By: lew 
on 26 January 2017 - 19:48
Tags:
หลังจากวันนี้มีข่าว root CA ของรัฐบาลไทยได้รับการเชื่อถือจากไมโครซอฟท์ ตอนนี้ผู้ใช้วินโดวส์จำนวนหนึ่งน่าจะได้รับอัพเดตที่มี root CA นี้เข้ามาในเครื่องแล้ว สำหรับคนที่ไม่ต้องการใช้งานน่าจะมีคนเขียนบทความจำนวนมากเพื่อแนะนำวิธีการถอนใบรับรองนี้ออกจากเครื่อง
ในทางกลับกันมีผู้ใช้จำนวนหนึ่งที่เชื่อใจรัฐบาลเป็นอย่างยิ่งและต้องการให้เข้ามาช่วยดูแลความปลอดภัย อาจจะต้องผิดหวังเพราะผู้ผลิตซอฟต์แวร์รายอื่นๆ ยังไม่รับรอง สำหรับ Chrome บน Windows นั้นไม่เป็นปัญหาเพราะใช้ฐานข้อมูล root CA ของวินโดวส์โดยตรง แต่กับไฟร์ฟอกซ์กลับใช้ฐานข้อมูลของตัวเองทำให้ใช้งาน root CA ตัวนี้ไม่ได้
บทความนี้จะแนะนำขั้นตอนการเพิ่ม root CA เข้าระบบ เพื่อให้สามารถเข้าเว็บที่รับรองโดย root CA รัฐบาลไทยได้อย่างสะดวก
เริ่มต้นด้วยการดาวน์โหลดใบรับรองจาก http://www.nrca.go.th/issue_cert.html (เว็บไม่มี HTTPS ถูกต้องแล้ว) โดยมีใบรับรอง 3 ใบ ได้แก่ Thailand National Root Certification Authority - G1, Thai Digital ID CA G2, และ Thai Digital ID CA G3 จะดาวน์โหลดได้ไฟล์ THNRCA.der, THIDG2,der, และ THIDG3.der ตามลำดับ
จากนั้นเข้าไฟร์ฟอกซ์หน้า about:preferences#advanced เลือกแท็บ Certificates
แล้วกด View Certificates จะได้หน้าต่างรายการ root CA ในเครื่อง กด Import เพื่อเพิ่มรายการ root CA ในเครื่อง
เมื่อเลือกไฟล์ CA ไฟร์ฟอกซ์จะถามว่าเราต้องการเชื่อถือ root CA นี้สำหรับบริการใดบ้าง ให้เลือกทุกรายการ แล้วกด OK
เมื่อเพิ่มใบรับรองทั้งสามใบครบ จะเห็นรายการ CA ในระบบแล้ว
หลังจากนั้นจะสามารถเข้าใช้งานเว็บที่รับรองโดย root CA เหล่านี้ได้โดยไม่มีการแจ้งเตือนอีกต่อไป
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
อดใจไม่ไหวเลยครับ <3
Blog | Twitter
ผมนี่รีบทำตามเลยครับ
เหมือนเตรียมแผนสอดแหนมไวไวนี้
ต้องมีความมั่นใจขนาดไหนในการติดตั้ง
ผมนี่เปิดให้ MITM เลยอ่ะ <3
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
พอติดตั้งแล้วรู้สึกคอมพ์ทำงานเร็วขึ้น เล่นเกมไม่กระตุกเลยครับ ขอบคุณครับ
เดี๋ยวๆ เพิ่ม root CA แล้วมีผลค้างเคียงเยอะขนาดนี้เลยหรอครับเนี่ย
สงสัยต้องลองมั่งแล้ว ;)
นี่rootCAหรือBaidu
มันยอดมากเลยล่ะซาร่า?!
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB
ขนาดคุณ lew ยังอดใจไม่ไหวที่จะช่วยชาติเพื่อความมั่นคงเลยครับ น่าปรบมือให้จริง LOL
ผมฮาตรง "(เว็บไม่มี HTTPS ถูกต้องแล้ว)" ขนาดเว็บตัวเอง Oops 555555+
เห็นแล้วมือสั่นรัวๆๆๆ
"ในทางกลับกันมีผู้ใช้จำนวนหนึ่งที่เชื่อใจรัฐบาลเป็นอย่างยิ่งและต้องการให้เข้ามาช่วยดูแลความปลอดภัย"
คนไทยใจกว้าง
Blognone = 138.1 news/w เยอะมากๆ
เสียดาย อยากลงจังเลย แต่ใครสติดีเค้าโหลด root cert ผ่าน HTTP orz
แอบสงสัยว่า เว็บของสรรพากร จะเปลี่ยนมาใช้ cert ตัวนี้ม้ั้ย (ฮา)
ลองมองอีกมุมนึงครับ ผมไม่ได้เชียร์รัฐบาล 100% ที่ผ่านมาก็วิจารณ์ พรบ.คอม และ Single Gateway มาโดยตลอด ไม่สนับสนุนด้วย แต่มีหลายคนเริ่มบอกว่าอาจมีผลดีเพราะมาจากโครงการนี้ : https://www.etda.or.th/content/thailand-nrca.html ชื่อเหมือน Root CA ดังกล่าวเลย
NRCA เป็นหน่วยงานภายใน EDTA นี่ครับ?
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ผมว่าวิธีตรวจสอบและปลดจาก Edge ไม่ได้ครับ
แสดงว่าผมต้องเผ่นกลับไปหมาไฟใช่ไหมครับ
ไปที่ cert manager ของวินโดวส์ แล้วจัดการ disable เลยครับ ใบรับรองนี้ไม่สามารถรับรอง CA ใดๆที่มาจาก root ได้อีก
ส่วนตัวเห็นด้วยนะถ้าจะมีหน่วยงานราชการของไทยเราออก Cert ให้ประชาชนนำไปใช้ได้อย่างแพร่หลาย
น่าจะมีการใช้ ssl กันอย่างแพร่หลาย ตอนนี้เหตุผลหนึ่งที่หลายๆเว็บยังไม่ใช้ Https น่าจะเพราะไม่อยากจ่ายค่า cert
แต่ทั้งนี้ทั้งนั้นหน่วยงานต้องรัดกุมให้ความสำคัญ และรับประกันความเสียหายและความปลอดภัยด้วย
แต่ทำไมเข้าไปดูแล้ว ถึงประกาศปฏิเสธความรับผิดชอบไว้แต่ต้น
http://www.nrca.go.th/disclaimer.html
ข้อจำกัดความรับผิด (Disclaimer)
... ทั้งนี้ Thailand NRCA จะไม่รับผิดสำหรับความผิดพลาดหรือการละเว้นใดๆ ในข้อมูลเหล่านั้น
Thailand NRCA จะไม่รับผิดต่อความเสียหายใดๆ รวมถึงค่าใช้จ่ายที่เกิดขึ้นไม่ว่าโดยตรงหรือโดยอ้อม ...
ปล.อันนี้ผมอาจจะยังไม่เข้าใจ อาจไม่เกี่ยวกับออก cert ก็ได้ หรือว่าปกติทั่วไปผู้ออก cert ก็ปฏิเสธความรับผิดชอบอยู่แล้ว
ผมว่าน่าจะแค่ใช้ยืนยันคนในวงราชการก่อนดีกว่าครับ
ของฟรีก็มีอยู่นะครับ
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6
แนะนำด้วยครับของฟรีที่ขึ้นสีเขียวไม่แจ้งเตือนจะเอาไปใช้
Let's Encrypt
lewcpe.com, @wasonliw
ขอบคุณครับ
ผมเคยลองใช้ละ แต่เงื่อนไขเยอะอยู่นะครับ
แนะนำให้อ่านรายละเอียดดีๆ
ลองเข้าไปอ่านๆบ้างแล้วเหมือนกันครับ
เหมือนจะยุ่งยากอยู่เหมือนกันต้องผ่านโปรโตคอล ACME เหมือนกันว่าจะต้องลง client ด้วย
และได้แค่ 90 วัน แต่เหมือนจะมีวิธีต่อ auto
แต่ถ้าฟรีก็ถือว่าน่าสนใจครับ
อีกอย่างผมก็เชียร์ cert แห่งชาตินี้เหมือนกันนะ
หวังว่าคนทั่วไปคงขอ cert ได้ เข้าไปอ่านๆแล้วเหมือนจะเน้นที่นิติบุคคล
รอดูกระแสต้านด้วย มองอีกอย่างมันก็ดีจะได้พัฒนา
คือความเข้าใจของหลายๆคนตอนนี้มี cert แห่งชาติในเครื่องเหมือนจะโดนดับจับข้อมูลประมาณนั้น
ที่จริงแล้วมี cert ดีกว่าไม่มีนะ ต่อให้ cert Genเอาเองก็เถอะ แต่ถ้าเสียก็คือพอมันสีแดงใครล่ะจะเข้าเว็บ
ปล่อยให้ว่างๆเป็น http แบบเดิมความรู้สึกของคนยังสบายใจกว่า
ก็เอาใจช่วย เห็นอุตส่าห์เปลี่ยน ชื่อกระทรวงเป็น เพื่อเศรษฐกิจและสังคม หวังว่าพี่จะไม่ได้มาเล่นๆ
ผมใช้อยู่หลายเว็บนะครับ ก็ใช้ได้ปกติ เงื่อนไขอะไรที่ควรอ่านหรือครับ
lewcpe.com, @wasonliw
ขอยืมคำพูดคลาสสิกหน่อย :3
ถ้าไม่ได้ทำอะไรผิด จะไปกลัวทำไมกัน?
ผมรอ Root CA อยู่
เว็บออก cert แต่ตัวเองไม่ใช้ https?
อ่านจบแล้ว เมาส์ในมือผมนี่สั่นไปหมดเลย
โดนแฮคแล้วครับ เอาเมาส์ไปสแกนไวรัสด่วน
กระบวนการยื่นเรื่อง เข้า root CA ของ Microsoft เริ่มมาตั้งแต่ปี 2550 แล้วไม่ใช่หรอครับ
EDTA ก่อตั้งเดือนกุมภา 2554 แต่ยื่นเรื่องตั้งแต่ปี 2550?
อันนี้ถ้าคุณมีข้อมูลจริงๆ ก็เอามาแชร์กันได้ครับ แต่ถ้าไม่มีแล้วพูดลอยๆขึ้นมา คุณเองจะกลายเป็นคนไม่น่าเชื่อถือนะครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
อ่านจากคุณ Paradorn ตามไปดูได้ที่
https://www.facebook.com/X20AThinkpad/posts/1759466287412850
ตกลงบทความนี้เปนโพสที่เน้นสำหรับให้กลุ่มกีคลองเล่นกัน, หรือต้องการให้ข้อมุลในการช่วยเซตสำหรับผุ้ใช้ทั่วไปจิงๆ.. เหนเค้าเอาไปแชรต่อแล้วก้องงๆ เกี่ยวกับกลุ่มเป้าหมายและวัตถุประสงค, https://www.facebook.com/itegov/posts/1245508788829811
อ่านย่อหน้าที่สอง แทบตกจากเก้าอี้ 555+
That is the way things are.
"สำหรับคนที่ไม่ต้องการใช้งานน่าจะมีคนเขียนบทความจำนวนมากเพื่อแนะนำวิธีการถอนใบรับรองนี้ออกจากเครื่อง"
ผมรออยู่
เอาอันนี้ไปก่อนครับ
เป็นการประชดประชันที่ "เล่นใหญ่มาก" 555
อยากให้คุณ Offiz ทำจังเลยครับจากกระทู้ก่อน
ฮาท้องแข็ง ประชดหลายจังหวะมาก 555
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
Review
สุดยอดมาก ใส่ไปสามรอบ
10/10 คะแนน จะใส่รอบที่สี่ถ้ามีโอกาส
โอ้จอร์จ เว็บไซต์ยังไม่ใช้ https เลย
oops
โอ้โห!! สวรรค์แห่งความปลอดภัยเล้ยย (เสียงสูง)
ครับ https://www.facebook.com/photo.php?fbid=10211416253979181&set=a.1539710289834.2075679.1147219864&type=3&theater
Thai Digital ID CA G3 นี่ใครตรวจสอบ Thumbprint SHA1 ตรงกับที่แจ้งในเว็บ NRCA ไหมครับ ส่วนอีกสองอันผมตรวจแล้วตรงนะ แต่ Subject key identifier นี่ตรวจสอบยังไงครับ
ใช้แล้วรู้สึกอุ่นใจครับ :P
oxygen2.me, panithi's blog
Device: ThinkPad T480s, iPad Pro, iPhone 11 Pro Max, Pixel 6