Tags:
Node Thumbnail

กูเกิล, ไมโครซอฟท์, มอซิลล่า, และแอปเปิล สี่ผู้ผลิตเบราว์เซอร์สำคัญประกาศแผนการหยุดรองรับการเชื่อมต่อ TLS 1.0 และ 1.1 มีกำหนดที่เดือนมีนาคม 2020

TLS 1.0 ออกมาตั้งแต่ปี 1999 และกำลังจะครบรอบ 20 ปีในต้นปีหน้า ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วแนะคงมีการใช้งานมากขึ้นในเร็วๆ นี้

เซิร์ฟเวอร์ส่วนมากในตอนนี้รองรับการเชื่อมต่อทุกรูปแบบตั้งแต่ TLS 1.0 เป็นต้นมา อย่างไรก็ตาม การเชื่อมต่อจริงนั้นมักกลายเป็น TLS 1.2 แทบทั้งหมดแล้ว ไมโครซอฟท์ระบุว่าการเชื่อมต่อบน Edge นั้นเป็น TLS 1.2 ถึง 99.28% ส่วนแอปเปิลก็ระบุว่าสูงถึง 99.6%

Tags:
Node Thumbnail

Firefox 61 มีให้ดาวน์โหลดแล้วบน Play Store ฟีเจอร์เด่นซึ่งยังไม่มีในเบราว์เซอร์ตัวอื่นเลยคือการสนับสนุน TLS 1.3 draft 28 ซึ่งถือเป็น final draft ที่กำลังจะออกเป็นมาตรฐาน

ส่วนกำหนดการออกอย่างเป็นทางการสำหรับแพลตฟอร์มหลักนั้นคือวันอังคารนี้

Tags:
Node Thumbnail

จากที่เคยมีการพบโค้ดใน AOSP เกี่ยวกับการรองรับ DNS over TLS ล่าสุด Google ประกาศแล้วว่าฟีเจอร์นี้เริ่มมีให้นักพัฒนาทดสอบแล้วบน Android P Developer Preview

โหมด Private DNS จะอยู่ในตัวเลือก Network & Internet ในหน้า Setting โดย Google ระบุว่าฟีเจอร์นี้จะเปิดเป็นดีฟอลต์หากเซิร์ฟเวอร์ DNS รองรับ โดยผู้ใช้สามารถปิดได้ รวมถึงสามารถเลือกเซิร์ฟเวอร์ผู้ใหับริการ DNS เองด้วยเช่นกัน ขณะที่นักพัฒนาแอปแอนดรอยด์สามารถเชื่อมแอปเข้ากับโปรโตคอลนี้ได้ด้วย API LinkProperties.isPrivateDnsActive().

ที่มา - Android Developer

Tags:
Topics: 
Node Thumbnail

มาตรฐานการเชื่อมต่อแบบเข้ารหัส TLS 1.3 ผ่านโหวตเป็นที่เรียบร้อยหลังจากแก้ไขร่างมาถึง 28 รอบ รวมระยะเวลาพัฒนามาตรฐานสี่ปีเต็ม โดยมีการปรับปรุงหลายอย่าง เช่น

Tags:
Node Thumbnail

Chrome 65 เข้าสู่สถานะเสถียรทั้งบนพีซีและ Android โดยเวอร์ชันพีซีไม่มีฟีเจอร์ใหม่สำหรับผู้ใช้งาน แต่รองรับ API หลายอย่างสำหรับนักพัฒนา เช่น CSS Paint API, Server Timing API, Web Authentication API และโพรโทคอลการเข้ารหัส TLS 1.3 เวอร์ชันร่าง

ส่วน Chrome for Android เพิ่มตัวเลือกการตั้งค่าภาษาที่ต้องการ (ในกรณีเว็บเพจรองรับหลายภาษา), เพิ่มตัวเลือกแสดงหน้าเว็บแบบง่าย (simplified view) ถ้าเว็บไซต์รองรับ และปรับ UI ของหน้าดาวน์โหลด ให้ลบและแชร์ไฟล์ที่ดาวน์โหลดมาง่ายขึ้น

ที่มา - Chrome Releases, Chrome Releases (Android), 9to5google

Tags:
Node Thumbnail

ปัจจุบันระบบ Domain Name Server หรือ DNS ที่เราใช้เพื่อแปลงจาก URL เป็นไอพีแอดเดรสจริง ๆ ของเว็บไซต์นั้น ยังคงมีช่องโหว่ที่สำคัญคือ การเรียก DNS นั้นยังคงถูกทำในรูปแบบของ plain text ผ่านโปรโตคอล UDP หรือ TCP แต่ล่าสุด XDA Developers ก็พบว่ามีคอมมิทจำนวนมากใน Android Open Source Project เกี่ยวกับ DNS over TLS ซึ่งก็หมายความว่าอีกไม่นานนัก Android ก็น่าจะรองรับฟีเจอร์นี้แล้ว

การรองรับ DNS over TLS นั้น จะทำให้การส่งข้อมูลโดยใช้ DNS นั้นถูกเข้ารหัสในลักษณะเดียวกับ HTTPS ซึ่งจะเป็นการเพิ่มความปลอดภัยและความเป็นส่วนตัวให้ผู้ใช้ แต่ทั้งนี้ฝั่งผู้ให้บริการ DNS ก็ต้องรองรับการเข้ารหัสด้วยเช่นกัน ซึ่งแน่นอนว่าปัจจุบันมีผู้ให้บริการเพียงน้อยรายเท่านั้นที่รองรับ

Tags:
Topics: 
Node Thumbnail

Chrome 56 ปล่อยมาตั้งแต่เดือนมกราคม มีฟีเจอร์ที่เพิ่มมาเงียบๆ คือการรองรับ TLS 1.3 ที่ยังเป็นร่างมาตรฐานอยู่ ปรากฎว่าคอมพิวเตอร์ในองค์กรจำนวนมากที่อยู่หลังพรอกซี่ กลับไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้เนื่องจากพรอกซี่ไม่รองรับ

รายงานตอนนี้พบว่า Blue Coat 6.5 ตัดการเชื่อมต่อทันทีที่ Chrome 56 เริ่มต้นการเชื่อมต่อด้วย TLS 1.3 แม้ว่าทีมงาน Chrome จะยืนยันว่าเป็นบั๊กของ Blue Coat แต่ก็ยอมปิด TLS 1.3 ไว้เป็นค่าเริ่มต้น

หากอิมพลีเมนต์อย่างถูกต้อง แม้พรอกซี่จะรองรับ TLS 1.2 แต่เมื่อเชื่อมต่อ TLS 1.3 ก็ควรจะเชื่อมต่อกันต่อไปได้ ตอนนี้กูเกิลกลับไปทำงานร่วมกับผู้ผลิตพรอกซี่เพื่อปรับปรุงการทำงานร่วมกับ TLS 1.3 ต่อไป

Tags:
Node Thumbnail

กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต

เนื่องจากบล็อคขนาด 64 บิตมีขนาดไม่ใหญ่เกินไปนัก โอกาสที่เข้ารหัสแล้วจะเจอบล็อคที่มีข้อมูลซ้ำกันจะอยู่ที่ประมาณ 2^32.3 (จำนวนบล็อคน้อยกว่าความเป็นไปได้ทั้งหมด 2^64 มากตามหลัก birthday attack) บล็อค เมื่อเจอบล็อคที่ซ้ำกันแล้ว หากมีบล็อคหนึ่งเป็นบล็อคที่รู้ข้อความภายในอยู่แล้ว ก็จะสามารถดูข้อความที่ไม่รู้ได้ทันที

Tags:
Node Thumbnail

ยุคก่อนที่จะมี Let's Encrypt ที่ให้บริการใบรับรองเข้ารหัสฟรี StartCom เคยให้บริการใบรับรองฟรีมาก่อนแล้วในชื่อ StartSSL แม้จะมีกระบวนการค่อนข้างยุ่งยากสักหน่อยก็ตาม ตอนนี้ทาง StartCom ก็มาเปิดบริการแข่งกับ Let's Encrypt ในชื่อ StartEncrypt

StartEncrypt จะมีไคลเอนต์บนเครื่องที่ต้องการขอใบรับรอง โดยไม่ได้ใช้โปรโตคอล ACME ที่ออกแบบมาเพื่อการขอใบรับรองดิจิตอลอัตโนมัติจาก Let's Encrypt แต่ใช้โปรโตคอลของตัวเอง จุดต่างสำคัญคือการออกใบรับรองทีละ 1 ปีเช่นเดียวกับ StartSSL เดิม เป็นจุดที่หลายคนอาจจะไม่ชอบ Let's Encrypt ที่ออกใบรับรองครั้งละเพียง 90 วันเท่านั้น

Tags:
Node Thumbnail

กระบวนการรับรอง SSL/TLS Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์” (ต่อไปจะเรียกว่า TLS Certificate) จะผ่านทาง Certificate Authority หรือ “ผู้ออกใบรับรองอิเล็กทรอนิกส์” (CA)

โดยเว็บเบราว์เซอร์หรือระบบปฏิบัติการ (ต่อไปจะเรียกว่า client) จะมีรายการที่เรียกว่า Trusted Root Certification Authorities หรือ “รายการใบรับรองอิเล็กทรอนิกส์ของผู้ออกใบรับรองอิเล็กทรอนิกส์สำหรับผู้อื่น” อยู่ภายใน โดยมากมักอ้างอิงกับตัวระบบปฏิบัติการเป็นหลัก ซึ่งจะบรรจุ Root Certificate หรือ “ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด” เพื่อให้ client สามารถเชื่อใบรับรองอิเล็กทรอนิกส์ที่ได้รับรองจาก Certificate Authority เหล่านั้น (Trust any certificates issued by the Certificate Authorities)

Tags:
Node Thumbnail

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

Tags:
Node Thumbnail

Atmel ผู้ผลิตไมโครคอนโทรลเลอร์โดยเฉพาะชิป AVR ที่ใช้งานในแพลตฟอร์ม Arduino ประกาศแพลตฟอร์ม HW-TLS ที่อินเทอร์เฟซระหว่างฮาร์ดแวร์เข้ารหัส คือชิป ATECC508A และซอฟต์แวร์คือ OpenSSL และ wolfSSL

แพลตฟอร์มฝั่ง OpenSSL นั้นเปิดซอร์สไว้บน GitHub ส่วน wolfSSL เป็นไลบรารีแบบ GPL ที่หากต้องการใช้งานแบบปิดซอร์สจะต้องซื้อไลเซนส์การค้า

ATECC508A จะช่วยเข้ามาจัดการปกป้องกุญแจลับไม่ให้รั่วไหล มีฮาร์ดแวร์สุ่มค่าในตัว พร้อมกับแยกการคำนวณ ECC ออกไปอยู่บนตัวชิป

Tags:
Node Thumbnail

Gmail ออกมาตรการเพิ่มความปลอดภัยให้ผู้ใช้ 2 อย่างดังนี้

  • ถ้ารับหรือส่งเมลไปยังปลายทาง ที่เมลเซิร์ฟเวอร์ไม่รองรับการเข้ารหัสผ่าน TLS เราจะเห็นไอคอนแม่กุญแจสีแดงโผล่ขึ้นมาในหน้าจอเขียนเมล พร้อมคำเตือนว่าเนื้อหาในอีเมลอาจถูกดักฟังได้
  • ถ้าได้รับเมลจากผู้ส่งที่ยืนยันตัวตนไม่ได้ (authentication) ไอคอนประจำตัวผู้ส่งจะกลายเป็นรูปเครื่องหมายคำถามสีแดง เพื่อให้เรารู้ว่าอาจเป็นผู้ส่งตัวปลอม

ที่มา - Gmail Blog

ไอคอนแม่กุญแจสีแดงที่มุมด้านขวามือของหน้า New Message กดแล้วจะขึ้นคำเตือน

Tags:
Node Thumbnail

AWS เปิดบริการ AWS Certificate Manager ทำให้ลูกค้าที่ใช้ Elastic Load Balancing และ CloudFront สามารถให้บริการเว็บเข้ารหัสได้โดยไม่ต้องเสียเงินค่าใบรับรองเพิ่มเติมอีก

เมื่อปีที่แล้วอเมซอนยื่นเรื่องขอเป็น root CA ในฐานข้อมูลของมอซิลล่าและแอนดรอยด์ แต่ระหว่างนี้ใบรับรองจะได้รับการรับรองโดย "Amazon Root CA 1" ที่ถูกรับรองโดย "Starfield Services Root Certificate Authority - G2" ต่อมาอีกที

Tags:
Node Thumbnail

ทีมวิจัยจากสถาบันวิจัย INRIA ในฝรั่งเศสนำเสนอช่องโหว่ใหม่ในมาตรฐาน TLS 1.2 ที่รองรับกระบวนการเซ็นลายเซ็นรับรองข้อความแบบ RSA-MD5 จากเดิมที่ TLS 1.1 ลงไปจะบังคับให้ใช้แฮช MD5 ต่อกับ SHA1 เท่านั้น

มาตรฐาน TLS 1.2 เปิดให้เซิร์ฟเวอร์สามารถเซ็นด้วยแฮชใดๆ ก็ได้เพื่อเปิดช่องทางให้เซิร์ฟเวอร์สามารถเลือกกระบวนการแฮชที่แข็งแรงขึ้นเช่น SHA-256 หรือ SHA-512 แต่การออกแบบเช่นนี้ก็ทำให้เซิร์ฟเวอร์เปิดรองรับกระบวนการเซ็นด้วย MD5 ไปด้วย

Tags:
Node Thumbnail

โครงการใบรับรองดิจิตอลฟรี Let's Encrypt เพิ่งเปิดให้บริการต่อสาธารณะไม่กี่วัน กลุ่มอำนาจเก่าผู้เสียผลประโยชน์ อย่าง GoDaddy และ Namecheap ก็ออกมาเคลื่อนไหว

ฝั่ง Namecheap นั้นออกมาเขียนบล็อกโจมตี ระบุข้อเสียของใบรับรองดิจิตอลฟรี ระบุว่าใบรับรองฟรีนั้นเพียงแค่เพิ่มการเข้ารหัสท่านั้น และไม่ได้ตรวจสอบผู้รับใบรับรองก่อนที่จะมอบใบรับรอง (ซึ่งไม่จริง เพราะ Let's Encrypt นั้นตรวจสอบผู้ถือครองโดเมน)

ขณะที่ GoDaddy ก็ออกหน้าเปรียบเทียบใบรับรอง และระบุว่าการทำเว็บเพื่อการค้านั้นต้องใช้ใบรับรองแบบ Extended Validation เท่านั้น

Tags:
Node Thumbnail

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

Tags:
Node Thumbnail

ศูนย์วิจัย Microsoft Research-Inria Joint Centre สร้างไลบรารี TLS ที่ตั้งเป้าหมายว่าจะตรวจสอบทางคณิตศาสตร์ได้ว่าไม่มีช่องโหว่ให้โจมตีได้ ใช้ชื่อว่า miTLS

ตัวไลบรารีเขียนด้วยภาษา F# และสร้างสเปคการตรวจสอบด้วยภาษา F7 และเวอร์ชั่นใหม่จะพัฒนาด้วยภาษา F*

Tags:
Node Thumbnail

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Tags:
Node Thumbnail

ทีมวิจัยร่วมกันสามชาติ เนเธอร์แลนด์, ฝรั่งเศส, และสิงคโปร์ แถลงผลงานวิจัยการสร้างค่าที่มีค่าแฮช SHA1 ตรงกัน (SHA1 collision) ด้วยต้นทุนเพียง 75,000 ถึง 120,000 ดอลลาร์หากเช่าเครื่องจาก Amazon EC2 จากเดิมที่ Bruce Schneier เคยประมาณการณ์ว่าปี 2015 จะใช้ทุนประมาณ 700,000 ดอลลาร์

งานวิจัยนี้แสดงความง่ายของการสร้างข้อมูลที่มีค่าแฮชตรงกัน จากฟังก์ชั่น SHA1 compression function โดยคลัสเตอร์ของทีมวิจัยสามารถปลอมค่าแฮชจากฟังก์ชั่นนี้ได้ในเวลาเพียง 10 วัน แม้ว่าจะไม่ได้แสดงการปลอม SHA1 โดยตรง แต่ทีมงานวิจัยก็ระบุว่ากระบวนการปลอมค่าจากฟังก์ชั่นที่นำเสนอแสดงให้เห็นว่าเป็นไปได้ที่จะปลอมค่า SHA1 โดยตรงด้วยต้นทุนที่ต่ำกว่าที่เคยคาดกันมาก

Tags:
Node Thumbnail

หลังจากผู้ผลิตเบราว์เซอร์หลักประกาศแนวทางหยุดรองรับ RC4 ต้นปีหน้า ตอนนี้กูเกิลก็ออกมาประกาศแนวทางว่าไคลเอนต์ที่จะเชื่อมต่อกับกูเกิลได้ต้องรองรับอะไรบ้างเพื่อให้แน่ใจว่าจะทำงานต่อไปได้หลังการอัพเกรดกระบวนการเข้ารหัส

เงื่อนไขที่กูเกิลระบุมี 5 ข้อ ได้แก่

Tags:
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยหลายแห่งและไมโครซอฟท์ประกาศช่องโหว่ของ TLS ที่ชื่อว่า Logjam สามารถเจาะการเชื่อมต่อทำให้การเชื่อมต่อไปใช้มาตรฐานการเชื่อมต่อ Diffie-Hellman ขนาด 512 บิต หรือ DHE_EXPORT และสามารถถอดรหัสได้โดยง่าย

Tags:
Node Thumbnail

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Tags:
Node Thumbnail

เหตุการณ์ CNNIC ออกใบรับรองให้กับ MCS Holdings นำไปออกใบรับรองของโดเมนอื่นๆ โดยไม่ได้รับอนุญาต ทำให้ทางกูเกิลและมอสซิลล่าประกาศถอด CNNIC ออกจากรายชื่อหน่วยงานรับรองที่เชื่อถือได้ และบังคับให้ CNNIC ต้องยื่นเรื่องสมัครเข้ามาใหม่พร้อมกับยอมรับเงื่อนไขเพิ่มเติม แต่ท่าทีของแอปเปิลและไมโครซอฟท์ตอนนี้ยังคงยอมรับ CNNIC ต่อไป

Tags:
Node Thumbnail

กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้

โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่

Pages