว็บผ่านทางโปรโตคอล HTTP นั้นไม่มีการเข้ารหัสใดๆ และผู้ที่มีความรู้สักหน่อยก็สามารถแอบดูและชิงรหัสผ่านเว็บต่างๆ ของเราไปได้โดยง่าย หรือแม้การแอบเก็บข้อมูลเช่นการเข้าค้นหาข้อมูลผ่านกูเกิลเองก็มักไม่มีการเข้ารหัส จนกูเกิลต้องเปิดบริการผ่าน HTTPS ไปก่อนหน้านี้
ช่วงหลังๆ กูเกิลเริ่มให้ความสำคัญกับการเข้ารหัสข้อมูลมากขึ้นเรื่อยๆ นับแต่การปรับค่าพื้นฐานของ GMail ให้เป็น SSL มาถึงวันนี้ก็ได้เวลาของ Google Search
อย่างไรก็ตาม เราควรตระหนักว่าข้อมูลที่ส่งผ่าน SSL นั้นไม่ได้ทำให้ข้อมูลที่เราส่งไปยังกูเกิลน้อยลงแต่อย่างใด กูเกิลยังคงเก็บพฤติกรรมการใช้งานของเราเช่นเดิม แต่ผู้ให้บริการและผู้ไม่หวังดี (รวมถึงรัฐบาล) จะเข้ามาดูพฤติกรรมการใช้งานของเราได้ลำบากขึ้น
เริ่มใช้งานได้ทันที โดยพิมพ์ https ขึ้นต้น URL หรือเข้าที่นี่
ที่หลายคนอาจจะไม่รู้อีกคือทั้ง Facebook และ Twitter ก็รองรับ HTTPS แล้วเช่นกัน
เว็บไซต์ LiveSide.net รายงานว่า Hotmail รุ่นใหม่ซึ่งเป็นส่วนหนึ่งของ Windows Live Wave 4 (เช่นเดียวกับ Windows Live Messenger รุ่นล่าสุด) จะมีฟีเจอร์เพิ่มเติมหลายอย่าง
ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ
ต่อจาก กูเกิลเปิด HTTPS ใน Gmail เป็น Default ทางคณะกรรมการการค้าของสหรัฐหรือ FTC (ชื่อนี้จะเห็นบ่อยขึ้นเรื่อยๆ ในอนาคต) ได้ส่งสัญญาณเตือนให้เว็บไซต์อื่นๆ ใช้ HTTPS กันมากขึ้น
หนึ่งในกรรมการของ FTC คือ Pamela Jones Harbour กล่าวในปาฐกถาก่อนเริ่มประชุม FTC ว่าเว็บไซต์อย่าง Yahoo, Hotmail, Facebook ควรใช้ HTTPS ให้เป็นมาตรฐาน เพื่อความปลอดภัยของผู้ใช้ เธอยังแสดงความเห็นอีกว่า การเข้ารหัสข้อมูลเป็นการป้องกันที่ทำได้ง่าย และบริการบน cloud ทั้งหมดควรหันมาใช้กันได้แล้ว
ที่มา - EFF
กูเกิลเปิดบริการ HTTPS ใน Gmail มาได้สักระยะแล้ว โดยผู้ใช้สามารถเลือกได้ระหว่าง HTTP และ HTTPS เนื่องจากการใช้ HTTPS มีข้อด้อยคือช้ากว่า HTTP (เราสามารถเลือกใช้ HTTPS แบบถาวรโดยต้องตั้งค่าใน Settings)
แต่ไม่รู้ว่าเกี่ยวกับ Gmail ในจีนโดนโจมตี หรือเปล่า วันนี้กูเกิลออกมาประกาศว่า ต่อจากนี้ไป Gmail จะเปลี่ยนมาใช้ HTTPS เป็นค่า default แล้ว โดยกูเกิลยอมแลกความเร็วกับความปลอดภัยที่เพิ่มมากขึ้น
ผู้ใช้ยังสามารถปิด HTTPS ได้ผ่านตัวเลือก "Don't always use https" และถ้าใครใช้ Gears แล้วเกิดปัญหากับ HTTPS อ่านวิธีแก้ไขได้ครับ
เมื่อวันพฤหัสบดีที่ผ่านมามีการรายงานถึงปัญหาของมาตรฐาน TLS ทำให้เสี่ยงต่อการถูกโจมตี แบบ MITM (man-in-the-middle) ทำให้การเชื่อมต่อแม้จะเป็นแบบเข้ารหัสจะเสี่ยงต่อการแก้ไขข้อความที่ใช้ในการเชื่อมต่อ SSL ซึ่งสร้างความเสี่ยงอื่นๆ ตามมาในอนาคต
ปัญหานี้เกิดขึ้นจากความสามารถในการทำ Renegotiating ซึ่งมีระบุไว้ในมาตรฐาน TLS โดยกระบวนการโจมตีดังนี้
เมื่อสองเดือนก่อนมีรายงานช่องโหว่ของ Certificate ที่สามารถปลอมตัวเป็นเว็บอื่นได้จากปัญหาการนิยามมาตรฐาน ในวันนี้ก็เริ่มมีรายงานว่ามีการสร้าง Certificate ปลอมของ Paypal ทำให้เว็บตัวปลอมสามารถสวมรอยตัวเองเป็น Paypal ได้โดยเบราเซอร์ไม่เตือนใดๆ
ปัญหา Null Prefix เป็นปัญหาที่เกิดขึ้นจากการนิยามมาตรฐานของ Certificate ที่ใช้ภาษา ASN.1 ในการนิยาม แต่การนิยามแบบนี้อนุญาตให้มีการใส่อักขระ '\0' ลงในช่องอักษรได้ ขณะที่การเขียนโปรแกรมในภาษาซีนั้นจะมองอักขระ '\0' เป็นการจบสตริง
โลกอินเทอร์เน็ตทุกวันนี้เมื่อมีความต้องการส่งข้อมูลที่ต้องการความปลอดภัย มาตรฐานที่ได้รับการยอมรับมากที่สุดคงเป็น SSL โดยทั่วไปแล้วผู้ใช้ก็มักจะได้รับการบอกกล่าวว่าเวลาเห็นเครื่องหมายแม่กุญแจถูกล็อกก็แปลว่าปลอดภัยแล้ว
แต่เรื่องนี้กำลังไม่เป็นความจริงอีกต่อไป เมื่อทีมวิจัยอิสระกลุ่มหนึ่งได้พบช่องโหว่ในมาตรฐาน SSL นั่นคือการเปิดให้ใช้การย่อยข้อความ (hashing) แบบ MD5 ได้ทั้งที่เป็นที่รู้กันว่ากระบวนการนี้ไม่ปลอดภัยต่อการปลอมแปลงข้อมูลอีกต่อไป
PayPal เป็นหนึ่งในกิจการที่ถูกนำไปอ้างในการลวงเอาข้อมูลสำคัญ (phishing) มากที่สุดในโลก เพื่อแก้ไขปัญหานี้ PayPal กำลังจะไม่ยอมรับธุรกรรมทางการเงิน จากเบราว์เซอร์ที่ไม่สนับสนุน EV SSL
เบราว์เซอร์ที่ได้รับความนิยมที่จะใช้ PayPal ไม่ได้คือ IE รุ่นเก่าๆ ที่ไมโครซอฟท์เลิกสนับสนุนไปแล้ว และ Safari -- ส่วน Firefox และ Opera ประกาศจะสนับสนุน EV SSL ในรุ่นหน้า
นัยต่อผู้ใช้ PayPal ก็คือต้องหาเบราเซอร์ที่เหมาะสม และซื้อ EV SSL certificate จาก VeriSign
ที่มา: eWeek
หลายโปรแกรมอาจต้องการมีส่วนในการตรวจสอบความถูกต้องของหมายเลขประจำตัวประชาชน ซึ่งทางกรมสรรพากรก็ให้บริการเว็บเซอร์วิสนี้ เนื่องจากเว็บเซอร์วิสของกรมสรรพกรให้บริการโดยใช้ SSL เพื่อช่วยทำให้มีความปลอดภัยมากยิ่งขึ้น ดังนั้นต้องเข้าโดย “HTTPS” แทนที่จะเป็น “HTTP” ปกติ
ข้างล่างนี้โค้ดที่ใช้ในการเรียกใช้เว็บเซอร์วิสและโอเปอเรชันดังกล่าว และใช้โปรแกรม XTrustProvider.java ที่ SSL Trust Provider for Java เพื่อใช้ในการเรียกเว็บเซอร์วิสที่เข้าถึงโดย HTTPS