Tags:
Node Thumbnail

กูเกิลประกาศหยุดเชื่อถือใบรับรองของ WoSign และ StartCom (ที่ถูก WoSign ซื้อในปี 2015) ไปตั้งแต่ปีที่แล้ว โดยตอนนี้ยังมีเซิร์ฟเวอร์จำนวนหนึ่งใช้งานใบรับรองของทั้งสองบริษัทอยู่ แต่ในเวอร์ชั่นล่าสุดกูเกิลก็ประกาศชัดเจนแล้วว่าจะถอดใบรับรองของ CA ทั้งสองออกอย่างถาวร

มาตรการก่อนหน้านี้ของกูเกิลคือการไม่เชื่อถือใบรับรองที่ออกหลังวันที่ 21 ตุลาคม 2016 หลังจากนั้นมีการจำกัดเซิร์ฟเวอร์ที่ใช้งานได้ไว้สำหรับหนึ่งล้านเว็บแรกตามอันดับของ Alexa เท่านั้น

Tags:
Node Thumbnail

คดี WoSign ออกใบรับรองผิดพลาดและควบรวมกับ StartCom โดยไม่แจ้งผู้ผลิตเบราว์เซอร์ให้รับทราบใกล้มาถึงบทสรุปเมื่อทางกูเกิลประกาศหยุดเชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกหลังวันที่ 21 ตุลาคมที่ผ่านมา

กูเกิลแจ้งเตือนว่ากระบวนการตรวจสอบเพื่อให้แน่ใจว่าเบราว์เซอร์จะไม่เชื่อถือใบรับรองจากทั้งสองบริษัทที่ออกมาหลังเส้นตายอีกจะหนาแน่นขึ้นเรื่อยๆ ทำให้เว็บที่ใช้ใบรับรองจากหนึ่งในสองบริษัทอาจจะไม่สามารถใช้งานได้อีกหลังจาก Chrome 56 เป็นต้นไป และการเชื่อถือใบรับรองตอนนี้ก็เป็นมาตรการชั่วคราวเพื่อให้เวลากับผู้ดูแลเว็บได้มีเวลาเปลี่ยนใบรับรองเท่านั้น

Tags:
Node Thumbnail

นับแต่ WoSign ถูกจับได้ว่าออกใบรับรองผิดพลาด ทางมอซิลล่าก็เตรียมลงโทษอย่างหนัก จนกระทั่งแอปเปิลออกมาประกาศไม่รับใบรับรองจากบริษัท ตอนนี้ปัญหาก็เกือบได้ข้อสรุป เมื่อตัวแทนจากทาง WoSign และ Qihoo 360 ผู้ลงทุนใน WoSign ได้เข้าพบกับมอซิลล่า

ทาง WoSign ยอมรับปัญหาหลายประการที่เกิดขึ้น และเตรียมมาตรการเพื่อจัดการปัญหา ได้แก่

Tags:
Node Thumbnail

ปัญหาของ WoSign ที่เป็น CA จีน ทำให้ Mozilla ประกาศแผนจะบล็อคใบรับรองทั้งหมดที่ออกโดย WoSign และ StartCom แต่แอปเปิลที่ไม่ค่อยมีข่าวนักก็ประกาศบล็อคใบรับรองจาก "WoSign CA Free SSL Certificate G2" จาก iOS Trust Store ไปทันที

ตัว iOS Trust Store ของแอปเปิลไม่ได้มี root CA ของ WoSign อยู่ก่อนหน้านี้ อย่างไรก็ดี "WoSign CA Free SSL Certificate G2" ได้รับการ cross-sign โดย StartCom และ Comodo ทำให้ใช้กับผลิตภัณฑ์ของแอปเปิลได้ด้วย จนกระทั่งแอปเปิลประกาศบล็อคครั้งนี้

Tags:
Node Thumbnail

WoSign หน่วยงานออกใบรับรองดิจิตอลจากจีน ประกาศเข้าซื้อ StarCom CA จากอิสราเอลสำเร็จ โดยระบุว่ามีการเซ็นสัญญาทำความตกลงซื้อขายกันตั้งแต่กันยายนปี 2015

การประกาศนี้เกิดหลังจาก มอซิลล่าแถลงรายงานระบุว่า WoSign เข้าซื้อ StartCom ไปตั้งแต่ปีที่แล้ว และมีการใช้เสียงโหวตแยกกันใน CA/Browser Forum หลายครั้ง

แถลงการณ์การเข้าซื้อครั้งนี้ระบุว่า StartCom เข้าช่วยเหลือ WoSign ตั้งแต่ปี 2010 ในการทำ cross-sign และขอรับรอง WebTrust จนกระทั่ง WoSign ได้รับการรับรอง ทุกวันนี้เบราว์เซอร์จำนวนมากรวม WoSign ไว้ในตัว

Tags:
Node Thumbnail

หลังจาก CA จากจีน WoSign ออกใบรับรองโดยไม่ได้รับอนุญาต และไม่ได้รายงานเรื่องนี้ต่อ CA/Browser Forum ให้ถูกต้อง ทาง Mozilla ก็ออกรายงานสืบสวนว่า WoSign ได้เข้าซื้อ StartCom CA อีกรายของอิสราเอลที่ให้บริการในแบรนด์ StartSSL มาตั้งแต่ปี 2015

การเข้าซื้อ CA ไม่ใช่เรื่องแปลก แต่ WoSign ไม่ได้แจ้งการเข้าซื้อครั้งนี้ต่อ CA/Browser Forum พร้อมกับปีที่ผ่านมา WoSign และ StartCom ออกเสียงโหวตมติต่างๆ แยกออกจากกันเป็นสองเสียง เมื่อถูกถามถึงความเป็นเจ้าของก็ปฏิเสธที่จะให้รายละเอียดเรื่อยมา

ทาง Mozilla มีนโยบายให้ CA ทุกรายจำเป็นต้องแจ้ง Mozilla เสมอเมื่อมีการเปลี่ยนความเป็นเจ้าของบริษัท