By lew Founder on Tag: Firefox, TLS, HTTPS, Privacy
Firefox

Firefox เพิ่งออกเวอร์ชั่น 118 เมื่อปลายเดือนกันยายนที่ผ่านมา โดยฟีเจอร์สำคัญตัวหนึ่งคือการเข้ารหัสข้อความเริ่มต้นเชื่อมต่อ TLS ตามมาตรฐาน Encrypted Client Hello (ECH) ที่เข้ารหัสข้อมูลแทบทั้งหมด ทำให้การดักฟังการเชื่อมต่อไม่สามารถมองเห็นได้ว่าผู้ใช้กำลังเชื่อมต่อไปยังโดเมนอะไร

By mk Founder on Tag: OpenSSL, Open Source, SSL, TLS
OpenSSL

โครงการ OpenSSL ไลบรารีพื้นฐานสำหรับเข้ารหัสเพื่อสื่อสารตามโปรโตคอล SSL/TLS ประกาศหยุดซัพพอร์ต (End of Life) เวอร์ชัน 1.1.1 ซึ่งถือเป็นการสิ้นสุดของสาย OpenSSL 1.x

OpenSSL 1.1.1 เป็นเวอร์ชันซัพพอร์ตระยะยาว (LTS) ที่ออกมาตั้งแต่ปี 2018 มีระยะเวลาซัพพอร์ตนาน 5 ปีเต็ม ตอนนี้สิ้นสุดแล้วตามแผนการที่ประกาศไว้เมื่อ 5 ปีก่อน

ผู้ใช้งานจำเป็นต้องอัพเกรดไปใช้ OpenSSL 3.x โดยมีทางเลือก 2 ทางคือ

  • OpenSSL 3.0 LTS ซัพพอร์ตถึงเดือนกันยายน 2026
  • OpenSSL 3.1 ซัพพอร์ตถึงเดือนมีนาคม 2025

ที่มา - OpenSSL via The Register

By mk Founder on Tag: Windows 11, Operating System, TLS, Microsoft
Windows 11

ไมโครซอฟท์ประกาศแผนการหยุดรองรับโปรโตคอล Transport Layer Security (TLS) เวอร์ชันเก่า 1.0 และ 1.1 โดยจะเริ่มจาก Windows 11 Insider Preview ที่จะออกในเดือนกันยายน 2023 เป็นต้นไป

TLS 1.0 ออกในปี 1999 ส่วน TLS 1.1 ออกปี 2006 ถือว่าล้าสมัยและมีจุดบกพร่องความปลอดภัยหลายด้าน โปรโตคอลเวอร์ชันล่าสุดตอนนี้คือ TLS 1.3 ออกในปี 2018

By mk Founder on Tag: iOS 15, Apple, TLS, Operating System, Xcode, Monterey
iOS 15

แอปเปิลประกาศนโยบายระบบปฏิบัติการใหม่ของปี 2021 ทุกตัวคือ iOS 15, iPadOS 15, macOS 12 Monterey, watchOS 8, tvOS 15 เตรียมเลิกใช้โปรโตคอล TLS เวอร์ชันเก่าคือ 1.0 และ 1.1 แล้ว (deprecated) และจะถอดออกถาวรในอนาคต จากนี้ไปจะรองรับเฉพาะ TLS 1.2 ขึ้นไปเท่านั้น

คณะทำงาน Internet Engineering Task Force (IETF) ประกาศเลิกใช้ TLS 1.0 และ 1.1 ตั้งแต่เดือนมีนาคม 2021 และมีโปรแกรมหลายตัวที่ประกาศหยุดรองรับแล้ว เช่น Firefox หรือ Edge

By mk Founder on Tag: Apache, Web Server, Rust, TLS, SSL, Security, ISRG
Apache

ผู้ใช้ Apache Web Server คงคุ้นเคยกับ mod_ssl ที่ใช้จัดการ HTTPS โดยโมดูลนี้เขียนด้วยภาษา C ซึ่งมีปัญหาตามมาเรื่องความปลอดภัยที่ระดับตัวภาษา และที่ผ่านมาก็พบช่องโหว่ความปลอดภัยมากมาย

ล่าสุด กูเกิลประกาศสนับสนุนโครงการใหม่ mod_tls ที่ทำงานแบบเดียวกัน แต่เขียนด้วยภาษา Rust ที่ออกแบบมาให้ปลอดภัยมากขึ้น (memory safety)

By lew Founder on Tag: Netflix, TLS, Security
Netflix

Netflix รายงานถึงการใช้โปรโตคอล TLS 1.3 เวอร์ชั่นล่าสุดของมาตรฐาน TLS โดยทดสอบประสิทธิภาพจริงจากเครื่องผู้ใช้

By mk Founder on Tag: Microsoft Edge, Browser, Microsoft, TLS
Microsoft Edge

Microsoft Edge ประกาศแผนการยกเลิก TLS 1.0 และ 1.1 ในเวอร์ชัน 84 ที่จะออกในเดือนกรกฎาคม 2020 โดยผู้ที่จำเป็นต้องใช้ TLS 1.0/1.1 ยังสามารถเปิดกลับคืนได้อยู่ (ปิดเป็นค่าดีฟอลต์)

ส่วน IE11 และ Edge ตัวเก่า (ปัจจุบันเรียก Edge Legacy) จะปิดการทำงานของ TLS 1.0/1.1 ในเดือนกันยายน 2020

By lew Founder on Tag: Firefox, COVID-19, Security, TLS
Firefox

Firefox ออกเวอร์ชั่น 74 ตั้งแต่ต้นเดือนที่ผ่านมา โดยความเปลี่ยนแปลงสำคัญคือปิดการรองรับ TLS 1.0 และ 1.1 เป็นค่าเริ่มต้น แม้ผู้ใช้จะสามารถกดเปิดได้เองก็ตาม แต่ล่าสุดทาง Mozilla ก็ตัดสินใจยกเลิกฟีเจอร์นี้โดยระบุว่า "เพื่อเปิดทางให้ผู้ใช้เข้าถึงข้อมูลสำคัญเกี่ยวกับโรค COVID-19 ในเว็บรัฐบาล"

ทาง Mozilla ไม่ได้ระบุว่าเว็บรัฐบาลใดที่ยังไม่ได้อัพเดตโปรโตคอลจนทำให้ต้องตัดสินใจเช่นนี้

By nutmos Writer on Tag: Firefox, Mozilla, Browser, Security, TLS
Firefox

วันนี้ Mozilla ปล่อย Firefox 74 อย่างเป็นทางการแล้วทุกแพลตฟอร์ม โดยฟีเจอร์สำคัญในรอบนี้คือเพิ่มกฎสำหรับ add-on ที่เข้มงวดขึ้น รวมถึงปิดการใช้งาน TLS 1.0 และ TLS 1.1 เป็นค่าเริ่มต้น

ในเรื่อง add-on ถือเป็นประเด็นใหญ่ในอัพเดต 74 โดย Firefox จะอนุญาตให้ผู้ใช้งานเท่านั้นที่มีสิทธิ์ติดตั้ง add-on บน Firefox และ Add-on Manager จะสามารถลบ add-on ทุกตัวที่ติดตั้งจากแอปภายนอกได้ทั้งหมด (เข้าไปที่ about:addons บน Firefox) ซึ่งกฎใหม่นี้จะช่วยลดการติดตั้ง add-on ที่ไม่พึงประสงค์และไม่ปลอดภัยได้ เนื่องจาก add-on เหล่านี้มักจะติดตั้งอัตโนมัติจากโปรแกรมภายนอก

By mk Founder on Tag: Firefox, Mozilla, HTTPS, TLS, Security
Firefox

Mozilla ประกาศแผนหยุดซัพพอร์ตโปรโตคอล Transport Layer Security (TLS) เวอร์ชันเก่า 1.0 และ 1.1 บน Firefox โดยจะเริ่มมีผลใน Firefox 74 ที่จะออกตัวจริงช่วงเดือนมีนาคม 2020

เหตุผลที่เลิกใช้ TLS 1.0 และ 1.1 เป็นเพราะพบช่องโหว่ที่ถูกใช้โจมตีมากขึ้นเรื่อยๆ เช่น ช่องโหว่ BEAST, CRIME, POODLE ในขณะที่โปรโตคอลเวอร์ชันใหม่ TLS 1.3 ออกตั้งแต่ปี 2018 และรองรับตั้งแต่ Firefox 63

By nismod Writer on Tag: Google, Department of Justice, Antitrust, DNS, TLS, Chrome
Google

Wall Street Journal รายงานว่ากระทรวงยุติธรรมสหรัฐกำลังจะสอบสวน Google หลังเตรียมบังคับใช้โปรโตคอล DNS over HTTPS บน Chrome ซึ่งจะทำให้ Google สามารถเข้าถึงข้อมูลทราฟฟิคของผู้ใช้งานได้แต่เพียงรายเดียว สุ่มเสี่ยงต่อการผูกขาดการเข้าถึงข้อมูล

ประเด็นที่กระทรวงยุติธรรมจะสอบสวนคือ Google จะนำข้อมูลทราฟฟิคที่ผูกขาดเหล่านั้นไปใช้งานในเชิงพาณิชย์หรือไม่ หลังได้รับคำร้องเรียนหลังได้รับคำร้องเรียนจากหลายฝ่ายโดยเฉพาะ ISP

By nismod Writer on Tag: Firefox, TLS, Browser, HTTPS
Firefox

ผู้ผลิตเบราว์เซอร์รายใหญ่ประกาศจะหยุดการรับรอง TLS 1.0, 1.1 ในช่วงต้นปีหน้ามาตั้งแต่ปีที่แล้ว ล่าสุด Firefox เป็นเจ้าแรกที่ออกมายกเลิกการรับรอง TLS 1.0 และ 1.1 ในเวอร์ชัน Nightly เพื่อเตรียมยกเลิกการใช้งานในเวอร์ชันเสถียรต้นปีหน้า

เว็บไซต์ที่ยังใช้งานแค่ TLS 1.0, 1.1 หากเข้าผ่าน Firefox Nightly จะไม่สามารถเปิดได้และขึ้นเป็น "secure connection failed"

By lew Founder on Tag: Browser, Internet, HTTPS, TLS
Browser

กูเกิล, ไมโครซอฟท์, มอซิลล่า, และแอปเปิล สี่ผู้ผลิตเบราว์เซอร์สำคัญประกาศแผนการหยุดรองรับการเชื่อมต่อ TLS 1.0 และ 1.1 มีกำหนดที่เดือนมีนาคม 2020

TLS 1.0 ออกมาตั้งแต่ปี 1999 และกำลังจะครบรอบ 20 ปีในต้นปีหน้า ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วแนะคงมีการใช้งานมากขึ้นในเร็วๆ นี้

เซิร์ฟเวอร์ส่วนมากในตอนนี้รองรับการเชื่อมต่อทุกรูปแบบตั้งแต่ TLS 1.0 เป็นต้นมา อย่างไรก็ตาม การเชื่อมต่อจริงนั้นมักกลายเป็น TLS 1.2 แทบทั้งหมดแล้ว ไมโครซอฟท์ระบุว่าการเชื่อมต่อบน Edge นั้นเป็น TLS 1.2 ถึง 99.28% ส่วนแอปเปิลก็ระบุว่าสูงถึง 99.6%

By koronin Contributor on Tag: Firefox, Android, Browser, TLS
Firefox

Firefox 61 มีให้ดาวน์โหลดแล้วบน Play Store ฟีเจอร์เด่นซึ่งยังไม่มีในเบราว์เซอร์ตัวอื่นเลยคือการสนับสนุน TLS 1.3 draft 28 ซึ่งถือเป็น final draft ที่กำลังจะออกเป็นมาตรฐาน

ส่วนกำหนดการออกอย่างเป็นทางการสำหรับแพลตฟอร์มหลักนั้นคือวันอังคารนี้

By nismod Writer on Tag: Android Pie, Android, DNS, TLS, Domain Name
Android Pie

จากที่เคยมีการพบโค้ดใน AOSP เกี่ยวกับการรองรับ DNS over TLS ล่าสุด Google ประกาศแล้วว่าฟีเจอร์นี้เริ่มมีให้นักพัฒนาทดสอบแล้วบน Android P Developer Preview

โหมด Private DNS จะอยู่ในตัวเลือก Network & Internet ในหน้า Setting โดย Google ระบุว่าฟีเจอร์นี้จะเปิดเป็นดีฟอลต์หากเซิร์ฟเวอร์ DNS รองรับ โดยผู้ใช้สามารถปิดได้ รวมถึงสามารถเลือกเซิร์ฟเวอร์ผู้ใหับริการ DNS เองด้วยเช่นกัน ขณะที่นักพัฒนาแอปแอนดรอยด์สามารถเชื่อมแอปเข้ากับโปรโตคอลนี้ได้ด้วย API LinkProperties.isPrivateDnsActive().

By lew Founder on Tag: IETF, TLS
IETF

มาตรฐานการเชื่อมต่อแบบเข้ารหัส TLS 1.3 ผ่านโหวตเป็นที่เรียบร้อยหลังจากแก้ไขร่างมาถึง 28 รอบ รวมระยะเวลาพัฒนามาตรฐานสี่ปีเต็ม โดยมีการปรับปรุงหลายอย่าง เช่น

By mk Founder on Tag: Chrome, Browser, TLS
Chrome

Chrome 65 เข้าสู่สถานะเสถียรทั้งบนพีซีและ Android โดยเวอร์ชันพีซีไม่มีฟีเจอร์ใหม่สำหรับผู้ใช้งาน แต่รองรับ API หลายอย่างสำหรับนักพัฒนา เช่น CSS Paint API, Server Timing API, Web Authentication API และโพรโทคอลการเข้ารหัส TLS 1.3 เวอร์ชันร่าง

ส่วน Chrome for Android เพิ่มตัวเลือกการตั้งค่าภาษาที่ต้องการ (ในกรณีเว็บเพจรองรับหลายภาษา), เพิ่มตัวเลือกแสดงหน้าเว็บแบบง่าย (simplified view) ถ้าเว็บไซต์รองรับ และปรับ UI ของหน้าดาวน์โหลด ให้ลบและแชร์ไฟล์ที่ดาวน์โหลดมาง่ายขึ้น

ที่มา - Chrome Releases, Chrome Releases (Android), 9to5google

By nutmos Writer on Tag: Android, TLS, DNS, Open Source, Domain Name
Android

ปัจจุบันระบบ Domain Name Server หรือ DNS ที่เราใช้เพื่อแปลงจาก URL เป็นไอพีแอดเดรสจริง ๆ ของเว็บไซต์นั้น ยังคงมีช่องโหว่ที่สำคัญคือ การเรียก DNS นั้นยังคงถูกทำในรูปแบบของ plain text ผ่านโปรโตคอล UDP หรือ TCP แต่ล่าสุด XDA Developers ก็พบว่ามีคอมมิทจำนวนมากใน Android Open Source Project เกี่ยวกับ DNS over TLS ซึ่งก็หมายความว่าอีกไม่นานนัก Android ก็น่าจะรองรับฟีเจอร์นี้แล้ว

By lew Founder on Tag: TLS, Chrome
TLS

Chrome 56 ปล่อยมาตั้งแต่เดือนมกราคม มีฟีเจอร์ที่เพิ่มมาเงียบๆ คือการรองรับ TLS 1.3 ที่ยังเป็นร่างมาตรฐานอยู่ ปรากฎว่าคอมพิวเตอร์ในองค์กรจำนวนมากที่อยู่หลังพรอกซี่ กลับไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้เนื่องจากพรอกซี่ไม่รองรับ

รายงานตอนนี้พบว่า Blue Coat 6.5 ตัดการเชื่อมต่อทันทีที่ Chrome 56 เริ่มต้นการเชื่อมต่อด้วย TLS 1.3 แม้ว่าทีมงาน Chrome จะยืนยันว่าเป็นบั๊กของ Blue Coat แต่ก็ยอมปิด TLS 1.3 ไว้เป็นค่าเริ่มต้น

By lew Founder on Tag: Cryptography, TLS, Security
Cryptography

กระบวนการเข้ารหัสเก่าๆ ที่เคยมีความแข็งแกร่งเมื่อนานไปความแข็งแกร่งก็ไม่เพียงพอที่จะป้องกันข้อมูลได้อีกต่อไป ล่าสุดนักวิจัยจากสถาบันวิจัย INRIA ฝรั่งเศส ได้นำเสนอรายงาน SWEET32 สาธิตการเจาะข้อมูลเข้ารหัส เมื่อข้อมูลถูกส่งซ้ำๆ ผ่านการเข้ารหัสแบบ block cipher ขนาด 64 บิต

Subscribe to TLS