By: lew 
on 4 September 2011 - 14:35
Tags:
Topics:
หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น
นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ
ทางฝั่ง Mozilla ออกมา "แฉ" ความสะเพร่าของ DigiNotar ไว้หลายรายการที่ไม่น่าจะอภัยได้เช่น เว็บของ DigiNotar นั้นถูกแฮกมาเป็นเวลาสองปีแล้วโดยที่บริษัทไม่รู้ตัว, บริษัทรู้ตัวว่าถูกแฮกตั้งแต่กลางเดือนกรกฎาคมแต่ไม่ยอมออกคำเตือนอย่างทั่วถึง, จนตอนนี้ DigiNotar ก็ยังไม่สามารถส่งมอบรายการใบรับรองทั้งหมดที่ถูกปลอมได้ ทำให้ไม่สามารถยกเลิกได้ครบ โดยใบรับรองของกูเกิลที่เจอกันนั้นก็เจอจากการใช้งานจริงไปแล้ว
ตอนนี้ทาง Mozilla ได้ยกเลิกใบรับรองทั้งหมดที่อยู่ "ภายใต้" DigiNotar ซึ่งหมายถึงใบรับรองอื่นๆ ที่ออกจากผู้ให้บริการระหว่างทาง (intermediate CA) ก็จะถูกบล็อคไปด้วยแม้ใบรับรองบางใบจะได้รับการรับรองจาก root CA อื่นๆ ซ้อนไว้อีกทีก็ตาม ยกเว้นเฉพาะ CA ของรัฐบาลเนเธอร์แลนด์ที่ติดต่อกับทาง Mozilla โดยตรงว่าได้ตรวจสอบแล้วว่าระบบไม่ถูกโจมตี ทาง Mozilla จะยังไม่บล็อคใบรับรองของทางรัฐบาลไปจนกว่าจะมีการเปลี่ยนใบรับรองทั้งหมดเสร็จสิ้น
ตอนนี้แหล่งข่าวทั้งสองข่าวดูเหมือนจะขัดๆ กัน คือข่าวทางรัฐบาลก็บอกว่ายกเลิกใบรับรองไปแล้ว ถ้าใครรู้เว็บรัฐบาลเนเธอร์แลนด์อาจจะเข้าไปดูว่า SSL ยังทำงานได้ถูกต้องหรือไม่
งานนี้ไม่มีคำอธิบายอื่นนอกจาก "เละ"
สำหรับประเทศไทย เว็บให้บริการเช่น Web Service ของกรมสรรพากรนั้นเป็นใบรับรองแบบรับรองตัวเอง (self signed certificate) ดังนั้นไม่มีปัญหา CA ถูกแฮกแน่นอน
ที่มา - NOS, Gervase Markham
Get latest news from Blognone
Follow @twitterapi
Comments
"กระทรวงมหาไทย">"กระทรวงมหาดไทย" ครับ
we can build a more peaceful.
สม..
อยากให้บริษัท CA ชุ่ยๆ โดนจัดการเสียให้เข็ด จะได้ไม่มีกรณีมั่วนิ่มเหมือน Comodo (ที่ให้ใบรับรอง 127.0.0.1) และ บ นี้อีก
ps. นอกเรื่อง ผมชอบประเทศเนเธอร์แลนด์จัง คุณภาพชีวิตของเขาดูเหมือนจะดีเอามากๆ แถมดีเจและ Electric Music Event ระดับโลกก็ผลิตจากประเทศนี้ (อันนี้ความชอบส่วนตัว)
เค้าเสียภาษี 40% ครับ
งั้นสงสัยบ้านเราต้องเพิ่มภาษีบ้างแล้ว XD
เดวจะมี mop อีกเพียบเลย 40% เนี่ยย
ถ้าเรื่องไม่แดงเพราะgoogle คงอีกนานกว่าจะมีคนรู้ ไม่ทราบว่าเขามีหน่วยงานกลางไว้ตรวจสอบมาตราฐานการออกใบอนุญาติกันหรือป่าวครับ
เจ๊ง
self signed ปลอมได้เลย ไม่ต้องเสียเวลาแฮกสินะ -_-!
เละเทะมาก
ปล. หน่วยงานรองรัฐ -> ของรัฐ ครับผม
ช่วยเสริมอีกนิดนะครับ
ทั้วไป >> ทั่วไป (ที่บรรทัดแรกครับ)
อ้าวสรรพากรทำ Self Signed ก็เสร็จล่ะสิ ทำ Man-in-the-Middle ได้เลย User ก็ไม่รู้หรอก อยากจะรู้รายได้ใครไปดักได้เลย
RX78-2
Self Signed มีก็เหมือนไม่มี
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
สำหรับประเทศไทย เว็บให้บริการเช่น Web Service ของกรมสรรพากรนั้นเป็นใบรับรองแบบรับรองตัวเอง (self signed certificate) ดังนั้นไม่มีปัญหา CA ถูกแฮกแน่นอน
อันนี้หนักยิ่งกว่าปัญหา CA ถูก hack ครับ เพราะไม่จำเป็นต้องพึ่ง CA เลย ผู้ใช้งานไม่สามารถตรวจสอบได้เลย เพราะยังไงเวลาใช้งาน browser ก็จะเด้งข้อความเตือนทุกครั้งอยู่แล้ว ในทาง computer security วิธีที่ทำให้ปลอดภัยได้อย่างเดียวของกรณีก็คือแจกจ่าย certificate ของตัวเอง ผ่านทาง offline channel เท่านั้น (เปรียบเทียบกับ ปกติ จะแจกจ่าย certificate ติดไปกับ web browser เวลาโหลดใช้งาน)
เข้าใจถูกแล้วครับ เขาแซวว่าไม่ต้องแฮ็ก CA น่ะครับ แซวซะแรว๊งงงง = =a
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
สงสัยมุกผมจะไม่ขำ = =
lewcpe.com, @wasonliw
ต้องวงเล็บไว้ด้วยครับ (มุก) (ประชด) (ขำกลิ้ง) (ขำไม่ออก) (ตัวใครตัวมัน)
ผมฮานะ ^^
อ้าวขอโทษครับ ไม่รู้ว่าเป็นมุข ฟังดูไม่ค่อยเหมือน แฮะๆ
ผมก็คิดอยู่ว่ามันน่ายกเลิกทั้ง CA ไปเลย ที่จริงน่าจะฟ้องเรียกค่าเสียหายด้วยซ้ำ
กด Web Service ของกรมสรรพากร เข้าไป เจอหน้าแดงเลย
cacert ที่แจกฟรี ยังจะปลอดภัยกว่าอีก