Tags:
Node Thumbnail

WoSign หน่วยงานออกใบรับรองจากจีนที่เพิ่งประกาศสนับสนุนการเปิดเผยการออกใบรับรองเมื่อกลางปีที่ผ่านมา กำลังถูกร้องเรียนว่าละเมิดข้อกำหนดความปลอดภัยของการทำหน้าที่หน่วยงานออกใบรับรองหลายประการ

เหตุการณ์เริ่มต้นตั้งแต่ปีที่แล้ว ที่ WoSign อนุญาตให้ยืนยันความเป็นเจ้าของโดเมนโดยใช้ "พอร์ตใดๆ" ในเครื่อง ทำให้ผู้ใช้ที่มีสิทธิ์ระดับต่ำสามารถใช้พอร์ตหมายเลขสูงๆ ขอใบรับรองของเครื่องออกมาได้ อย่างไรก็ดี ก่อนหน้านี้กระบวนการของ WoSign ไม่ได้ละเมิดข้อกำหนดการเป็น CA ก่อนการแก้ไขที่ 169

ความผิดพลาดต่อมาคือการออกใบรับรองสำหรับโดเมนหลัก ให้กับผู้ครอบครองโดเมนย่อย (subdomain) ทำให้ผู้ใช้โดเมนย่อยของ github.com สามารถออกใบรับรองของ github.com เองได้ มีหน่วยงานจำนวนมากได้รับผลกระทบจากเหตุการณ์นี้ บางมหาวิทยาลัยเช่น ucf.edu ใบรับรองยังไม่ถูกยกเลิกหลังจากเหตุการณ์ผ่านไปเกือบปี จนกระทั่งกูเกิลต้องแจ้งไปทาง WoSign เอง

เหตุการณ์สุดท้ายคือมีผู้พบว่าหากใช้บริการ StartEncrypt แล้วเลือกหน่วยงานออกใบรับรองเป็น "WoSign CA Free SSL Certificate G2" จะได้ใบรับรองที่มีฟิลด์ notBefore เป็นวันที่ 20 ธันวาคม 2015 แม้ว่าจะขอใบรับรองหลังจากนั้นก็ตาม เรื่องนี้ทำให้มองได้ว่า WoSign พยายามหลอกเบราว์เซอร์ที่ไม่ยอมรับใบรับรอง SHA-1 ที่ออกหลังจากวันที่ 20 ธันวาคมที่ผ่านมา

Richard Wang ตัวแทนของ WoSign เข้ามาตอบคำถาม ระบุว่ากำลังอัพโหลดใบรับรองที่ออกผิดพลาดทั้งหมดเข้าไปยัง CT log เมื่อถูกถามว่าทำไมเหตุการณ์ออกใบรับรองผิดพลาดเช่นนี้ไม่ถูกรายงานในการรายงานการตรวจสอบ เขาระบุว่าเหตุการณ์เหล่านี้ "เทคนิค" เกินไปที่ผู้ตรวจสอบจะตรวจพบ

Wang สัญญาว่า WoSign จะปรับปรุงไม่ให้เกิดปัญหาเหล่านี้อีกในอนาคต

ส่วนตัวผมเองคงถอด WoSign ออกจากเครื่องก่อน

ที่มา - mozilla.dev.security.policy

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 29 August 2016 - 13:34 #936022
panurat2000's picture

เรื่องสนี้ทำให้มองได้ว่า

เรื่องสนี้ ?

By: tekkasit
ContributorAndroidWindowsIn Love
on 29 August 2016 - 15:29 #936038
tekkasit's picture

อ่า จะปิดกั้น root CA รายนี้ได้ไงครับ?

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 August 2016 - 15:32 #936039 Reply to:936038
lew's picture

ถ้าใน chrome มีหน้าถอดการ trust อยู่ครับ

หน้าเดียวกันหา WoSign มีอยู่สามสี่ใบ เลือกถอดได้เลยครับ

alt="upic.me"


lewcpe.com, @wasonliw

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 29 August 2016 - 15:55 #936044 Reply to:936038

ผมเข้าไปถอนใน Manage Computer Certificates เลยครับเอามันออกไปมหดยกตระกูลแค่เว็อย่างเดียวมันไม่ปลอดภัยพอ
No Description