Cloudflare รายงานถึงเหตุการณ์ของลูกค้า Cloudflare ว่าครึ่งปีที่ผ่านมา ลูกค้าแจ้งทาง Cloudflare ว่าระบบมีปัญหาเพราะใบรับรองเปลี่ยนแต่องค์กรไปทำ certificate pinning เอาไว้ จนไคลเอนต์ไม่ยอมรับใบรับรองแม้จะออกมาถูกต้องก็ตาม

certificate pinning เคยเป็นเทคนิคที่ได้รับความนิยมสูงในหมู่ธนาคารที่มักล็อก root CA หรือ intermediate CA เอาไว้ เพื่อป้องกันไม่ให้ไคลเอนต์ยอมรับใบรับรองที่ระบุโดเมนถูกต้องแต่ออกใบรับรองโดย CA อื่น โดยเทคนิคนี้เคยช่วยป้องกันในกรณีที่ root CA ถูกแฮก เช่น DigiNotar เมื่อปี 2012

ทาง Cloudflare ระบุว่า 20 ปีที่ผ่าน โลกการออกใบรับรองมีแนวทางเปลี่ยนไปมากแล้ว และผู้ใช้มีทางเลือกอื่นๆ ที่ดีกว่าการทำ certificate pinning มาก เช่น การตรวจสอบการออกใบรับรองที่ทุกวันนี้ root CA ถูกบังคับให้เผยแพร่การออกใบรับรองผ่านทาง certification transparency log (CT log) อยู่แล้ว หรือหากจะอยากล็อกไม่ให้ root CA รายอื่นออกใบรับรองก็สามารถล็อกทาง CAA record ของ DNS ได้

ต้นปีที่ผ่านมา Let's Encrypt เริ่มสุ่ม intermediate CA เพื่อลดการทำ certificate pinning ลง และหลังจากนี้ก็จะเปลี่ยน intermediate CA บ่อยขึ้น โดยหากองค์กรต่างๆ ไม่มาล็อก intermediate CA เช่นทุกวันนี้ การเปลี่ยน intermediate CA หากเกิดเหตุข้อมูลรั่วไหลจริงๆ ก็จะมีผลกระทบน้อยลง

ยอดเหตุการณ์ระบบล่มจากการทำ certificate pinning ของทางที่ Cloudflare รายงานขึ้นมากำลังเพิ่มขึ้นสูง และไตรมาสสามก็มีแนวโน้มเพิ่มขึ้นเรื่อยๆ แม้เหตุการณ์เหล่านี้อาจจะไม่มากนักแต่องค์กรที่ใช้งานแบบนี้มักเป็นแอปพลิเคชั่นที่มีผลกระทบเป็นวงกว้างเช่นแอปธนาคาร

ที่มา - Cloudflare Blog