OpenSSL เวอร์ชัน 1.1.1 สิ้นอายุขัย ต้องอัพเกรดเป็น OpenSSL 3.x แล้ว

By mk Founder on Tag: OpenSSL, Open Source, SSL, TLS
OpenSSL

โครงการ OpenSSL ไลบรารีพื้นฐานสำหรับเข้ารหัสเพื่อสื่อสารตามโปรโตคอล SSL/TLS ประกาศหยุดซัพพอร์ต (End of Life) เวอร์ชัน 1.1.1 ซึ่งถือเป็นการสิ้นสุดของสาย OpenSSL 1.x

OpenSSL 1.1.1 เป็นเวอร์ชันซัพพอร์ตระยะยาว (LTS) ที่ออกมาตั้งแต่ปี 2018 มีระยะเวลาซัพพอร์ตนาน 5 ปีเต็ม ตอนนี้สิ้นสุดแล้วตามแผนการที่ประกาศไว้เมื่อ 5 ปีก่อน

ผู้ใช้งานจำเป็นต้องอัพเกรดไปใช้ OpenSSL 3.x โดยมีทางเลือก 2 ทางคือ

  • OpenSSL 3.0 LTS ซัพพอร์ตถึงเดือนกันยายน 2026
  • OpenSSL 3.1 ซัพพอร์ตถึงเดือนมีนาคม 2025

ที่มา - OpenSSL via The Register

Read more

Cloudflare เปิดตัว Total TLS ออกใบรับรอง SSL ได้สำหรับทุก subdomain ในคลิกเดียว

By BlackMiracle Writer on Tag: Cloudflare, SSL, Security
Cloudflare

ปัจจุบันผู้ใช้ Cloudflare ทุกคนจะได้รับใบรับรองการเข้ารหัสเว็บ (SSL Certificate) ฟรีอัตโนมัติ โดยจะออกเป็นใบรับรองแบบ wildcard เช่น *.example.com แต่ก็มีผู้ใช้บางส่วนที่มี subdomain ซ้อนกันสองระดับขึ้นไป เช่น a.b.example.com หรือ a.b.c.example.com ซึ่งใบรับรองแบบฟรีไม่รองรับ

หากต้องการออกใบรับรองดังกล่าว ผู้ใช้ต้องเสียเงินสมัคร Advanced Certificate Manager (ACM) เดือนละ 10 ดอลลาร์สหรัฐ ที่สามารถออกใบรับรองให้ subdomain ได้ 50 ชื่อ แต่ก็มีข้อจำกัดว่าแอดมินต้องระบุชื่อทีละชื่อ ซึ่งไม่สะดวกและเสี่ยงต่อความผิดพลาด

Read more

Chrome เริ่มใช้ฐานข้อมูล root CA ของตัวเอง

By lew Founder on Tag: Chrome, Security, SSL, Digital Certificate, Browser
Chrome

โครงการ Chromium ที่เป็นฐานของเบราว์เซอร์ Chrome ประกาศโครงการ Chrome Root Program และ Chrome Root Store เพื่อจัดการฐานข้อมูล root CA ที่สามารถออกใบรับรองเข้ารหัสแบบต่างๆ ได้

Read more

mod_tls โครงการใหม่มาแทน mod_ssl ของ Apache แต่เขียนด้วย Rust ปลอดภัยขึ้น

By mk Founder on Tag: Apache, Web Server, Rust, TLS, SSL, Security, ISRG
Apache

ผู้ใช้ Apache Web Server คงคุ้นเคยกับ mod_ssl ที่ใช้จัดการ HTTPS โดยโมดูลนี้เขียนด้วยภาษา C ซึ่งมีปัญหาตามมาเรื่องความปลอดภัยที่ระดับตัวภาษา และที่ผ่านมาก็พบช่องโหว่ความปลอดภัยมากมาย

ล่าสุด กูเกิลประกาศสนับสนุนโครงการใหม่ mod_tls ที่ทำงานแบบเดียวกัน แต่เขียนด้วยภาษา Rust ที่ออกแบบมาให้ปลอดภัยมากขึ้น (memory safety)

Read more

Chrome 77 จะเลิกแสดงชื่อองค์กรจากใบรับรอง SSL EV, เว็บธนาคารจะเหมือนเว็บทั่วไป

By lew Founder on Tag: Chrome, SSL, Security
Chrome

ทีมงาน Chromium ประกาศว่า Chrome 77 จะเลิกแสดงแถบ SSL EV ที่เคยแสดงชื่อองค์กรผู้ขอใบรับรองแบบ Extended Validation (EV) แล้วจะนำข้อมูลนี้ไปแสดงเมื่อผู้ใช้กดไอคอนกุญแจเพื่อขอดูข้อมูลเว็บไซต์แทน ทำให้หลังจากนี้เว็บธนาคารจำนวนมาก ที่มักแสดงชื่อธนาคารบนแถบ URL จะเหลือเพียงโดเมนอย่างเดียว

Chrome มีแนวทางลดความสำคัญของใบรับรองแบบ EV เรื่อยมา จากแต่เดิมแถบ EV เคยเป็นสีเขียวเด่นก็กลายเป็นสีเดียวกับโดเมน ส่วน iOS และ macOS นั้นเลิกแสดงไปก่อนหน้านี้แล้ว

Read more

TLS 1.3 บรรจุเข้าเป็น RFC8446 ไลบรารีเตรียมอัพเดต

By lew Founder on Tag: IETF, SSL, HTTPS, Security, Cryptography
IETF

มาตรฐาน TLS 1.3 แก้ไขมานานและผ่านโหวตไปตั้งแต่เดือนมีนาคมที่ผ่านมา ตอนนี้ก็ได้เลข RFC เป็นทางการคือ RFC8446 นับเป็นเวลาสิบปีพอดีหลังจาก TLS 1.2 หรือ RFC5246

แม้ว่าตัวมาตรฐานจะเพิ่งออกเป็นทางการ แต่ในความปฎิบัติไลบรารีจำนวนมากรองรับฟีเจอร์ต่างๆ ของ TLS 1.3 อยู่ก่อนแล้ว เช่น Chrome นั้นรองรับมาตั้งแต่ Chrome 56 และเปิดใช้งานเป็นค่าเริ่มต้นมาตั้งแต่ Chrome 63

Read more

รายงานสำรวจ HTTPS ไทยปี 2017 - เว็บข่าว-หน่วยงานรัฐ ยังไม่นิยม HTTPS

By neizod Contributor on Tag: Special Report, Security, Internet, Thailand, SSL, HTTPS
Special Report

หลังจาก Blognone เคยนำเสนอรายงานสำรวจการเปิดใช้งาน HTTPS ในไทย ประจำปีปี 2016 ไป ขณะนี้ผ่านมาหนึ่งปีกว่าๆ แล้ว ก็สมควรถึงเวลาที่จะสำรวจติดตามผลกันอีกครั้ง

รอบนี้เราขยายจำนวนเว็บที่สนใจให้มากขึ้นกว่าเดิม แต่ยังคงตามติดเว็บเดิมที่เคยสำรวจไว้อย่างครบถ้วนครับ

Read more

ระบบออกใบรับรอง GoDaddy มีบั๊กการตรวจสอบเจ้าของโดเมน ต้องยกเลิกใบรับรอง 8,550 ใบ

By lew Founder on Tag: GoDaddy, HTTPS, SSL
GoDaddy

GoDaddy แจ้งว่าการอัพเกรดซอฟต์แวร์เพื่อตรวจสอบโดเมนเมื่อปีที่แล้วมีช่องโหว่ ทำให้กระบวนการออกใบรับรองไม่เป็นไปตามมาตรฐานของ CA/Browser Forum และทางบริษัทจะยกเลิกใบรับรอง 8,850 ใบ กระทบลูกค้ารวม 6,100 ราย

Read more

Microsoft Edge จะเตือนเว็บที่ใช้ใบรับรอง SHA-1 ว่าไม่ปลอดภัย หลัง 14 ก.พ. 2017

By Lamicrosz Contributor on Tag: Microsoft Edge, Internet Explorer, SSL, Security, HTTPS
Microsoft Edge

ไมโครซอฟท์ประกาศจะเริ่มแจ้งเตือนเว็บไซต์ที่ใช้ใบรับรอง SHA-1 ในวันที่ 14 กุมภาพันธ์ 2017 ซึ่งจะมีผลทั้งบนเบราว์เซอร์ Microsoft Edge และ Internet Explorer 11 แต่ในส่วนของผู้ใช้ยังคงมีตัวเลือกในการเข้าชมหน้าเว็บได้อยู่

ใบรับรอง SHA-1 ที่ได้รับผลกระทบคือ ใบรับรองที่เกี่ยวข้อง (chain to) กับ Microsoft Trusted Root CA เท่านั้น แต่ทั้งนี้ไมโครซอฟท์ก็ยังแนะนำให้รีบย้ายไปใช้ใบรับรอง SHA-256 แทน

ที่มา - Microsoft Edge Developer

Read more

BearSSL ไลบรารี SSL ใหม่ เน้นโปรโตคอลใหม่เท่านั้น, เรียบง่ายระดับที่ไม่มี malloc

By lew Founder on Tag: Open Source, SSL, Security
Open Source

ไลบรารี SSL กลายเป็นจุดโจมตีสำคัญนับแต่ช่องโหว่ Heartbleed เป็นต้นมา ก็มีความพยายามแยกสายการพัฒนาออกมาเป็น LibreSSL โดยทีมงาน OpenBSD หรือ BoringSSL ของกูเกิล ตอนนี้มีโครงการใหม่ในชื่อ BearSSL

Read more

Android 7.0 Nougat เปลี่ยนนโยบาย ไม่เชื่อถือ CA ที่ติดตั้งเองในเครื่อง

By lew Founder on Tag: Nougat, Android, SSL, Security
Nougat

หลังจาก Chrome เตรียมจะแจ้งเตือนผู้ใช้ว่ากำลังเข้าเว็บที่รับรองโดย CA ที่ติดตั้งเองในเครื่อง ทางทีมแอนดรอยด์ก็ออกมาแจ้งเตือนผู้ใช้ว่า Android 7.0 Nougat จะบังคับเรื่อง CA ในเครื่องมากกว่าเดิม คือค่าเริ่มต้นจะไม่ยอมรับ CA ที่ติดตั้งเองในเครื่องอีกแล้ว แต่ยังมีผลเฉพาะแอปที่ตั้ง API level 24 (Nougat) เท่านั้น

Read more

CA จีน WoSign แสดงความโปร่งใส ล็อก Certificate Transparency สู่สาธารณะทุกใบ

By lew Founder on Tag: China, Digital Certificate, Security, SSL
China

มาตรฐาน Certificate Transparency (CT) ที่เริ่มต้นโดยกูเกิล เรียกร้องให้หน่วยงานออกใบรับรองดิจิตอล (CA) ทุกราย รายงานการออก CA ทุกใบ แต่การเปิดเผยข้อมูลเช่นนี้ทำให้ทุกคนรู้ว่า CA มีลูกค้ามากน้อยแค่ไหนทำให้ CA ส่วนมากมักจะยอมเปิด CT เฉพาะการออกใบรับรองแบบ Extended Validation (EV) เท่านั้น ยกเว้น CA ที่ออกใบรับรองฟรีอย่าง Let's Encrypt แต่ตอนนี้ WoSign ที่เป็น CA สัญชาติจีนก็ออกมาประกาศว่าจะส่งข้อมูล CT สู่สาธารณะเมื่อออกใบรับรองทุกใบแล้ว

Read more

StartCom เปิดบริการ StartEncrypt ใบรับรองฟรีแบบขออัตโนมัติอายุ 38 เดือน

By lew Founder on Tag: StartCom, HTTPS, SSL, TLS, Security
StartCom

ยุคก่อนที่จะมี Let's Encrypt ที่ให้บริการใบรับรองเข้ารหัสฟรี StartCom เคยให้บริการใบรับรองฟรีมาก่อนแล้วในชื่อ StartSSL แม้จะมีกระบวนการค่อนข้างยุ่งยากสักหน่อยก็ตาม ตอนนี้ทาง StartCom ก็มาเปิดบริการแข่งกับ Let's Encrypt ในชื่อ StartEncrypt

Read more

ช่องโหว่ DROWN เปิดทางให้แฮกเกอร์ถอดรหัสการเชื่อมต่อ TLS ในเซิร์ฟเวอร์ที่รับ SSLv2

By lew Founder on Tag: Security, SSL, TLS, OpenSSL
Security

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้แม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

Read more

รายงานสำรวจการเปิดใช้งาน HTTPS ในไทยปี 2016

By neizod Contributor on Tag: Special Report, Security, Internet, Thailand, SSL, HTTPS
Special Report

ปี 2016 เป็นปีสำคัญสำหรับความเปลี่ยนแปลงด้านความปลอดภัยของความปลอดภัยของเว็บ เพราะเป็นปีที่ใบรับรองดิจิทัล Let's Encrypt เริ่มให้บริการฟรีตั้งแต่ต้นปี พร้อมทั้งฝั่งโฮสติงที่ทยอยรองรับเพิ่มขึ้นเรื่อยๆ ปีนี้เราจึงมาสำรวจกันว่าเว็บใดใช้การรองรับแบบใดกันแล้วบ้าง

Read more

Namecheap และ GoDaddy วิจารณ์ใบรับรองฟรี ถูกวิจารณ์กลับ

By lew Founder on Tag: SSL, TLS, GoDaddy, Namecheap, Digital Certificate, Let's Encrypt
SSL

โครงการใบรับรองดิจิตอลฟรี Let's Encrypt เพิ่งเปิดให้บริการต่อสาธารณะไม่กี่วัน กลุ่มอำนาจเก่าผู้เสียผลประโยชน์ อย่าง GoDaddy และ Namecheap ก็ออกมาเคลื่อนไหว

ฝั่ง Namecheap นั้นออกมาเขียนบล็อกโจมตี ระบุข้อเสียของใบรับรองดิจิตอลฟรี ระบุว่าใบรับรองฟรีนั้นเพียงแค่เพิ่มการเข้ารหัสท่านั้น และไม่ได้ตรวจสอบผู้รับใบรับรองก่อนที่จะมอบใบรับรอง (ซึ่งไม่จริง เพราะ Let's Encrypt นั้นตรวจสอบผู้ถือครองโดเมน)

ขณะที่ GoDaddy ก็ออกหน้าเปรียบเทียบใบรับรอง และระบุว่าการทำเว็บเพื่อการค้านั้นต้องใช้ใบรับรองแบบ Extended Validation เท่านั้น

Read more

เฟซบุ๊กและ CloudFlare เรียกร้องผู้ผลิตเบราว์เซอร์ หาทางออกให้เบราว์เซอร์เก่าที่ยังไม่รองรับ SHA-2

By lew Founder on Tag: SSL, TLS, HTTPS, Cloudflare, Facebook
SSL

ประเด็นการยกเลิกรองรับใบรับรองดิจิตอลที่ตรวจสอบด้วย SHA-1 นับเป็นการย้ายมาตรฐานความปลอดภัยขนานใหญ่ที่สุดครั้งหนึ่งของโลกอินเทอร์เน็ต ภายในปีหน้าเว็บต่างๆ ทั่วโลกจะถูกกดดันให้ต้องรองรับ SHA-2 เช่น SHA-256 ขึ้นไปเท่านั้น ไม่เช่นนั้นเว็บเบราว์เซอร์จะเริ่มเตือนว่าไม่ปลอดภัยโดยไม่มีทางออกอื่น (ตอนนี้ยังมีทางออกเช่นขอใบรับรองที่อายุสั้นๆ ได้)

แต่ Alex Stamos จากเฟซบุ๊ก และ CloudFlare ก็ออกมาชี้ปัญหาที่กำลังจะเกิดขึ้นในอีกไม่กี่วันข้างหน้านี้ ว่าเว็บขนาดใหญ่ยังมีปัญหาเพราะผู้ใช้จำนวนถึง 3-7% ในแต่ละประเทศยังใช้เบราว์เซอร์ที่ไม่รองรับ SHA-2 อยู่

Read more

เตรียมเข้ารหัสเว็บให้พร้อม Let's Encrypt จะเปิดให้บริการทั่วไป วันที่ 3 ธันวาคมนี้

By lew Founder on Tag: Security, SSL, TLS, HTTPS, Let's Encrypt
Security

Let's Encrypt เปิดตัวโครงการมาครบรอบหนึ่งปีพอดี กำหนดการเดิมที่จะปล่อยใบรับรองให้กับสาธารณะวันจันทร์นี้ก็เลื่อนไปเป็นวันที่ 3 ธันวาคมที่จะถึงนี้ แม้จะเปิดให้คนทั่วไปใช้งาน แต่ทางโครงการก็ยังระบุว่าเป็นช่วงทดสอบระบบ (เบต้า) เท่านั้น และยังมีงานต้องทำก่อนจะพร้อมใช้งานจริงสำหรับคนทั่วไป

จนตอนนี้ทาง Let's Encrypt ปล่อยใบรับรองให้กับผู้ที่เข้าร่วมโครงการเบต้าแล้วกว่า 11,000 ใบ

ที่มา - Let's Encrypt

Read more

Gmail เผยสัดส่วนอีเมลที่ถูกส่งผ่าน TLS เพิ่มขึ้นมาก, เตรียมแจ้งเตือนผู้ใช้ถ้ารับอีเมลไม่ผ่านการเข้ารหัส

By mk Founder on Tag: Security, Gmail, SSL, E-mail
Security

กูเกิลออกมาเผยสถิติเรื่องการเข้ารหัสการส่งอีเมลผ่าน TLS เพื่อป้องกันการดักข้อมูลระหว่างทาง

Read more

ทีมวิจัย WeakDH เชื่อ NSA อาจจะเจาะรหัส DH-1024 สำเร็จแล้ว

By lew Founder on Tag: Research, SSL, NSA, HTTPS
Research

ทีมวิจัย WeakDH ที่เคยเปิดเผยช่องโหว่ Logjam ตีพิมพ์รายงานวิจัย ประเมินค่าใช้จ่ายในการเจาะกระบวนการแลกกุญแจ Diffie-Hellman (DH) ที่ขนาด 1024 บิตแล้วพบว่าค่าใช้จ่ายในการเจาะระบบเข้ารหัสนี้น่าจะง่ายพอที่ NSA จะเจาะการเข้ารหัส และเอกสารของ Edward Snowden ที่หลุดออกมาชี้นำให้เห็นว่า NSA อาจจะใช้กระบวนการนี้ในการเจาะการเชื่อมต่อเข้ารหัสสำคัญๆ หลายจุด

Read more
Subscribe to SSL