กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจากการออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013

มาตรฐานที่กำลังจะมีผลเร็วๆ นี้ คือ Certificate Authority Authorization (CAA - rfc6844) ที่เปิดให้เจ้าของเว็บประกาศตัวได้ว่าจะขอใบรับรอง SSL จากผู้ให้บริการรายใด ผ่าน DNS ในฟิลด์ CAA เป้าหมายหลักคือมันจะเป็นเครื่องมือให้ CA รายอื่นๆ รับรู้ว่าจะคำร้องขอใบรับรอง SSL นี้เป็นคำร้องจริงหรือไม่ หากมีการประกาศ CAA ไว้ใน DNS ที่ไม่ตรงกับตน ทาง CA ก็สามารถปฎิเสธการออกใบรับรอง SSL ได้ทันที มาตรฐานนี้เป็นส่วนกลับกับ HPKP ที่เปิดให้เว็บประกาศไปยังเบราว์เซอร์ให้เชื่อใบรับรองจาก CA บางรายเท่านั้น ทางฝั่งผู้ออกใบรับรองอย่าง Godaddy ระบุว่า CAA นั้นปลอดภัยกับเว็บกว่า HPKP ที่มีความเสี่ยงว่าหากคอนฟิกผิด เว็บอาจจะเข้าไม่ได้เป็นเวลานาน

สมาชิกของ CA Browser Forum จะประกาศนโยบายการตรวจสอบ CAA ภายในวันที่ 15 เมษายนนี้

นอกจากนี้ CASC ยังผลักดันให้สมาชิกเลิกออกใบรับรองให้กับชื่อโดเมนภายในของแต่ละองค์กร เช่น "exchance.mail" ที่ใช้งานเฉพาะในองค์กรเท่านั้น โดยสมาชิก CASC จะไม่ออกใบรับรองที่มีอายุเกิน 1 พฤศจิกายนนี้อีกต่อไป และใบรับรองที่ออกไปแล้วและมีอายุเกินจากนั้น จะถูกยกเลิก (revoke) ออกทั้งหมด ภายในวันที่ 1 ตุลาคม 2016

อีกมาตรฐานที่สมาชิก CASC กำลังจะเข้าร่วมคือโครงการ Certificate Transparency (CT) ที่เริ่มต้นโดยกูเกิล แนวทางในตอนนี้คือใบรับรองแบบ Extended Validation (EV) ที่แสดงความมั่นใจเป็นพิเศษให้กับผู้ใช้ด้วยการบอกชื่อองค์กรใน URL จะประกาศรายชื่อใบรับรองออกมาสู่สาธารณะ

ผลงานแรกๆ ของ CASC คือ การผลักดันมาตรฐาน OCSP ที่ช่วยให้กระบวนการตรวจสอบใบรับรองที่ถูกยกเลิกทำได้ในเวลาอันสั้น และตอนนี้เอง CASC ก็กำลังวิจัยว่าผู้ใช้ตอบสนองต่อการคำเตือนใบรับรอง SSL ไม่ถูกต้องอย่างไรบ้าง

ที่มา - eWeek