CA Browser Forum ผ่านมติ จำกัดอายุใบรับรองเข้ารหัสเหลือ 47 วันหลังปี 2029

By: lew
FounderJusci's WriterMEconomicsAndroid
on 16 April 2025 - 09:56 Tags:
Topics: 
CA Browser Forum
Digital Certificate
Security
Node Thumbnail

CA Browser Forum ผ่านมติ SC-081 ที่เสนอโดยแอปเปิล, Sectigo, กูเกิล, และมอซิลล่า ระบุให้จำกัดอายุใบรับรองเข้ารหัสเหลือไม่เกิน 47 วัน ภายในเดือนมีนาคม 2029

ข้อเสนอนี้เริ่มต้นโดย Clint Wilson วิศวกรผู้ดูแลโครงการ root certification authority ของแอปเปิล โดยข้อเสนอแรกระบุให้จำกัดเวลาเหลือ 45 วันแต่ก็มีการปรับแก้จนเป็น 47 วัน และขยายช่วงเวลาจากเดิมกำหนดเส้นตายไว้ปี 2027 เป็นปี 2029

ผลการลงคะแนนฝั่งเบราว์เซอร์เห็นด้วยทั้งหมด ขณะที่ฝั่ง CA เห็นด้วย 25 เสียง งดออกเสียง 5 เสียง ไม่มีคนโหวตค้าน

มตินี้รวมถึงการลดอายุการใช้ข้อมูลยืนยันเจ้าของชื่อ ให้เหลือเพียง 10 วัน ตามข้อเสนอเดิม ไม่มีการแก้ไขแต่อย่างใด

มตินี้มีการถกเถียงค่อนข้างมาก ในกระทู้บน GitHub มีคนเข้าไปแสดงความไม่เห็นด้วยเป็นวงกว้าง ซึ่งก็น่าจะกระทบกับการทำงานขององค์กรจำนวนมากที่ยังติดตั้งใบรับรองด้วยมืออยู่ รวมถึงบางองค์กร (เช่น ธนาคารไทย) ที่ยังใช้ Certification Pinning ซึ่งหากมีการเปลี่ยนใบรับรองบ่อยๆ แล้วยังทำ pinning ก็จะทำให้กระบวนการทำงานซับซ้อนขึ้นมาก

ที่มา - CA Browser Forum

No Description

Get latest news from Blognone

Comments

By: Architec
ContributorWindows PhoneAndroidWindows
on 16 April 2025 - 11:51 #1338282

Sectio -> Sectigo

ลดอายุการใช้ข้อมูลยืนยันเจ้าของชื่อ ให้เหลือเพียง 10 วัน

สงสัยครับ ประมาณว่าให้ provider โทรมายืนยันภายใน 10 วันแบบนี้เหรอครับ

By: au8ust
AndroidSymbianWindows
on 16 April 2025 - 12:27 #1338284

เว็บเล็กๆ ส่วนตัว ต่อปีละครั้งก็น่ารำคาญแล้ว มาปรับเหลือไม่ถึงสองเดือนนี่น่าจะหนักหน่วงกว่าเดิม แต่พวกรายเล็กคงหันไปใช้ Let's encrypt กันหมดก็คงไม่เท่าไหร่ ตั้ง certbot เอา

By: lancaster
Contributor
on 16 April 2025 - 19:46 #1338306

ดัดหลังพวกชอบทำ pinning หรือบังคับใช้ cert ซื้อโดยไม่มีเหตุผลซักที

By: b00m.kl on 17 April 2025 - 10:04 #1338332

ตอนนี้ทำปีละครั้ง ยังวุ่นวาย อนาคต คงต้องทำทุก 45 วัน ตายๆๆ รบกวนท่านอื่นช่วยแนะนำเครื่องมือแบบ สร้าง ไฟล์ cert สำหรับ widows และ linux auto หน่อยครับ

By: narudom
Contributor
on 17 April 2025 - 10:17 #1338334
narudom's picture

สามารถเปลียน Certificate Pinning ไปเป็น Punlic Key Pinning โดยเอา DER file เดิมไปออก CER ใหม่ได้ครับ Application ก็ไม่ต้องเปลี่ยน Pinning บ่อยๆ

RX78-2

By: lew
FounderJusci's WriterMEconomicsAndroid
on 17 April 2025 - 13:30 #1338355 Reply to:1338334
lew's picture

ย้ายไป monitor CT Log + ตรวจ SCT ในแอป เอาไม่ได้หรือครับ น่าจะลดความเสี่ยงต้อง update app ใหม่เวลาทำอะไรพลาดกับ Cert (เผลอทำ private key หลุดอะไรแบบนั้น)

lewcpe.com, @wasonliw

By: narudom
Contributor
on 17 April 2025 - 20:10 #1338385 Reply to:1338355
narudom's picture

1) ถ้า Private Key ถูกสร้างใน HSM หรือแม้แต่ Cloud KMS ก็ไม่น่าจะหลุดนะครับ
2) ถ้า Key หลุดจริง ก็มีกลไก Force Update Version ได้นะครับ
3) Log ติดตามการทำ Man-In-the-Middle ค่อนข้างยาก ถ้าไม่ทำ Pinning ก็เพิ่มโอกาสในการโดนทำ Man-in-the-Middle เช่น Rouge AP หรือ Rouge Mobile APN

RX78-2

By: lew
FounderJusci's WriterMEconomicsAndroid
on 17 April 2025 - 22:25 #1338390 Reply to:1338385
lew's picture

ข้อ 2) นี่ถ้าเกิดเหตุจริง การอัพเดต ให้ user ทั้งหมดอย่างน้อยก็กินเวลาหลายชั่วโมงไปจนถึงหลายวัน user อยู่หน้าร้านแล้วจ่ายไม่ได้โดน force update ต้องยุติการทำธุรกรรมไป อันนี้เป็นความเสี่ยงที่ยอมรับได้ในกรณีนี้หรือเปล่าครับ เพราะตามแบงค์ชาตินี่ปีละไม่เกิน 8 ชั่วโมง ถ้าทำทันทีผมคิดว่าไม่น่าทำได้ทัน

ข้อ 3) ถ้าตรวจ cert ตาม root store ของ OS พวก Rouge AP หรือ rouge APN ก็ไม่ควรโจมตีได้นี่ครับ ยกเว้นแฮกเกอร์จะอยู่ในเครื่องของ user เอง ติดตั้ง root CA ของตัวเอง เช่นพวก MDM ทั้งหลาย (ถ้าแฮกเกอร์ทำจริงก็น่าจะโจมตีอย่างอื่นได้ เปลี่ยนแอปเป็นแอปปลอมไปเลยทั้งแอป) ถ้า ISP ยิง certificate ปลอมแต่ออก certificate ปลอมจาก CA จริงก็ตรวจได้ด้วย CT log อยู่แล้ว

lewcpe.com, @wasonliw