Ben Laurie และ Adam Langley นักวิจัยด้านความปลอดภัยจากกูเกิลได้ตีพิมพ์ข้อเสนอ (PDF) ปรับปรุงระบบโครงสร้างความปลอดภัยของอินเทอร์เน็ต (Public Key Infrastructure - PKI) จากบทเรียนที่เราพบกว่าหน่วยงานออกใบรับรอง (Certification Authorities - CA) นั้นกลายเป็นรูรั่วหลายครั้งทำให้ความปลอดภัยของอินเทอร์เน็ตโดยรวมมีอันตราย เพราะ CA อาจจะออกใบรับรองให้กับเว็บใดๆ ก็ได้
ข้อเสนอนี้คือการเรียกร้องให้ CA เปิดเผยบันทึก (log) ของการรับรองโดเมนต่างๆ ออกมาสู่สาธารณะ โดยบันทึกทั้งหมดต้องได้รับการรับรองว่ามาจากตัว CA จริงๆ โดยเข้ารับรองแบบ Merkle signature scheme
ด้วยกระบวนการเช่นนี้ เบราเซอร์จะสามารถเลือกเชื่อถือเฉพาะใบรับรองที่มีบันทึกรับรองและตรวจสอบการใบรับรองได้ โดยหากมีการรับรองอย่างผิดๆ เช่น กรณี DigiNotar ที่ไปรับรองเว็บใหญ่ๆ อย่างกูเกิล สาธารณะก็จะสามารถตรวจสอบได้ในทันที หากเจอพฤติกรรมการออกใบรับรองที่ผิดปรกติ ก็จะสามารถแจ้งของยกเลิกใบรับรองได้อย่างรวดเร็ว
ข้อเสนอนี้ยังคิดถึงระบบ PKI เดิมว่าจะระบบเดิมจะสามารถใช้งานต่อไปได้ โดยระบบที่ไม่สามารถตรวจจากบันทึกได้ก็จะตรวจสอบจากใบรับรองของ root CA แบบเดิมต่อไป
ปัญหาของระบบนี้คือมันบังคับให้ CA ทั้งหมดต้องเปิดเผยรายการใบรับรองของตัวเองออกมาทั้งหมด ซึ่งอาจจะเป็นความลับทางการค้า (เพราะทำให้รู้จำนวนและรายชื่อลูกค้า) รวมถึง CA หลายรายนั้นยังออกใบรับรองปลอมให้กับตำรวจอย่างจงใจเพื่อใช้ดักฟังกรณีได้รับหมายศาล การเปิดเผยบันทึกทั้งหมดอาจจะทำให้ใบรับรองที่ออกจากคำสั่งศาลเหล่านี้ถูกตรวจสอบอย่างรวดเร็ว
ที่มา - Threat Post
Comments
งงคำนี้ครับ
ดี ในเมื่อตรวจสอบให้ดีไม่ได้ก็ให้สาธารณะช่วยตรวจสอบซะเลย
เรื่องนี้ เหรียญ 2 ด้านจริง ๆ ครับ
ยุคนี้ ไ่ม่มีใครเป็น hero แท้จริง