ความลักลั่นอย่างหนึ่งในระบบความปลอดภัยเว็บคือเว็บที่เข้ารหัสอย่างไม่ถูกต้อง เช่น ใช้ใบรับรองที่ไม่น่าเชื่อถือ หรือเข้ารหัสด้วยกระบวนการที่ล้าสมัย จะถูกแจ้งเตือนว่าเป็นเว็บที่ไม่ปลอดภัย พร้อมหน้าจอเตือนผู้ใช้อย่างชัดเจน ขณะที่เว็บทั่วไปที่ไม่ได้เข้ารหัสกลับสามารถใช้งานได้โดยไม่มีการเตือนใดๆ ทั้งที่จริงมีความเสี่ยงมากกว่าคือสามารถโดนโจมตีทั้งแบบคั่นกลาง (man-in-the-middle) หรือดักฟังโดยไม่แก้ไขข้อมูลก็ได้ ตอนนี้มีข้อเสนอจากทั้งฝั่งโครมและไฟร์ฟอกซ์ ให้แจ้งเตือนเว็บไม่เข้ารหัสในระดับเดียวกับการเข้ารหัสอย่างไม่ปลอดภัย
ข้อเสนอนี้ที่จริงแล้วเริ่มต้นจากฝั่ง Firefox เมื่อกลางปีที่ผ่านมาโดย Daniel Roesler (ไม่มีข้อมูลบนเว็บของไฟร์ฟอกซ์ แต่น่าจะเป็นผู้ก่อตั้งบริษัท UtilityAPI) เปิดบั๊กหมายเลข 1041087 ขอให้ไฟร์ฟอกซ์พิจารณาแสดงไอคอนเตือนผู้ใช้ว่าเว็บที่ไม่ได้เข้ารหัสแต่ข้อเสนอนี้ถูกปฎิเสธและปิดบั๊กไป แต่ตอนนี้บั๊กกลับมาเปิดใหม่อีกครั้งเพราะทางกูเกิลเสนอข้อเสนอแบบเดียวกันบนเว็บของโครม
ข้อเสนอของกูเกิลระบุให้เริ่มช่วงเปลี่ยนผ่าน โดนเริ่มจากแจ้งเตือนว่าน่าสงสัย (Dubious) กับเว็บที่ไม่ได้เข้ารหัสก่อน เมื่อผ่านไประยะสองจึงแจ้งเตือนว่าเว็บที่ไม่เข้ารหัสนี้ไม่ปลอดภัย (Non-secure) เมื่อเปลี่ยนผ่านไประยะสุดท้าย เว็บที่เข้ารหัสและมีการยืนยันจะกลายเป็นเว็บธรรมดาที่ไม่ได้แจ้งเตือนพิเศษอะไร แต่แจ้งเตือนเฉพาะเว็บที่ไม่สามารถยืนยันต้นทางได้เท่านั้น
แนวทางการเปลี่ยนผ่านนี้อาจจะเป็นการกำหนดเป็นเวลาตายตัวหรือพิจารณาจากสถิติเช่นเว็บส่วนมากปรับปรุงเป็นเว็บที่ปลอดภัยเกินค่าหนึ่งแล้วจึงปรับระดับไปเรื่อยๆ โดยทางกูเกิลระบุว่าข้อเสนอนี้ยังต้องผ่านการพูดคุยกันอีกมาก
ข้อเสนอแบบนี้เป็นข้อเสนอระดับเบื้องต้นมาก กว่าจะได้รับการยอมรับคงเป็นปีหน้า และระยะเวลาบังคับใช้อาจจะกินเวลาอีกนับปีครับ
ที่มา - Chromium.org, Mozilla: Bugzilla #1041087
Comments
โดยเริ่มจากแจ้งเตือนว่าน่าสงสัย
~ HudchewMan's Station & @HudchewMan~
ขอให้แจกฟรีมาก่อนละกัน
เอ้าผมก็นึกว่ามีฟรี อยู่แล้วนิ
ที่มีอยู่ยังไม่ดีเท่าไหร่ครับ แต่ปีหน้าจะมี Let's Encrypt ซึ่งน่าจะสะดวกขึ้นมาก ข้อเสนอนี้เลยคุยกันไว้ก่อน อาจจะกำหนดเวลาให้หลังจากเริ่มมี cert ฟรีไปช่วงหนึ่ง หรือกำหนดจากการใช้งานที่เพิ่มขึ้นมากค่อยบังคับใช้ (เป็นเก้าอี้ดนตรี ใครลุกช้าซวย)
lewcpe.com, @wasonliw
ความลักลั่น เกิดมาเพิ่งเคยได้ยิน
ตามราชบัณฑิตครับ
lewcpe.com, @wasonliw