Tags:
Node Thumbnail

โครงการ Let's Encrypt ได้รับรายงานว่าบริการเว็บโฮสติ้งรายใหญ่บางรายมีช่องโหว่ทำให้แฮกเกอร์สามารถขอใบรับรองรับปลอมจากเว็บอื่นๆ ที่อยู่บนไอพีเดียวกันได้ ทำให้โครงการตัดสินใจปิดการยืนยันตัวตนเว็บแบบ TLS-SNI-01 ออกไป

TLS-SNI-01 ยืนยันความเป็นเจ้าของโดเมนด้วยการแจ้งชื่อโดเมนที่ไม่มีจริง เช่น 773c7d.13445a.acme.invalid จากนั้นเซิร์ฟเวอร์ของ Let's Encrypt จะเชื่อมต่อเข้าไปยังไอพีโดยแจ้งโดเมนเป็นโดเมนที่ได้รับแจ้งมา หากใบรับรองที่ได้รับระบุโดเมนถูกต้องก็จะถือว่าผู้ขอใบรับรองเป็นเจ้าของโดเมนจริง

แต่บริการเว็บโฮสติ้งส่วนหนึ่งปล่อยให้ผู้ใช้อัพโหลดใบรับรองของเว็บใดๆ ก็ได้เข้าไป ทำให้เมื่อคนร้ายอยู่บนไอพีใดก็สามารถออกใบรับรองของทุกโดเมนที่อยู่บนไอพีนั้นได้

ตอนนี้ทาง Let's Encrypt ปิดการยืนยันตัวตนแบบ TLS-SNI-01 ออกไปก่อนแม้จะไม่ใช่ความผิดของผู้ออกใบรับรองเองก็ตาม และจะทำรายการเว็บโฮสติ้งที่มีช่องโหว่เช่นนี และเมื่อเปิดบริการ TLS-SNI-01 แล้วก็จะบล็อคบริการสำหรับไอพีเหล่านั้น

ที่มา - Let's Encrypt

Get latest news from Blognone

Comments

By: akebin on 11 January 2018 - 08:46 #1027948
akebin's picture

เช่นนี --> เช่นนี้