Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ

ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน

การเปิดเผยข้อมูลแค่บางส่วนคงทำให้โครงการ Certificate Transparency ของกูเกิลมีประโยชน์จำกัด เพราะแฮกเกอร์ที่ต้องการใบรับรองปลอมสามารถไปหลอกเอาใบรับรองจากผู้ให้บริการที่ไม่ได้เปิดเผยข้อมูลได้

CA ที่เข้าโครงการ Certificate Transparency จะออกใบรับรองที่มีข้อมูล signed certificate timestamp (SCT) เพิ่มเข้ามา เบราว์เซอร์จะสามารถใช้ข้อมูลนี้ไปตรวจสอบกับเซิร์ฟเวอร์ล็อกได้ว่ามีการประกาศการออกใบรับรองสู่สาธารณะจริงหรือไม่ ถ้าประกาศแล้วก็แสดงว่าใบรับรองน่าเชื่อถือ เพราะถ้าออกใบรับรองไม่ถูกต้องเจ้าของโดเมนควรทักท้วงแล้ว

ที่มา - eWeek