Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย
Thailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วยพ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์
การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว
ทาง Privacy International สอบถามไปยังไมโครซอฟท์ ขอให้ชี้แจงกระบวนการตัดสินใจยอมรับ root CA ของรัฐบาลไทยครั้งนี้ ไมโครซอฟท์ระบุว่าบริษัทไม่ได้เปิดเผยกระบวนการตัดสินใจภายใน แต่เงื่อนไขโดยรวมนั้นเปิดเผยอยู่ในเว็บไซต์บริษัท ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว
เอกสารตรวจสอบการทำงานของ NRCA ฉบับล่าสุด (1, 2) ตรวจสอบโดย BDO Malaysia ยืนยันว่าทางสพธอ. ดำเนินการได้มาตรฐาน WebTrust
ที่มา - Privacy International, The Verge
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ลาก่อยไมโครซอฟท์ แค่ประเทศเล็กคุณยังยอมแล้วคุณจะมองหน้าบริษัทอื่นๆยังไง?
ปล. VPN โลด
ถามตำเดียว uninstall ตรงไหน
^
^
that's just my two cents.
+65536
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
ไม่มีความรู้เรื่องพวกนี้เลย แต่อยากถามว่าจะเลี่ยงยังไงดีครับ อย่าใช้edge?
เปลี่ยนไปใช้โปรดัคของค่ายอื่น ลาก่อย
ยังดี ตอนนี้ Ubuntu เป็นหลัก
คอมโบกับพรบ.คอมฉบับใหม่ด้วยก็สบายล่ะครับทีนี้
ผมลองตามวิธีนี้ ก็ยังไม่เจอนะครับ (Windows 10 64-bit) ใครมีวิธีอื่นหรือเจอบอกด้วยนะครับ
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
ไม่เจอเช่นกัน
^
^
that's just my two cents.
ผมลอง Search ใน Cert Store แล้วก็ไม่เห็นเหมือนกันครับ
Windows 10 Pro 14393.693
หึ แค่นี้ยังไม่สาแก่ใจอีแม้นอีกรึ
ยังไงโลกออนไลน์ก็ไม่ได้มีความเป็นส่วนตัวอยู่แลัว!~
ถ้าทุกเจ้ายอมรับ ผมจะเลิกใช้ internet
ตั้งแต่ปลายที่ผ่านมา -> ตั้งแต่ปลายปีที่ผ่านมา
หรือเปล่าครับ
อ่าน comment แล้วสงสัยว่าทำไมถึงคิดว่าทาง MS ไม่ควรยอมรับ root CA, เพราะเป็นหน่วยงานรัฐบาล หรือว่าเพราะกฏหมายคอมช่วงนี้
อีกอย่างทาง MS ก็ตรวจสอบว่าได้มาตรฐาน หรือกระบวนการที่ได้มามันไม่ถูกต้องตอนไหนหรอครับ
อาจกลัวกรณีประมาณ single gateway รึเปล่าครับ
เช่น รัฐบาลทำตัวเป็น man-in-the-middle เอาหน้าเว็บปลายทางที่เราพยายามเข้า มาเข้ารหัสเอง แล้วส่งกลับมาให้ browser เรา
พอคนใช้ browser ของ Microsoft เข้าเว็บปลายทางจากในไทย ก็จะเห็นเป็น https สีเขียวตามปกติ เพราะ Microsoft รองรับ CA ของรัฐบาลไทย
ถ้านับว่าทำตามขั้นตอนจริงๆ มันก็น่าจะยอมรับ root ให้ได้ก่อนแล้วปลดทิ้งถ้ามีการทำความผิดรึเปล่าครับ?
ผมไม่รู้เรื่อง protocal พวกนี้เท่าไรนะ แต่อ่านแล้วพอเห็นภาพอยู่
ซึ่งแบบนี้เจ้าอื่นๆ ที่ขอรับรอง root CA ผ่านแล้วก็ทำแบบนี้ได้เหมือนกันสิ และทำได้โดย บ.ที่รับรองตรวจสอบไม่ได้ด้วยรึเปล่าครับ
ถ้าใช่ ใครทำผ่านการรับรอง root CA ได้ก็สบายเลยสิครับ ได้ข้อมูลทุกอย่าง
งง ว่าปัญหาอยู่ตรงไหน -*-
+1 ขอมางงด้วยครับ
ขอสอบถามครับ
ถ้า A เป็น ca root ผมเข้าใจแบบนี้ถูกรึเปล่าครับ
สมมติผู้ใช้งานจะเข้าเว็บ www.web.com
- A สามารถสร้าง cert ให้เว็บ www.web.com ได้โดย browser จะมองว่าปลอดภัย เช่นเป็นแถบเขียว (issuer คือ ชื่อ ca root)
ถ้าผู้ใช้งานเข้าเว็บ www.web.com
- traffic อาจถูก redirect ไปหา proxy ตัวนึงที่มี cert สำหรับ www.web.com ที่ A สร้างมา
- proxy forward traffic ไปหา www.web.com แทน ผู้ใช้งาน
- www.web.com ตอบกลับ โดยคิดว่า proxy เป็นคนใช้งานทั่วไป
- proxy สามารถ ดัก / แก้ไข หรือ forward traffic ได้ (แบบไม่เข้ารหัส) และส่งต่อให้ user โดยผู้ใช้จะมองเห็น cert สำหรับ www.web.com ที่ A สร้างมา
- user ก็เข้าเว็บได้ปกติ เห็นแถบเขียวๆ เหมืนอเข้าเว็บจริง แต่ถ้าดู issuer จะเป็น A ไม่ใช่ issuer ที่ของ cert ในเว็บนั้น
** แต่ถ้า user สังเกต cert ก็จะเห็นว่าไม่ใช่ตัวจริง คนก็จะมาใช้ proxy หรือ tor แทน?
ถูกต้องครับ แต่ไม่จำเป็นต้องเป็น proxy , หรือทำ man in the middle เลย เพราะถ้ามีตัวถอดรหัส สามารถดักจับได้เลยครับ เช่น span port traffic มาให้เครื่องมืออย่าง wireshark หรือ ถ้าเป็น hardware ก็พวก gigamon (https://www.gigamon.com/products/technology/ssl-decryption) ขอแค่มี key ที่ใช้สำหรับถอดรหัส
key ถอดรหัสไม่มีนะครับ CA ทำหน้าที่แต่รับรองว่าเราเป็นคนที่เราบอกว่าเป็นเฉยๆ ปกติเวลาขอใบรับรอง เราจะ generate keypair บนเซิร์ฟเวอร์ แล้วส่ง public key ไปให้ CA รับรองครับ ตัว private key ไม่ออกจากเซิร์ฟเวอร์เลย
สร้าง Cert ลูกขึ้นมา แล้วเอา CA มารองรับ
ถ้าจะบอกสร้าง Cert ลูกขึ้นมา ก็ไม่ต้อง Sign ด้วย CA ไทยก็ได้ ใช้ CA นอกก็ได้ เพราะถ้าจะดักได้ ต้องมี private key ของ Server
ออ เข้าใจละ คือให้รัฐบาลไทย ทำ Cert google facebook ปลอมขึ้นมา
ใช่แล้วละครับ ปกติเวลาเราจะขอ Cert เราต้องสร้าง CSR ขึ้นมา ซึ่งประกอบไปด้วยข้อมูลของ Cert ที่เราจะขอนั่นเอง ซึ่งในขั้นตอนสร้าง CSR นี่แหละที่เราจะได้ Private Key มาเก็บไว้ด้วย ซึ่งต้องใช้คู่กันกับ Cert ที่ CA จะส่งกลับมาให้เราครับ ฉะนั้นต่อให้เป็น CA ก็ไม่มี Private Key ของเรานะครับ ถ้าจะดักฟังก็ต้องทำ MITM แหละ:D
ฤา Country Magager อาจจะเป็นขวาจัดก็เป็นได้
อ่าาา หาเจอแล้ว
นั่นไง แต่ผมหาไม่เจอนะ
ลองตามนี้เลย ใน powershell นะครับ
get-childitem cert:\LocalMachine\AuthRoot | Select-String 66F2DCFB3F814DDEE9B3206F11DEFE1BFBDFE132
เครื่องผมไม่มีแฮะ ในมือถือก็ไม่มีครับ ในอีกเครื่องที่เป็น Insider fast ring ก็ไม่มี - -"
แต่ผมไม่ได้ตั้ง region เป็นไทย จะเกี่ยวมั้ย ถ้าเกี่ยวนี่แลดูน่าสงสัยกว่าเดิมอีก
ของผมก็ไม่มี เครื่องผมตั้ง region เป็นไทยนะ คงไม่เกี่ยว
ของผม fastring build 15007 ครับ T___T
edit* จากที่ลอง windows server 2016 สองเครื่องไม่มีครับ มาหวยออกที่เครื่องผม 5555
2013 เลยหรอครับใบนี้
ยังหาไม่เจออยู่ดี แต่ก็ระแวง ไม่รู้ว่าจะมากับ windows update ตอนไหน
^
^
that's just my two cents.
ผมยังรอดอยู่
ของผมไม่มีนะ แล้วก็ไม่ได้ตั้ง region เป็นไทย
เจอเหมือนกัน
มีบางเครื่อง ตั้งใจวางยา? หรือเปล่า
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
สงสัยว่าการขอ root CA ครั้งนี้ ใช้ค่าใช้จ่ายเท่าไร
แบบนี้ถึงจะใช้ browser อื่นก็ไม่รอดนะครับ ต้องเอาออกจากเครื่องสถานเดียว
Firefox มี list ของตัวเองครับ
ออ เห็น Chrome ใช้ของ OS เลยนึกว่าโดนหมดครับ
รัฐบาลซื้อไมโครซอฟไปแล้ว ถถถถถถถถถ
555 สงสัยจะจริง
ถ้าตามข่าวคดี...มาเรื่อยๆ
จะพบว่า MS เป็นเจ้าเดียวที่ให้ข้อมูลส่วนตัวผู้ใช้(IP)กับการร้องขอ จากจนท.ไทยหรือรบ.ไทยครับ
google Facebook ปฎิเสธหมด
trust list โดยพลัน โอ้วววว เผื่อเจอ :)
"ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว"
สรุป หลอนไปเองนะครับ
หลอนสิครับ
ก็รบ.เผด็จการ และมีทีท่าว่าจะสืบทอดอำนาจไปอีกอย่างน้อย20ปี(ตามร่างรธน.)
มีแนวโน้มที่จะออกกฎหมายบังคับใช้internet อย่างเข้มงวด รวมไปถึงโครงการ single gateway(ผ่าน national gateway)
ยิ่งมี root CA แล้ว วันใดวันนึงออกคำสั่งบังคับ root CA เท่านั้นที่ออก internet ได้ก็จบ
ตัวอย่างรบ.เผด็จการที่บังคับ root CA ที่สนับสนุนโดยรบ. หรือออกใบรับรองปลอมเวบดังๆ ก็มีมาแล้วบ่อยๆ ไม่ใช่ว่าไม่เคยเกิดขึ้นในโลกนี้
แนวโน้มมันสูง ก็มีสิทธิ์ที่จะสงสัย หรือต้องรอให้เกิดซ้ำซากขึ้นมา แล้วค่อยตื่นตัว?
ป.ล. ข่าวเก่าๆ เผื่อหลายคนตกข่าว
อิหร่านบล็อค HTTPS ทั้งประเทศ
กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์ รับรองโดย root CA ของจีน
รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ
ว้าว รัฐบาลนี้จะมีอำนาจไปอีก 20 ปีจริงๆ เหรอครับ ถ้าเป็นเช่นนั้นจริง ผมก็โล่งใจละ
เบื่อประชาธิปไตยในประเทศที่ประชาชนไร้ระเบียบวินัย
ในรธน. รบ.หลังจากนี้ต้องทำตามยุทธศาสตร์ชาติที่กำหนดไว้โดยคนของคสช.ครับ แผนนี้เขียนไว้ว่า 20ปีเป็นอย่างน้อย
ส่วนคุณชอบใจก็ดีใจด้วย แต่ถ้าวันนึงคุณไม่ชอบใจเมื่อไร ก็ไม่มีสิทธิ์จะทำอะไรนอกเหนือคำสั่งคสช.เช่นกันครับ แม้แต่การออกมาต่อต้านเล็กๆน้อย อาจจะเจอการลงโทษที่รุนแรงกว่าการฆ่าคนตายในบางกรณีเสียอีก
ก็หวังว่าคุณจะโชคดี คิดเห็นไปในแนวทางเดียวกับท่านผู้นำไปตลอด20ปีได้นะครับ...
ขอบคุณครับที่เข้าใจ ผมมั่นใจมากเลยว่าผมจะมีความสุขกับมัน :)
คิดง่ายดีครับ แค่เรื่องประชาชนไร้ระเบียบแค่บางกลุ่ม ถึงกับทำให้คุณยอมทิ้งคำว่าเสรีภาพไปได้
ทั้งๆที่คำๆนี้บางประเทศเสียเลือดเสียเนื้อกันเป็นแสนคนถึงจะได้มา
ตอนนี้มันสงบก็ดีแล้วครับ ตรวจสอบใครไม่ได้ ถึงจะตรวจสอบได้ ถ้าท่านผู้นำบอกว่าถูกก็คือถูก บอกว่าผิดก็คือผิด
เรื่องโกงกิน ? ไม่มีหรอก เพราะพวกเค้าดีกว่านักการเมือง ... ถถถถ
เสรีภาพที่พูดถึง คือเรื่องอะไรเหรอครับ
ตอนนี้ผมก็สามารถไปไหนมาไหนก็ได้ตามใจต้องการ
สามารถซื้อของ หรือทำอะไร หรืออยากดูอะไร ผมก็ทำได้เกือบหมด
จะมีก็แค่ หนัง 18+ บุหรี่ไฟฟ้า หรืออะไรแนวๆ นี้ ที่รัฐบาลเลือกตั้งก็ห้ามเช่นเดียวกัน
อิสระภาพด้านไหนของผมครับที่หายไป ?
ถ้าสังเกตุดีๆ ผมว่าประเทศเรามีเสรีภาพสูงมากเป็นอันดับต้นๆ ของโลกเลยนะ
หลายๆ คนชอบยก เสรีภาพ กับ เผด็จการมาพูด โดยปิดตาไม่มองว่าประเทศเรามันอิสระมากแค่ไหน ไม่ว่ายุคใดก็ตาม
ถ้าเอาตามความรู้สึกจริงๆ ผมกลับรู้สึกว่ายุคนี้ อิสระกว่าเดิมอีก เพราะพวกที่ใช้อิสระของตัวเอง มาปิดกั้นอิสระของคนอื่นหายไปเยอะ เช่นร้านขายของตามฟุตบาท ทำให้ผมมีอิสระในการเดินบนฟุตบาทมากขึ้น
เสรีภาพในการตรวจสอบ ในการวิจารณ์การทำงานของรัฐบาล ผมว่าหายไปจริงๆครับ ในสื่อหลักแบบทีวีหรือวิทยุมีแต่อวยอย่างเดียวเลยครับ อยากเสพข่าวอีกด้านนี่ต้องมาหาอ่านในเนตเท่านั้น ถ้ารบ. นี้เข้าควบคุมเนตได้ก็จบแล้วไม่เหลืออะไรให้อ่าน
เสรีภาพ มันน่าจะพ่วงไปถึงการตรวจสอบ การออกความคิดเห็น การวิพากษ์วิจารณ์ในสิ่งที่กระทบต่อชีวิตของประชาชนด้วยหรือเปล่าครับ
ทุกวันนี้ผมก็เห็นมีเคสอะไรเยอะแยะที่เห็นแล้วน่าจะควรรับฟัง ควรเปิดโต้ะพูดคุยวิจารณ์หาทางออกกันอย่างจริงจัง แต่เหมือนผู้ใหญ่ก็ไม่ต้องแคร์อะไรเลย เพราะเขาไม่จำเป็นต้องแคร์ครับ
เสรีภาพในการตรวจสอบรบ.(อย่าบอกว่าไม่เห็นข่าว คนโดนคุกโดยไม่รอลงอาญาฯ เพราะสงสัยรบ.นี้นะครับ)
เสรีภาพในการคิดการพูดที่อาจขัดแย้งกับรบ.
เสรีภาพในการเลือกผู้บริหารของประเทศด้วยตัวเองฯลฯ
ถ้าคุณยังไม่เคยใช้เสรีภาพเหล่านี้ คุณก็ไม่มีสิทธิ์ที่จะไปห้ามคนอื่นใช้ หรือปิดหูปิดตาคนอื่น คุณอาจยินดี และ"เชื่อว่า"ท่านผู้นำนั้นดีพร้อมหรือดีกว่ารบ.เลือกตั้งอื่นๆ เพราะไม่มีข่าวแย่ๆหลุดออกมาเลย ก็เรื่องของคุณ แต่คุณไม่มีสิทธิ์บังคับหรือห้ามคนอื่นคิดแตกต่างจากคุณ
แน่นอนว่า ผมก็ไม่ได้ห้ามคุณนิยมรบ.นี้นะครับ ก็เลยอวยพรขอให้โชคดีไม่เจอเรื่องกระทบตัวเองในอนาคตจนเปลี่ยนใจ
สำหรับผมที่ผ่านยุครปห.2006(ปี1991ยังเด็กไป) เผชิญผลกระทบทางด้านร้ายจากการปิดสนามบิน shutdown กทม.โดยตรงอย่างรุนแรง รวมไปถึงโดนรอนสิทธิ์ต่างๆที่เคยได้รับ ผมคงไม่อาจยินดีไปด้วยได้
ก็ได้แต่เตือนว่า วันนี้คุณอาจเห็นด้วย วันหน้าคุณก็ไม่มีสิทธิ์จะเปลี่ยนใจ เพราะมันสายไปเสียแล้ว....
ครับ ผมไม่มีสิทธิ์นั้น คุณก็ไม่มีสิทธิ์นั้นเช่นเดียวกัน
แล้วผมก็ยังไม่ได้ห้ามพวกคุณเลยนะ
ความชอบเสรีภาพของแต่ละคนแตกต่างกันมากกว่าที่คิด
ก็ได้แต่หวังว่าจะเคารพความชอบของคนที่ชอบแบบเดียวกันกับผมด้วยนะครับ
เรื่องเตือนนี่ ผมเห็นประชาธิปไตยมา 20 กว่าปี ส่วนตัวผมก็ยังยืนยันเหมือนเดิม รัฐบาลลุงตู่ไม่ใช่เผด็จการ และผมก็จะไม่มีวันเสียใจในเรื่องนี้
Ps. ที่มาเม้นนี่ รู้ตัวว่าโดนรุมแน่นอน แต่อยากให้ยอมรับว่า มีคนคิดแบบเดียวกับผม อยู่เยอะเหมือนกัน ถ้ามีโพลหรืออะไร แล้วไม่อยากเชื่อว่ามีคนโหวตแบบนั้น ก็อยากให้คิดถึงเม้นที่ผมเม้นไป ถึงแม้ว่ามันอาจจะไม่เยอะเวอร์เหมือนในโพล แต่มีไม่น้อยแน่นอนคอนเฟริม
อิสระมาก 55+ ได้ข่าวว่าเพิ่งส่งคนไปอุ้มทั้งครอบครัวมา
รัฐบาลลุงตู่ไม่ใช้เผด็จการ มีแค่คนกลุ่มหนึ่งเท่านั้นแหละครับที่คิดแบบนี้(แถมยังมโนโลกสวย ประเทศสงบ ปราศจากคอรัปชัน)
มาตรา 44 อยู่เหนือกฏหมายทั้งหมดครับ แหม่
คนคิดแบบคุณ ก็มีอยุ่กลุ่มเดียวนั้นแหละครับ กลุ่มที่เรียกทหารออกมานั่นแหละ (บางคนไปชุมนุมโดยไม่รู้อะไรเลยด้วยซำ้ กระแสโซเชียล อยากเป็นคนดี ประเทศดัดจริต ทุกอย่างอยู่บนการสร้างภาพ)
คุณมโนไปเองว่ามันเยอะ เพราะมันไม่เคยเลือกตั้งชนะเลย
ดีนะที่คุณยังสนใจการเมือง เพราะคนพวกที่ผมกล่าวถึง เขาไม่สนใจการเมืองแล้ว
แต่ตอนนี้มันมีน่ะสิ เคารพความชอบคนอื่นแต่ไม่มีสิทธิ์ตัดสิทธิ์ที่ไม่ระรานคนอื่นครับ
ไม่เผด็จการเหรอครับ เห็นช่วงแรกๆมีคนเชียร์บอกเป็นเผด็จการที่ดีไปเทียบกะพวกสิงคโปร์โน่นเลย
เพราะคิดตื้นๆแบบนี้ไง วันนี้คุณไม่เดือดร้อนดีใจด้วย วันไหนเดือดร้อนแล้วพูดไม่ได้ อย่าเสียใจนะครับ
คุณเสียภาษีแต่คุณไม่มีสิทธิ์เลือกว่าเงินจะถูกนำไปใช้กับนโยบายแบบไหน แบบนี้ยังเรียกว่ามีเสรีภาพไหมครับ ?
มันมีอยู่อาชีพหนึ่ง ที่มาบังคับเอาเงินคุณไปแม้คุณจะไม่อยากให้ เอาไปใช้ทำอะไรตามใจตัวเอง อยากเอาไปซื้ออะไรก็ซื้อ ลองคิดดูเล่น ๆ ครับว่านั่นคืออาชีพอะไร
That is the way things are.
ตราบใดที่ไม่มีใครมาวุ่นวายกับเสรีภาพในส่วนของผม ผมโอเคทั้งหมด
เรื่องภาษี นักการเมือง การตรวจสอบ .... บอกตรงๆ ว่าปลงครับ
รัฐบาลปกติตรวจสอบได้ แต่เขาก็เลี่ยงไปเป็นทางอื่น สรุปก็ไม่โดนจับ
ดราม่ากันทีหลักแสนล้าน แล้วก็ลอยนวน ในความรู้สึกผม บอกเลยไม่ต่าง
สิ่งที่ต่างๆ แน่ๆ คือ เรื่องจัดการกับความเป็นระเบียบเรียบร้อย และการขุดด้านมืดขึ้นมา kill กันรัวๆ รู้สึกปลื้มปลิ่มมาก
ตามจริงคุณไม่ต้องเข้าใจผม ผมไม่ต้องเข้าใจคุณก็ได้นะ เพราะยังไงก็ไม่ยอมรับกันอยู่ดี คิดตามที่่แต่ละคนสบายใจเถอะ
GT200, กับเรือบิน ใครขุดไหมน่า ศูนย์สิริกิต ใครขุดมาน้า เสรภาพของคุณมีจริงหรอ เขาคุณเกิดมาในกรงแล้วมองโลกในกรงคือเสรีภาพก็สบายสำหรับท่านผู้นำครับ เรื่องจัดระเบียบ ถ้าคุณมีความใกล้ชิดกับธุรกิจสีเทาก็จะรู้ว่าใครเป็นเด็กใคร ถ้าผู้ใหญ่ไม่แข็งพอเด็กก็แค่โดนกระทืบเป็นข่าวโชว์แค่นั้น ไม่มีหรอกครับสิ่งที่คุณแสนภูมิใจว่าเขานั้นแสนใจซื่อสัตย์ มันแค่จิตวิทยามวลชนที่เขาร่ำเรียนมาอย่างหนักเพื่อคนหัวคนไทยด้วยกันไปหาข้อมูลได้นะครับว่ามันต้องทำยังไงแล้วเขาทำเหมือนกันไหม
คุณไม่ได้คิดต่างครับ คุณแค่ไม่ยอมรับความจริง มองความจริงเฉพาะในสิ่งที่อยากมอง และจะอยู่ในคอมฟอร์ตโซนของตัวเอง แค่นั้นแหละครับ
คุณตอบผมหน่อยสิครับ ว่าคุณไม่เคยไปชุมนุมกับ กปปส กล้าไหมครับ ?
ต้องสมัครอีกอันมาตอบเลยรึเนี่ย รู้สึกเสียเวลา แต่ไหนๆ ก็ไหนๆ ละ
ขอตอบเป็นข้อๆ แบบขอไม่เข้ามาอ่านละ
ประเด็น 1: อิสระเสรีภาพ
อย่างที่บอกไป มันแล้วแต่ควมชอบของแต่ละคนเลย ใครอยากอิสระโดยการใช้ชีวิต ใครอยากอิสระโดยการดด่ารัฐบาล ใครอยากอิสระโดยการจับผิดรัฐบาล แล้วแต่เลยครับ แต่สำหรับผม ต้องการอิสระในการใช้ชีวิต ซึ่งตอนนี้ก็ได้มันเต็มที่
ประเด็น 2: เรื่องการตรวจสอบ การทุจริต โกง อุ้มฆ่า ตัดตอน บลาๆๆ
ไม่น่ายกเอามาให้อายนะครับ มันมีทุกรัฐบาล เพียงแต่รอบนี้มันถูกขึ้นมาให้เห็นบ่อยมากกก ผมเลยบอกว่า ฟิน ที่ขุดออกมา kill ให้เรือยๆ เลย
ประเด็นสุดท้าย : ชั้นถูก แกผิด
ไร้สาระน่ะครับ ผมมั่นใจว่าไม่มีใครซักคนที่จะรู้ว่าความคิดใครกันนแน่ที่ถูก ทั้งคุณและผมอยากให้อีกฝ่ายตาสว่างเหมือนกัน
แต่รอบนี้ผมอยากมาเพื่อแสดงตนว่า มีคนคิดอีกฝั่งอยู่ไม่ได้หายไปไหน เพียงแค่เขาไม่ออกมาเม้นก็เท่านั้นแหละ
ไม่ตอบต่อแล้วนะ แยก !!
ผมมีข้อสงสัยในทัศนคติของคุณนะครับ เพราะเห็นคุณพูดแต่เรื่องการใช้ชีวิต
อันนี้ขอถามว่าคุณอยู่ในวัยกำลังศึกษา หรืออยู่ในวัยแรงงานครับ? เพราะผมจำได้คร่าวๆว่าคุณกำลังศึกษาอยู่
คือถ้าคุณกำลังศึกษาอยู่ผมจะเข้าใจคุณมากขึ้นครับ เรื่องทัศนะคติต่างๆและคงไม่มีคำถามอะไร แต่ถ้าคุณอยู่ในวัยทำงานเนี่ย มีคำถามเต็มหัวผมเยอะไปหมดครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ผมยังไม่ขอไปไกลถึงเรื่องการตรวจสอบประสิทธิภาพการใช้เงินอะไรหรอกครับ แค่อยากพูดถึงสิทธิ์ในการเลือกว่าเราต้องการให้รัฐบาลของเราเอาภาษีไปใช้กับนโยบายทางไหนมากกว่า เพราะนี่คือเสรีภาพในเรื่องทำสำคัญมากเรื่องหนึ่ง (หรือคุณจะบอกว่าเงินคุณรายได้คุณไม่สำคัญ อันนี้ก็ไม่ต้องถกเถียงกันต่อครับ)
บางคนอยากได้นโยบายเน้นเกษตรกรรม
บางคนอยากได้นโยบายเน้นการส่งออก
บางคนอยากได้นโยบายเน้นการกวดขันวินัย
บางคนอยากได้นโยบายเน้นการปฏิรูปกฎหมาย
บางคนอยากได้นโยบายเน้นการคมนาคม
แต่ละคนอยากได้ไม่เหมือนกันครับ และเมื่อก่อนแต่ละคนก็มีสิทธิ์เลือกในระดับหนึ่ง แต่ตอนนี้ทุกคนไม่มีสิทธิ์เลือก ต้องอยู่กับสิ่งที่ท่านผู้นำคิดว่าดีคิดว่าเหมาะสมเท่านั้น
นี่แหละครับเสรีภาพที่ขาดหายไป
That is the way things are.
จะว่าไปชุดปกครองไหนๆ ก็กากเดนพอกัน แต่ชอบตรงขุดด้านมืดขึ้นมา kill กันรัวๆ นี่แหล่ะ อิอิ
นักการเมืองทำอะไรก็โดนด่าครับ เพราะสุดท้ายแล้วทิศทางของแต่ละคนก็จะสร้างผลประโยชน์ใหักับบางคน และก็จะมีบางคนเสียประโยชน์ไม่ว่าทางไหน
แม้แต่ลุงตู่เองก็หนีไม่พ้นจากกฎข้อนี้เช่นกัน
ดังนั้นเราจึงมองนักการเมืองทุกคนว่าเลวกันหมดไงครับ (ฮา)
หวังว่าคุณคงไม่ลบ root CA ตัวนี้ออกจากเครื่องของคุณนะครับ
ถ้ายังไม่มีอยู่ในเครื่องก็ควรอย่างยิ่งจะรีบไปหามาใส่ไว้ แล้วก็ขอให้มีความสุข
อืม ผมคิดว่าสิ่งที่คุณเสนอมามันก็มีเหตุมีผลนะ เพียงแต่ว่าในความเป็นจริงมันมีสิ่งที่เรียกว่า discrimination/favorable treatment น่ะครับ กล่าวให้ถึงที่สุดคือเราไม่มีเสรีภาพในการใช้สิทธิตั้งคำถามเพื่อตรวจสอบองค์กรและการใช้อำนาจของรัฐได้เลย ฐานคิดภาษีคือเรื่องหนึ่ง (มีคนยกไปมากแล้ว) แต่ฐานคิดนโยบายก็เป็นอีกเรื่อง
ผมเองไม่อยากยกตัวอย่างไกล แต่กรณีที่รัฐบาลไทยไปตกลงกับ Alibaba โดยที่ไม่มีใครรับรู้ในชั้นกระบวนการเจรจา และเมื่อรู้แล้วก็ทำอะไรไม่ได้ เพราะหนังสือแสดงเจตนา (letter of intent) ได้ถูกลงนามไปแล้ว คำถามคือ เรามีการตรวจสอบนโยบายที่ดีพอก่อนลงนามหรือไม่ และการลงนามในแต่ละครั้ง มีการคาดคะเนผลได้ผลเสียที่ดีพอและเป็นกระบวนการที่เปิดต่อสาธารณะหรือไม่ด้วย ในกรณีที่ผมยกตัวอย่างคือ ไม่มี และต่อให้มี เราก็ไม่สามารถทำได้อย่างเต็มที่ เพราะกระบวนการนี้ถูกปิดกั้นด้วยการไม่สามารถใช้เสรีภาพในการตรวจสอบการดำเนินนโยบายของรัฐได้
เสรีภาพที่คุณระบุมา คือเสรีภาพคนละชุดกัน เพราะการเดินทางไปไหนมาไหน อยากซื้ออะไรที่ต้องการ เป็นเสรีภาพทางเศรษฐกิจและดำรงชีวิตประจำวัน แต่ถ้าเมื่อใดที่การตัดสินใจพิจารณานโยบายต่างๆ มีผลกระทบต่อชีวิตประจำวัน เสรีภาพที่ถูกจำกัดเอาไว้ ย่อมกระทบต่อเสรีภาพในชีวิตประจำวันได้ครับ
อีกอย่างที่ผมอยากเรียนคือ รัฐบาลมาแล้วก็ไป แต่กระบวนการทางการเมืองยังอยู่ ต่อให้คุณไว้วางใจว่ารัฐบาลนี้ดีแค่ไหน วิเศษแค่ไหน มีเครื่องมือที่มีอำนาจมากแค่ไหนแต่ไม่ใช้ พอเปลี่ยนคน เปลี่ยนรัฐบาล เครื่องมือเหล่านั้นในฐานะองค์ประกอบของระบบราชการก็ยังคงอยู่ และนั่นคือสิ่งที่อันตรายครับ เพราะเราไม่มีหลักประกันใดๆ ว่า คนที่มาใหม่จะไม่ใช้เครื่องมือเหล่านี้ ขณะที่รัฐบาลชุดปัจจุบันก็ไม่แน่ว่าจะอยู่ถึง 20+ ปี หรือไม่อีกต่างหาก
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
ตรรกะบรรลัยจริงๆ มายืนยันอีกคน
ตรรกะป่วยมากจริงๆ
ยังกับตอนนี้มันมีระเบียบ แหม่ ตรรกกะอัลลัย
แล้วตอนนี้ระเบียบวินัยดีขึ้นยังไงครับ?
ระเบียบวินัยของประชาชนเนี่ยเขาวัดกันยังไงเหรอครับ? วัดจากความรู้สึกของคุณเหรอ? ถ้าวัดไม่ได้แล้วรู้ได้ยังไงว่าประเทศไหนมีระเบียบหรือไม่มีครับ? สุดท้ายระเบียบวินัยของคนในประเทศสัมพันธ์กับการมีอยู่ของประชาธิปไตยยังไงอ่ะครับ อย่าอคติกับประชาธิปไตยนักสิครับ เปิดใจบ้างเหมือนม๊อตโต้ของคุณน่ะ
สนับสนุนความคิดคุณ 0FFiiz อีก 1 เสียงครับ
** ลบครับ ตอบผิดเมนท์ที่ตั้งใจ ***
มีวิธีดูว่า root CA นี้ออกใบรับรองให้โดเมนไหนไปบ้างรึเปล่าครับ
หมายถึง ดูว่า root CA นี้ได้ออกใบรับรองให้โดเมนไหนไปแล้วบ้าง ใช่มั๊ยครับ มีครับ รู้จักอยู่ที่นึงคือ censys.io โดยใช้ search strings แบบนี้ครับ
แล้วเลือกเป็นการค้นหา Certificates ตรง pull-down ตรงปุ่ม Search
หรือไม่ก็คลิ๊กลิ้งก์ตรงอันนี้ก็ได้ครับ
ตอนนี้เห็นมีลูกค้าอยู่รายเดียวคือ Asia Wealth Asset Management ครับ ซึ่ง cert ใบนี้ ออกให้กันตั้งแต่เมื่อต้นเดือนธันวาแล้วครับ
รายชื่อใบรับรองดิจิตอลทั้งหมดที่ออกโดย Root CA และ Intermediate CA สัญชาติไทย
จุดประสงค์คือ การค้าโลก และ logistic
แต่ดันดูแลโดยหน่วยงานที่เคยให้ความเห็นการทำ sniffer
เลยโดนผู้เขียนโยงมาได้พอดี
ป ล browser มี cert pin แล้วนะ รู้กันยัง
สำหรับคนที่ยังงง ว่าทำไมไม่กลัวเอกชนที่เป็น root CA เจ้าอื่นจะดักฟังบ้าง ก็ต้องตอบว่า เพราะเอกชนเจ้าอื่นไม่มีอำนาจบังคับให้คนอื่นใช้ไงครับ นอกจากเจอเวบ phishing ซึ่งก็ง่ายในการตรวจสอบ
แต่ถ้าเป็น root CA ของรบ.เผด็จการที่มีอำนาจเต็มในการบังคับใช้กฎหมาย ก็สามารถที่จะทำ MITM ผ่านnational gateway ได้ง่าย(ก็บังคับมารวมกันก่อนออกนี่)
ยิ่งถ้าดูข่าวเก่าๆ ทุกอย่างมีการ"เตรียมการ"มาหมดแล้ว จึงไม่แปลกที่จะกังวล ว่าการทำ root CA มีความสอดคล้องกับ ข่าวnational gateway และข่าวพรบ.ความมั่นคงทางไซเบอร์
ปลัดไอซีทีเสนอสร้างเกตเวย์แห่งชาติ ช่วยบล็อคเว็บ ป้องกันการโจมตี
จับตาก้าวต่อไป ร่าง พ.ร.บ.ความมั่นคงไซเบอร์ เจ้าหน้าที่เข้าถึงข้อมูลโดยไม่ต้องขอหมายศาล
HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว
ตัวอย่างมีมาแล้ว ไม่ใช่ไม่เคยมี ใครที่ยังคิดว่า ไม่ทำผิดจะกลัวอะไร ก็หวังว่าสักวันคงไม่โดนผลกระทบเองกับตัว จะมาโวยวายทีหลังก็อาจจะไม่ทัน
อิหร่านบล็อค HTTPS ทั้งประเทศ
กูเกิลเตือนใบรับรอง SSL ปลอมถูกรับรองโดย CA สำหรับดักฟังในอียิปต์ รับรองโดย root CA ของจีน
รัฐบาลคาซัคสถานยื่นขอ root CA ใน Mozilla หลังออกนโยบายดักฟังทั้งประเทศ
พวกเบราว์เซอร์ยังไม่น่าห่วงเท่าไหร่นะครับ กดทีสองทีก็เห็นแล้วว่าใบรับรองจากไหน ดีไม่ดีอาจจะมี extension เช็คก็ได้ว่าถ้ามาจาก root นี้นี้นี้ให้ขึ้นสีแดงให้หน่อย น่าห่วงพวกแอปที่ไม่ได้ pin ใบ cert มามากกว่า
ใครช่วยสรุปทีครับ สรุปว่าใช้ Edge กับ Chrome มีสิทธิโดนรัฐบาลดักฟังได้อย่างนั้นใช่ไหมครับ? ใช้ Firefox ปลอดภัย?
อย่างนี้ใช้ Linux ปลอดภัยไหมครับ?
ผมมองว่ามันเป็นการพัฒนาของอินเตอร์เน็ตในบ้านเรามากกว่านะครับ
จะได้ของออก cert จากหน่วยงานในไทยได้บ้าง ไม่ต้องไปขึ้นอยู่กับ cert ที่ออกจากต่างประเทศ
เรื่องโดนดักฟังผมไม่ค่อยกังวลเท่าไหร่ เว็บที่ผมทำบางเว็บก็ใช้ cert ฟรีจากพวก cdn ทั้งหลาย ผมยังคิดเลยว่าทำแบบนี้ไม่มีประโยชน์เลย
เพราะข้อมูลที่ส่งไปมันก็ผ่าน cdn ทั้งหมด ให้เข้ารหัสยังไงก็ไม่มีประโยชน์เพราะถ้าเกิด cdn มันจะดักฟังข้อมูลเราก็ทำได้ง่ายๆเลย เพราะมีคีย์ทั้งหมดแถมข้อมูลก็ผ่านทางนั้นอยู่แล้ว แถมกฎหมายหลายๆประเทศใหญ่ก็เปิดทางให้ดังฟังข้อมูลได้ถ้ามีคำสั่ง
ผมไม่ได้สนับสนุนให้มีการดักฟังข้อมูลนะครับ แต่แค่มองว่าเรื่องนี้มีประโยชน์สำหรับอุตสาหกรรมไอทีบ้านเรา
คุณถูกบังคับใช้ CDN หรือครับ?
lewcpe.com, @wasonliw
ใครใช้ Active Directory ถอดออกทั้ง AD เลยได้ไหมนะ
ลองมองอีกมุมนึงครับ ผมไม่ได้เชียร์รัฐบาล 100% ที่ผ่านมาก็วิจารณ์ พรบ.คอม และ Single Gateway มาโดยตลอด ไม่สนับสนุนด้วย แต่มีหลายคนเริ่มบอกว่าอาจมีผลดีเพราะมาจากโครงการนี้ : https://www.etda.or.th/content/thailand-nrca.html ชื่อเหมือน Root CA ดังกล่าวเลย
ใช่ครับ
ผมถึงมองว่า บทความนี้ต้องการสร้างความหลอน มากกว่า แสดงข้อเท็จจริง
โครงการนี้น่าจะเป็นกลไกพื้นฐานนึงของ Thailand 4.0
ในการออกใบ cert จากในประเทศได้ เพื่อให้คล่องตัวขึ้นในการสร้างลายเซ็นดิจิตัล
(เทียบได้กับ domain .com -> co.th)
การปลุกเร้าให้ลบ cert ตัวนี้ออกไปจาก browser
ถ้าเข้าใจไม่ผิด ผลคือ จะทำให้ธุรกิจทั้งหมดที่จะใช้ cert นี้เป็นฐาน กลายเป็น untrusted ทั้งหมด
มองในแง่ร้ายได้ว่า เป็นการทำให้หลอน เพื่อเจาะยาง Thailand 4.0 ได้เลยนะ
มันอยู่ที่ความเชื่อถือในตัว root CA ของดีใครก็อยากใช้ ในโลกธุรกิจข้อมูลเป็นเรื่องสำคัญ ชี้เป็นชี้ตายได้
โดยเฉพาะเรื่องการเงิน ถ้ามีข่าวว่าข้อมูลหลุดใครเสียหาย
แล้วความไม่มั่นใจเกิดจากใครกันแน่ บทความ ตัวNRCAเอง หรือรัฐฯ
ถ้าเขาไม่ใช้หรือไม่อยากใช้ ต้องกลับมาพิจารณาตัวเองครับ
ไม่ตอบคคห.ผมข้างบนหน่อยหรือ อุตส่าห์อธิบายให้ฟังว่าทำถึงควรจะต้อง"หลอน"
้ก็เพราะพรบ.คอมเนี่ยแหละครับที่ทำให้root caตัวนี้น่ากังวลยิ่งขึ้น
ระบบการออกใบ มันก็มีระบบตรวจสอบอยู่นะ
ถ้า rootCA ออกใบซี้ซั้ว ก็โดนถอนออกได้ แบบที่ WoSign โดน
พูดอีกทีคือ ที่ใส่เข้ามาใน browser ได้ ก็แสดงว่าทำตามขั้นตอนมาดีพอควร
พูดง่ายๆคือ ปล่อยตาม default ของ browser ไปเหอะ
ไม่ต้องดิ้นรนถอดออก หรือ แสวงหามาใส่
ปล่อยให้เป็นหน้าที่ขององค์กร browser เค้าจัดการดีกว่า
หมายความว่า รอให้เขาทำใบรับรองปลอมก่อน ค่อยกังวล?
ข่าวเก่าๆมีตัวอย่างเยอะแแยะ ยกมาให้ดูนี่ไม่ได้ดูเลยหรือ ว่ามันมีตัวอย่างที่เกิดขึ้นจริงมาแล้ว..
กระบวนการยื่นเรื่อง เข้า root CA ของ Microsoft เริ่มมาตั้งแต่ปี 2550 แล้วไม่ใช่หรอครับ
ไม่ทราบครับ (อาจจะยื่นมาหลายครั้งแล้ว)
แต่เอกสารที่ใช้ยื่นครั้งนี้เป็นการตรวจช่วงปี 2015-2016 ครับ ตามลิงก์ของเอกสารบริษัท BDO Malaysia
lewcpe.com, @wasonliw
อ่านจากคุณ Paradorn เขาว่าเริ่มยื่นเรื่องมาตั้งแต่ 2550 แล้ว
https://www.facebook.com/X20AThinkpad/posts/1759466287412850
ก็เป็นไปได้ที่ยื่นเรื่องไปหลายรอบแล้ว แต่ไม่ผ่าน Audit ของทาง Microsoft ดังนั้นเอกสารก็น่าจะมีการอัพเดทให้เข้มง่วดรัดกุมขึ้นเรื่อยๆ ไม่งั้นคงผ่านตั้งแต่รอบต้นๆแล้ว ยิ่งเดียวนี้ยุคทหาร ถ้าเอกสารยังหละหลวมมีช่องโหว่ให้มีการแทรกแทรงของรัฐได้ คงไม่น่าจะผ่านนะครับ ส่วนตัวคิดว่าน่าจะเอามาใช้ในหน่วยงานรัฐซะมากกว่า ถ้าเอกชนมันก็มีทางเลือกที่จะไปหา cert จากเจ้าอื่นๆได้
เอกสารการ audit ไม่มีพูดเรื่องสถานะการณ์ทางการเมืองครับ ไมโครซอฟท์เคยพิจารณาถึงเรื่องนี้หรือไม่ไม่มีใครรู้ ไมโครซอฟท์ชี้ไปที่เอกสาร audit เท่านั้น ตัวข่าวนี้เอง Privacy International ก็โวยเพราะว่าควรนำมาพิจารณา
มันไม่เกี่ยวกับใครใช้เจ้าไหนครับ แต่ถ้ามันอยู่ในเครื่อง root CA นั้นจะออกใบรับรองให้ใครก็ได้ ดังนั้นทุก root CA ต้องปลอดภัยเท่ากันหมด
lewcpe.com, @wasonliw
มันก็ต้องไม่เกี่ยวกับการเมือง ถูกแล้ว แต่จากข่าวนี้นี้มีหลายคนเอาไปใช้ประโยชน์ทางการโจมตีทางการเมือง Single Gatweay หรือว่าไม่ใช่ครับ
ผมตอบตามคอมเมนต์ของคุณเอง "ยิ่งเดียวนี้ยุคทหาร ถ้าเอกสารยังหละหลวมมีช่องโหว่ให้มีการแทรกแทรงของรัฐได้ คงไม่น่าจะผ่านนะครับ" นะครับ
ความน่าเชื่อถือโดยรวมของรัฐบาลนี้กับอินเทอร์เน็ตตกต่ำตามรายงานที่เขาพูดมาว่ามีกรณีที่เราบล็อคแล้วบอกว่าไม่ได้บล็อค "มันต้องไม่เกี่ยวกับการเมือง" ไหมนี่ ตามรายงานในข่าวเขาคงมองว่าเกี่ยวครับ
lewcpe.com, @wasonliw
คุณเองก็เป็น blogger เขียน/แปลข่าวไอที ก็เลือกที่จะสื่อความหมาย ชี้นำ ไปในทางนั้นเอง
ผมเห็นด้วยว่า คุณ lew เขียนได้ค่อนข้างชี้นำ
เพราะต้นคิดคือการออกใบในประเทศได้สะดวกขึ้น
เพราะ browser แต่ละเจ้าร่ำๆจะให้ http ปกติ เป็น untrusted แล้ว
การมี rootCA ของเราเองจะทำให้การออกใบให้กับเวปไทยจำนวนมหาศาล
ทำได้รวดเร็วขึ้น/เสียค่าใช้จ่ายน้อยลง
ซึ่งถ้าใส่ "มุมมองอีกด้าน" อันนีั จะดูครบถ้วนรอบด้านเป็นกลางกว่าตีฆ้องว่า
"เฮ้ย รัฐจด CA แล้วเว้ย จะเอามาทำ MITM แน่นวล"
แบบที่เขียนมานี้
ผมว่าคุณ lew ใจเย็น ๆ บ้าง
ถ้ากลัวว่า rootCA ตัวนี้จะเอาไปออกใบทำ MITM
ก็รอให้จับได้ว่า ออกใบซ้ำซ้อนกับเวปที่จดกับ rootCA เจ้าอื่นโดยไม่ได้รับอนุญาตก่อน
รับรองโดนถอดออกแบบ WoSign โดนแน่ๆ
ถึงตอนนั้นค่อยกระซวกมิดด้ามให้ดิ้นก็ยังไม่สาย
ในเว็บของ thaidigitalid.com มีราคาอยู่ที่ 14,500 บาทต่อปี ใช้เวลาออก 1-2 วันทำการ (ไม่มีระบุว่าใบรับรองที่ออกเป็นแบบไหน) เทียบกับการออกใบรับรองจากต่างประเทศ ใช้เวลาประมาณ 15 นาที สามารถขอได้ตลอด 24 ชั่วโมง ค่าใช้จ่ายเริ่มที่ปีละ 300 บาท
iPAtS
ที่ราคามันแพงอยู่ตอนนี้ เดาว่า เพราะมันยังไม่ economy of scale ครับ
ถ้าออกจำนวนมาก ราคาน่าจะถูกลงได้ (แต่คงลงไม่ถึงหลักร้อย ยังไงก็คงอยู่หลักพัน)
ปัญหาที่ทำให้มันเป็น economy of scale ไม่ได้
เพราะมันยังไม่ได้รับการรับรองให้ฝังใน browser
เค้าเลยเดินเรื่องให้ใส่ใบของเค้าลงใน browser ซึ่ง M$ เป็นเจ้าแรกที่ให้
เป็นอยู่ตอนนี้คือ ใบยังไม่ได้ฝังอยู่ใน browser
ทำให้ browser ขึ้น untrusted กับเวปที่ใช้ใบที่ออกโดย thaidigitalid นี้
ก็เลยมีคนใช้แค่วงจำกัด เช่น BOT (ดูด้านซ้ายของ http://www.thaidigitalid.com)
แล้วถ้า ลองเข้าแบบ ssl ดู คำเตือนจะเด้งขึ้นมาเลย
https://www.thaidigitalid.com
(และนั้นน่าจะเป็นเหตุผลที่ทำไมเวปโหลดใบถึงยังเป็น http
เพราะถ้าใช้เป็น https ด้วยใบของตัวเอง มันจะขึ้น untrusted)
Thailand NRCA มีเปิดให้ดาวน์โหลดตัว Certificate แล้วเอาไปใส่ให้ browser ทำการ trust นานแล้ว ดังนั้นประเด็นนี้จึงไม่ใช่ปัญหา คือถ้าต้องใช้ยังไงก็ต้องใส่อยู่ดี
ส่วนตัวผมเห็นด้วยกับคุณ ipats ตรงที่ราคาต่อใบรับรองนั้นยังสูงมาก การระบุเรื่อง economy of scale แม้จะดูสมเหตุสมผลในเชิงตรรกะ แต่ในทางปฏิบัติแล้ว CA ก็มีต้นทุนที่ทุกเจ้ามีแบบ fix cost ไม่ต่างกันมาก (ถ้าสมมติในฐานที่ตัวแปรนั้นเหมือนกันหมด) ดังนั้นคำถามจึงย้อนกลับไปว่า หากผมเป็นผู้ให้บริการบนเว็บสักอย่าง เหตุผลอะไรที่ผมจะใช้ Thailand NRCA ทั้งที่ราคาของภาคเอกชนต่างประเทศถูกกว่ากันมาก นี่ยังไม่นับว่าใบรับรองที่ออกโดยเอกชนและหน่วยงานสากลเหล่านี้ ได้รับการยอมรับมากกว่าด้วย
เรียนตามตรง ถ้าผมเป็นนักธุรกิจ ก็คงใช้บริการผู้ออกใบรับรองต่างประเทศ
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
คุณพยายามจะบอกว่า
"การที่ user ต้องโหลด certificate มาใส่ browser เองไม่ใช่ปัญหาของการใช้งานในวงกว้าง"
มันแสดงความไม่รู้อะไรเลยเกี่ยวกับ computer security ของคุณเองเรียบร้อยแล้ว
ไม่มีอะไรต้องพูดต่อละครับ (- -')
ก็พูดจากตรรกะคุณแหละครับ ถ้าของจริงยังไงผมก็ไม่แนะนำให้ใครเอาใบรับรองมาโหลดซี้ซั๊วอยู่ดีครับ
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
เข้ามาอ่านข่าวนี้แล้ว รู้สึกหลอนเหมือนรัฐบาลไม่ไว้วางใจประชาชนจนต้องตั้ง root CA ขึ้นมาเพื่อปลอมใบรับรอง
ถามแบบไม่ทราบเลยนะครับว่า
เพราะของผมขอ SSL แบบ OV ทีไร ต้องไปจ้างแปลเอกสารแล้วให้ทนายเซ็น พักหลังๆ ดีขึ้นมาหน่อย ทางกรมฯ แปลหนังสือรับรองให้เลยแต่ค่าธรรมเนียมก็แพงอยู่ดี ถ้ามี root CA ประเทศไทยก็น่าจะประหยัดเวลามากขึ้นนะครับ อันนี้เป็นความคิดของผม ขอสงวนสิทธิ์นะครับ
ถ้ามี CA ในไทย ก็ดีเหมือนกันครับ อาจจะไม่จำเป็นต้องเป็น root เป็นแค่ intermediate ก็พอ สาเหตุที่ไม่มีเอกชน อาจจะเพราะไม่คุ้มลงทุน (เดาล้วนๆ)
ส่วนเคสขอ OV/EV ที่ต้องจ้างแปลเอกสาร ผมกลับมองว่า การมี CA ในประเทศ เป็นการแก้ปัญหาที่ปลายทางมาก เอกสารราชการ เช่น ใบรับรองนิติฯ มันควรออกเป็นภาษาอังกฤษได้ด้วยตัวหน่วยงานเองอยู่แล้วไม่ต้องไปแปลแล้วรับรองอีกที เพราะนอกจากขอ cert แล้ว มันยังมีกิจกรรมอีกหลายอย่างที่ต้องใช้ แล้วฟอร์มของใบรับรองนิติฯ ก็แทบจะเหมือนกันอยู่แล้ว ส่วนใหญ่ต่างกันที่อำนาจผู้ลงนาม กับวัตถุประสงค์ (ที่มักจะไม่ค่อยได้ใช้)
iPAtS
ดูเหมือนต้องแยกเคสก่อนนะครับ
1) เรื่องการหลอนในทางเทคนิค
1.1) คือ rootCA นี้เมื่อมาอยู่ในเครื่องเราแล้ว
ถ้ามีสร้างใบ fb, hotmail ซะเองออกมาด้วย rootCA นี้ เครื่องเราจะ trust
ทำให้ทางเทคนิคแล้วเอามาทำ MITM ได้
fbจริง -> MITM ดักถอด + encryptใหม่ด้วย rootCA นี้ -> เครื่องเรา trust
เหมือนที่เอกชนบางแห่งบังคับให้ทุกคนลง rootCA ขององค์กร เพื่อทำ MITM ที่ gateway ของ องค์กร
แต่ในทางปฏิบัติ browser ไม่ใส่ rootCA นี้มาแต่แรก + เราไม่ไปหามาลง
เครื่องเราจะฟ้องทันทีว่า untrusted ทำให้รู้ทันทีว่ามี MITM
1.2) ทีนี้ การขอให้ฝัง rootCA ใน browser นี้ มันเป็นปกติที่รัฐบาลทุกประเทศ/เอกชนที่ออกใบ เค้าทำกัน
ถ้าลองไล่ๆดูใบที่ฝังใน browser ก็เห็นครบทุกชาติ ทั้งรัฐบาลไต้หวัน ญี่ปุ่น ฯลฯ
ดังนั้น การขอให้ฝังใน browser โดยตัวมันเอง มีประโยชน์มากในการทำงานเชิงดิจิตัล
แล้วฝั่ง browser ก็มีระบบตรวจสอบว่าออกใบอะไรแปลกๆหรือเปล่า
ซึ่งถ้าตรวจสอบเจอ
ฝั่ง browser จะถอดใบ rootCA นั้นๆออกจาก browser ทันทีแบบที่ WoSign โดน
จะทำให้เสียหายมหาศาล ทั้งลูกค้าที่ออกใบโดยใช้ rootCA ตัวนี้เป็นฐาน จะ untrust ทั้งยวง
และเสียความน่าเชื่อถือของเจ้าของ rootCA ด้วย
ดังนั้น ผมถึงแนะนำว่า ไม่ต้องหลอน ให้ไว้ใจระบบตรวจสอบของ browser
ถ้าเค้าใส่มาก็ ไม่ต้องดิ้นรนถอนออก
ถ้าเค้ายังไม่ใส่มา ก็ไม่ต้องไปหามาใส่
2) เอกชนทำได้มั๊ย? ผมว่าก็น่าจะทำได้
แต่ค่าใช้จ่าย การจ้าง บ. มาตรวจสอบขั้นตอนการออกใบว่าได้มาตรฐานน่าเชื่อถือจริงๆ น่าจะแพงไม่น้อย
ถ้าทำแล้วไม่มีคนมาขอใบ = เจ๊งเน้นๆ
แล้วถ้าทำได้ ขั้นสุดท้ายเพื่อให้ใช้งานได้จริงในวงกว้าง
ก็ต้องเดินเรื่องขอให้ใส่ใน browser แบบที่ทำกันอยู่นี่ อยู่ดี
มันซับซ้อนซ่อนเงื่อนมิใช่น้อย ขนาดไล่อ่านคอมเม้นจนเกือบหมดก็ยังหาข้างที่ถูกใจไม่ได้ Root CA Thailand จะเอามีดไปปลอกผลไม้หรือเอาไปไล่แทงคนน้าาาา
เห็นด้วยกับคุณ Hoo ในหลายประเด็นครับ ข่าวชิ้นนี้อ้างอิงแหล่งข่าว 2 ที่ แต่ลองมาดูกันว่ามีสาระสำคัญอะไรหายไปรึเปล่านะครับ
เริ่มจากหัวข้อที่ตั้ง(แปล+ปรุง)ไว้ว่า HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์รับ root CA ของรัฐบาลไทยตั้งแต่ปลายปีที่แล้ว อันนี้ถ้าคนไม่รู้เรื่องทางเทคนิคลึกๆก็คงจะงงกันว่ามันเกี่ยวอะไรกันกับการที่รัฐบาลมี root CA ที่ผ่านการรับรองแล้วกับการที่ HTTPS จะเอาไม่อยู่ เอาอะไรไม่อยู่ ซึ่งถ้ารู้เรื่องทางเทคนิคลึกๆก็อ๋อ เอาเรื่อง MitM มาโยงกันกับเรื่องไทยมี CA น่ะเอง
ต่อมาประเด็นหลักในเนื้อความซึ่งได้เน้นตัวหนาไว้ คือ ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย ตรงนี้อ่านปุ๊บก็เข้าใจได้ปั๊บว่า ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย (ตามที่เขียน) แต่ มันก็ยังมีนัยยะให้เข้าใจไปได้ด้วยว่า ผู้ผลิตซอฟต์แวร์(หลัก)รายอื่น หรือเบราซ์เซอร์(หลัก)เจ้าอื่นนั้น ไม่ให้การยอมรับ root CA ของรัฐบาลไทยอันนี้ นี่คือจุดสำคัญ เพราะจากการใช้คำพูดแบบที่แปลมานั้นมันทำให้คนอ่านคิดไปได้ว่า ผู้ผลิตซอฟต์แวร์(หลัก)รายอื่นหรือเบราซ์เซอร์(หลัก)เจ้าอื่นนั้น ได้ถูกขอให้ยอมรับ root CA ตัวนี้แล้ว แต่ก็ไม่ได้ให้การยอมรับเหมือนที่ไมโครซอฟท์ให้การยอมรับ และสงสัยต่อไปว่าทำไมไมโครซอฟท์จึงเป็นเจ้าเดียวที่ให้การยอมรับ ทำไมเจ้าอื่นๆไม่มีใครให้การยอมรับ ทั้งๆที่จริงๆแล้วเจ้าอื่นๆนั้นอาจจะยังไม่ได้ถูกขอให้พิจารณายอมรับหรืออาจถูกขอแล้วแต่ยังไม่ได้พิจารณาหรือพิจารณายังไม่เสร็จด้วยซ้ำ
ทีนี้มาดูคำพูดที่ต้นฉบับใน The Verge ซึ่งใช้ว่า
ตรงหัวข้อ และใช้คำว่า
ตรงด้านในเนื้อหา เทียบกันกับประโยคที่แปลมากันอีกที
จะเห็นว่าในระหว่างการแปลนั้น มีคำสำคัญหายไป 2 คำ คือคำว่า by default และคำว่า automatically ซึ่งการหายไปของคำเหล่านี้นั้นมันทำให้ความหมายเปลี่ยนไปเยอะเลยทีเดียว เพราะถ้าบอกว่า
หรือบอกว่า
ก็จะยังเข้าใจได้ว่าอาจยังมีเจ้าอื่นที่ยังยอมรับ root CA ของรัฐบาลไทยอยู่ เพียงแค่อาจไม่ได้ยอมรับโดยอัตโนมัติเท่านั้น ซึ่งแตกต่างจากการเข้าใจไปว่าไม่ยอมรับเลย เพราะการไม่ยอมรับเลยนั้นหมายถึงการตรวจสอบแล้วแล้วไม่ยอมรับ แต่นี่ได้มีการตรวจสอบไปหรือยังก็ไม่รู้ เผลอๆอาจยังไม่ทันได้ยื่นเรื่องขอให้ตรวจสอบเลยด้วยซ้ำ
สำหรับการใช้คำว่า ... that automatically trusts ... ของต้นฉบับ The Verge นั้น ผมไม่แน่ใจว่าหมายถึงอะไร เพราะการที่ CA cert จะถูก trust ได้นั้นมันไม่ใช่อะไรที่มัน automatic ครับ มันต้องผ่านขั้นตอนต่างๆมากมาย และหลังจากผ่านขั้นตอนต่างๆทั้งหลายแล้วสุดท้ายมันต้องมีการ push โดยไมโครซอฟท์ให้เข้ามาใน Windows Certificate Store ของ Windows แต่ละเครื่อง ไม่ใช่ว่า automatic แล้วใครจะทำ root CA ขึ้นมาก็ได้แล้วเอาไปวางที่ไหนให้มัน automatic เข้ามาอยู่ใน Windows ได้เองโดยอัตโนมัตินะครับ
และถ้าจะว่าไปแล้ว คำว่า trust ใน context ของ Certificate Store นั้น ส่วนตัวแล้วมองว่าใช้คำว่ารับรองน่าจะเหมาะสมกว่าคำว่ายอมรับครับ เพราะมันหมายถึงการได้รับรอง CA เจ้านี้และยอมให้ cert ใบนี้ของ CA เจ้านี้นั้นได้เข้าไปอยู่ใน Certificate Store ในสถานะ trust แล้ว แต่เอาเถอะ ยอมรับก็ยอมรับ
ทีนี้มาถึงเรื่องของการมโน เอ๊ยการหลอน เอ๊ยการกลัวกันว่ารัฐบาลไทยจะขอ root CA มาเพื่อการดักฟังประชาชนนั้น ความเห็นส่วนตัวผมเห็นด้วยกับคุณ Hoo และอีก 2-3 ท่านด้านบนว่าไม่จำเป็นที่เราจะต้องตื่นตระหนกกันเกินไปนัก ลองคิดดูว่ากว่าจะได้ root CA ตัวนี้มาอยู่ใน Windows Certificate Store ได้สำเร็จนั้น NRCA, ETDA และทุกฝ่ายที่เกี่ยวข้องต้องผ่านอะไรกันมาบ้าง ต้องเจอการ audit กันไปกี่รอบต่อกี่รอบ และต้องใช้เวลาถึงกี่ปีนับจากเริ่มต้นโครงการนี้จนมาสำเร็จลงได้ ส่วนตัวผมอยากจะชื่นชมและให้กำลังใจทุกฝ่ายที่ผลักดันโครงการนี้จนสำเร็จ ทำให้เรามี National Root CA เข้าไปอยู่อย่างน้อยตอนนี้ก็ใน Windows ได้ ไม่น้อยหน้าชาติอื่น ผมว่าพวกเราน่าจะภูมิใจกันนะครับ และน่าจะรู้จักมองในแง่ดีกันบ้าง ประโยชน์ของมันก็มีเยอะนี่ครับ ต่อไปนี้เรามี CA เป็นของตัวเองไม่ต้องจ่ายเงินให้ CA ต่างชาติ อย่างน้อยถึงแม้ตอนนี้ซึ่งยังอยู่ในช่วงเริ่มต้นซึ่งคนส่วนใหญ่ยังไม่ให้ความเชื่อถือกับ CA น้องใหม่รายนี้ แต่ผมคิดว่าจะเกิดประโยชน์อย่างมหาศาลกับวงราชการครับ โดยเฉพาะเว็บไซต์ของทางราชการนั้นน่าจะได้เริ่มยกระดับมาตรฐานความปลอดภัยกันขึ้นมาด้วย root CA ของเราตัวนี้ในเร็วๆวันนี้แน่นอนครับ ทำให้เราเข้าเว็บไซต์ราชการทั้งหลายกันได้อย่างปลอดภัยขึ้น อย่ากลัวกันแค่ว่ารัฐบาลจะมาแฮ็กเราเวลาเราเข้า Facebook เข้า Twitter สิครับ เราไม่กลัวพวกเรากันเองมาแฮ็กเอาข้อมูลเราเวลาเราเข้าเว็บราชการที่ยังไม่ปลอดภัยกันเหรอครับ เราไม่อยากให้เว็บราชการของเรามีความปลอดภัยมากขึ้นกันเหรอครับ อย่าลืมว่างบประมาณที่อาจต้องจ่ายให้ CA นอกหากเราไม่มี root CA ของเราเองมันก็คือภาษีของพวกเรากันทั้งนั้นนะครับ ส่วนเว็บราชการที่สำคัญๆจริงๆที่อาจใช้ EV อย่าง BoT อาจจะบอกว่าเราใช้ EV แต่ NRCA ยังไม่มี intermediate CA ที่เป็น EV ก็จะขอใช้ของนอกไปก่อนก็คงไม่มีใครว่า แต่ผมเชื่อว่า 90%+ น่าจะเริ่มใช้ Thai Digital ID CA G2 กันได้เลย และในอนาคต NRCA อาจพัฒนาไปอีกขั้นด้วยการผลักดันให้มี intermediate CA ที่เป็น EV ได้สำเร็จ ก็ขอเอาใจช่วยนะครับ
หากหลายคนยังกลัวเรื่องการที่รัฐบาลจะทำ MitM โดยใช้ root CA ตัวนี้เป็นเครื่องมือนั้น ลองคิดดูครับว่ามันจะคุ้มกันมั๊ยกับการที่จะทำแล้วจะต้องถูกลงโทษโดยเบราซ์เซอร์แบบที่ WoSign ของรัฐบาลจีนโดน ต้องแยกให้ออกนะครับระหว่าง NRCA กับรัฐบาล รัฐบาลทหารที่เป็นที่ชื่นชอบของหลายๆคนและก็เป็นที่รังเกียจของหลายๆคนอาจสามารถสั่งการ NRCA ได้ก็จริง แต่ลองมาดูว่า 1. NRCA จะยอมทำในสิ่งที่หลายคนกำลังกลัวกันหรือไม่ 2. ทำแล้วต้องเจอกับอะไร สิ่งที่ได้ลงทุนลงแรงไปตั้งหลายปีอย่าง root CA ตัวนี้จะตกอยู่ในสถานการณ์ใด จะเจอแบบที่ WoSign เจอหรือไม่ 3. จะเกิดอะไรขึ้นกับใบ cert ทั้งหลายที่ได้ออกไปแล้วและเซ็นรับรองขึ้นมาถึง root CA ตัวนี้ 4. จะเกิดอะไรขึ้นกับความเชื่อมั่นที่ทุกคนทุกฝ่ายกำลังจะมีให้ CA น้องใหม่รายนี้ของเรา ฯลฯ ส่วนตัวผมมองว่าไม่คุ้มกันแน่นอนครับ และผมไม่คิดว่าทาง NRCA จะยอมทำ เขาไม่ใช่ไม่รู้ว่ามันเสี่ยงแค่ไหน
สำหรับคนที่กลัวนั้น วิธีป้องกันการทำ MitM นั้นมีครับ คือการทำ HTTP Public Key Pinning หรือ HPKP ครับ ผมแนะนำให้ท่านลองดูว่าเว็บที่ท่านชื่นชอบนั้นได้ทำ HPKP ไว้หรือยัง ถ้ายังก็ขอแนะนำว่าให้ท่านแจ้งไปยังเว็บเหล่านั้นว่าขอให้ทำหน่อยและรีบๆทำด้วย เพราะท่านกลัวว่ารัฐบาลท่านซึ่งตอนนี้ armed with a national root CA จะใช้ National Root CA นี้มาดักฟังการสื่อสารการสนทนาของท่านกับทางเว็บไซต์ต่างๆที่ท่านเข้า ซึ่งเมื่อทำ HPKP แล้วก็จะทำให้เข้าเว็บไซต์ไม่ได้ถ้าเจอ cert ที่ไม่ได้ pin เอาไว้หรือ cert ที่ออกโดย CA ที่ไม่ได้ pin เอาไว้ถูกใช้อยู่ที่เว็บไซต์นั้นๆ ซึ่งจะเป็นวิธีป้องกันที่ชงัดนัก(แล)
สำหรับ NRCA นั้น ผมขอแนะนำให้รีบทำ HTTPS ให้เว็บไซต์ของท่าน www.nrca.go.th โดยด่วนครับ ตัวท่านเองเป็น CA แต่ไม่รองรับ HTTPS มันดูไม่น่าเชื่อถือเอาซะเลยนะครับ ผมก็ไม่รู้ว่าท่านผ่าน audit WebTrust มาได้ยังไง ถ้ายังใช้ intermediate CA ของตัวเอง sign ไม่ได้ก็แนะนำให้ขอของนอกใช้ไปก่อนเถอะครับ มันไม่ใช่เรื่องน่าอายหรอกครับ ไม่มี HTTPS เลยสิน่าอายยิ่งกว่า ระบบ PKI นั้นเป็นเรื่องของความเชื่อมั่นครับ ถ้าท่านเป็น CA แล้วไม่ทำตัวให้มันน่าเชื่อถือให้เป็นตัวอย่างแล้วจะมีใครมาเชื่อมั่นท่านมาใช้บริการของท่านล่ะครับ จะมีใครกล้าให้ความไว้วางใจท่านว่าท่านจะไม่ใช่ DigiNotar 2 ในวันข้างหน้า อย่าลืมว่า DigiNotar นั้นโดนแฮ็กผ่านเข้าไปทางเว็บเซิร์ฟเวอร์บริษัทนี่แหละครับ และสุดท้ายก็ต้องล้มละลายในที่สุด
สำหรับ Th@i Digital ID ซึ่งผมเดาว่าน่าจะเป็น commercial arm ของ NRCA นั้น ผมขอแนะนำให้รีบ tighten up your security โดยด่วนครับ เว็บไซต์ www.thaidigitalid.com ของท่านนั้นช่องโหว่เพียบครับ มีโอกาสที่จะโดนแฮกเกอร์ถล่มได้สูง as we speak ครับ ทั้ง DROWN ทั้ง POODLE ทั้ง CRIME ทั้ง weak Diffie-Hellman (DH) key exchange parameters ทั้ง RC4 ทั้ง ไม่มี Forward Secrecy ทั้ง certificate chain incomplete ครับ มี HTTPS มี cert แล้ว แต่ช่องโหว่ยังไม่อุดกัน จะ HTTPS จะ cert ก็ช่วยไม่ได้นะครับ ช่วยทำอะไรให้มันได้มาตรฐานกันหน่อยครับ ท่านมีเวลาเตรียมตัวตั้งกี่ปีครับกว่าจะถึงวันนี้ ท่านไม่ได้มีหรือสร้างให้มีบุคลากรที่เชี่ยวชาญทางด้านนี้เลยเหรอครับ ดู CA นอกเป็นตัวอย่างก็ได้ครับ ว่าเขาทำกันยังไง ส่วนตัวผมแนะนำให้ดูของ Comodo เป็นอย่างน้อยครับ
รายชื่อใบรับรองดิจิตอลทั้งหมดที่ออกโดย Root CA และ Intermediate CA สัญชาติไทย
ผมลบหัวข่าวออกตามคอมเมนต์นะครับ แต่ส่วนอื่นๆ ผมคิดว่าข้อมูลก็เป็นไปตามนั้น
lewcpe.com, @wasonliw
การมี root CA ของประเทศไทยเราเองเป็นสิ่งที่ดีและน่าสนับสนุน แต่ปัญหาที่แท้จริงผมคิดว่า มันเกิดจากเราไม่เชื่อมั่นในรัฐบาลของประเทศไทยเราในปัจุบันมากกว่า เลยส่งผลกระทบโดนมาถึงหน่วยงาน NRCA ที่เรากังวลว่ารัฐบาลอาจใช้อำนาจควบคุมได้ง่าย ทำให้ขาดความน่าเชื่อถือไปด้วย
ผมก็ยังแปลกใจที่หลายคน"ไว้วางใจ"รบ.ทหารมาก จนมาบอกว่าคนอื่น"กังวล"จนเกินไป เอาเถอะ มุมมองความชอบทางการเมืองเป็นเรื่องปัจเจก แต่ไม่ได้หมายความว่าจะปฎิเสธตัวอย่างที่เคยเกิดขึ้นจริงไปแล้ว ว่าไม่มีแนวโน้มที่จะเกิดอีก
จำปีก่อนที่มีความพยายามblock FB ทั้งเวบไม่ได้หรือ?
อย่าบอกนะว่าวิศวกรชาวตปท. โกหกสื่อตปท.เพื่อโจมตีรบ.ทหารกันเล่นๆ?
เอกสารราชการก็หลุดมาเรื่อยๆ ว่ามีความพยายามจะจัดซื้อเครื่องมือบางอย่าง รวมไปถึงดราม่าปลัดกระทรวงที่รุนแรงจนต้องลาออกกันไป มันไม่ใช่ว่า"กังวลไปเอง" แต่มันมีclue มากมายและควรเป็นสิ่งที่นำมาอภิปรายกัน...
ดูแล้วน่าจะเป็นการใช้ข้อความที่บิดเบือน ผมได้วิเคราะห์ไว้แล้วที่ข่าวต้นทางที่อ้างถึง
ถ้าจะเขียนข่าวให้เป็นกลาง ตรงนี้ต้องใช้ประมาณว่า
ซึ่งถ้าไปดูเอกสารต้นทางคือรายงานที่เผยแพร่โดย Privacy International thailand_2017_0.pdf ดีๆ ก็จะพบว่า ในส่วนที่มีการพูดถึงปัญหาที่อาจเกิดจากความเป็นไปได้ในการดักฟังนั้น ได้มีการพูดถึงแนวทางในการป้องกันเอาไว้ด้วย ว่า
แต่ก็เป็นที่น่าสังเกตว่า ตรงแนวทางในการป้องกันที่ว่านั้นดูเหมือนจะไม่ได้ถูกให้ความสำคัญซักเท่าไหร่ ถูกพูดถึงอยู่แค่ 2 บรรทัดเท่านั้น โดยไม่มีการอ้างอิงข้อมูลใดๆข้างนอกเลยแม้แต่น้อย ทั้งๆที่ตรงจุดอื่นๆ ก็มีการอ้างแหล่งอ้างอิงอยู่บ่อยๆ ซึ่งก็คงเป็นอะไรที่พอเข้าใจได้ เพราะถ้าทุกคนรู้ว่ามีแนวทางในการป้องกันนี้ ปัญหานี้ก็จะไม่ใช่ปัญหาที่จะต้องมาพูดถึงกันในระดับที่ทำให้ทุกคนต้องแตกตื่นกับแบบนี้ทันที และก็ดูเหมือนว่าทั้ง Blognone ทั้ง The Verge ทั้ง BBC ต่างก็เลือกที่จะมองข้ามตรงนี้ไป โดยไม่มีการหยิบยกขึ้นมาพูดถึงเลย สาเหตุเป็นเพราะอะไรนั้นท่านผู้อ่านคงต้องลองไปคิดกันดูเอาเอง
ซึ่งการป้องกันไม่ให้เกิดปัญหานี้นั้นทำได้ง่ายมาก ถ้าเป็นกรณีของเว็บ (HTTP/HTTPS) ก็คือการใช้วิธี HTTP Public Key Pinning หรือ HPKP (ซึ่งในรายงานใช้คำผิดว่า Certificate Pinning ซึ่งเป็นคนละอย่างกันกับ Public Key Pinning) เมื่อทำตรงนี้แล้ว หากเว็บไซต์ที่เราเคยเข้า (หลังได้เริ่มทำ HPKP) มีใบ cert ที่มี public key ที่เปลี่ยนไปจากของเดิม (เช่นรัฐบาลออก cert ปลอมโดยใช้ root cert ของตัวเองที่ได้รับการยอมรับโดยเบราว์เซอร์แล้วมาเพื่อใช้เป็นเครื่องมือในการดักฟังระหว่างเซิร์ฟเวอร์กับยูซเซอร์อย่างที่กลัวๆกัน) ก็จะทำให้เว็บดังกล่าวเข้าไม่ได้ทันที พร้อมคำแจ้งเตือนอย่างชัดเจนว่าน่าจะเกิดการทำ MitM attack ขึ้นแล้ว ทุกคนก็จะรู้กันในทันที ทีนี้จะโพทะนาหรือจะประจานอะไรก็ทำกันได้เลย และจากจุดนี้นี่เองที่ทำให้ผมเชื่อ (เป็นการส่วนตัว) ว่า รัฐบาลไม่กล้าทำแน่ๆ เพราะมันจะได้ไม่คุ้มเสีย โดยเฉพาะ NRCA ซึ่งต้องใช้เวลากว่าเกือบ 10 ปีให้ได้ root cert ตัวนี้มา ยิ่งไม่น่าจะกล้าเอาตรงนี้มาเสี่ยง
รายชื่อใบรับรองดิจิตอลทั้งหมดที่ออกโดย Root CA และ Intermediate CA สัญชาติไทย