forum

No Picture

กดผิดชีวิตเปลี่ยน StartCom ยกเลิกใบรับรอง Intermediate CA 4 ใบผิดพลาด แล้ว "ยกเลิกการยกเลิก" ภายหลัง

StartCom เป็นหน่วยงานออกใบรับรองอิสราเอลที่ WoSign จากจีน ซื้อไปตั้งแต่ปี 2015 แต่ภายหลังจากมีเหตุการณ์ WoSign ออกใบรับรองผิดพลาด ก็ทำให้ มอซิลล่า และ Chrome เลิกเชื่อถือทั้ง WoSign และ StartCom ไปพร้อมกัน วันนี้กลับมีเหตุการณ์ความผิดพลาดอีกครั้ง เมื่อ StartCom ประกาศยกเลิกใบรับรอง Intermediate CA ของ WoSign ที่ทำการ cross-sign กันเอาไว้ การเลิกครั้งนี้น่าจะเป็นความผิดพลาดภายในของ StartCom เอง โดยมีการออก CRL จากตัว StartCom แต่กลับไม่ได้แจ้งเข้าระบบของกูเกิล, มอซิลล่า, หรือไมโครซอฟท์แต่อย่างใด และหลังจากนั้น StartCom ก็ถอดข้อมูลการยกเลิกเหล่านี้ออกจาก CRL ของตัวเองไป ตามข้อกำหนด CA/Browser Forum ไม่อนุญาตให้หน่วยงานออกใบรับรองยกเลิกการยกเลิกใบรับรองใดๆ จนกว่าใบรับรองเหล่านั้นจะหมดอายุ ที่มา – Bugzilla Topics:  StartCom Digital Certificate Security


No Picture

จบสิ้นกันที ไมโครซอฟท์เลิกซัพพอร์ตใบรับรอง SHA-1 ใน IE11 และ Edge แล้ว

ใบรับรองดิจิตอลที่เซ็นรับรองด้วย SHA-1 ถูก เตือนว่าไม่ปลอดภัยมาตั้งแต่ปี 2014 ตามกำหนดการ เงื่อนไขการซัพพอร์ตใบรับรอง SHA-1 จะลดลงเรื่อยๆ จนกระทั่งโครม และไฟร์ฟอกซ์เริ่มหยุดซัพพอร์ตทุกกรณีต้นปีที่ผ่านมา และฝั่งแอปเปิลก็หยุดซัพพอร์ตในเดือนมีนาคม เดือนนี้แพตช์ของไมโครซอฟท์ก็ปิดการซัพพอร์ตใบรับรอง SHA-1 ใน Internet Explorer 11 และ Edge ทั้งหมดแล้ว นับเป็นผู้ผลิตเบราว์เซอร์หลักรายสุดท้ายที่ปิดการซัพพอร์ต SHA-1 ถูกทีมวิจัยของกูเกิลเจาะได้สำเร็จโดย สร้างไฟล์สองไฟล์ที่มีค่าแฮชตรงกันเมื่อเดือนกุมภาพันธ์ที่ผ่านมา กระบวนการถอดกระบวนการเข้ารหัส SHA-1 ใช้เวลานานถึงสามปี เป็นเหตุผลหนึ่งที่ CA/Browser Forum พยายามลดเพดานอายุใบรับรองเรื่อยมา ที่มา – TechNet Topics:  Internet Explorer Microsoft Edge Microsoft Security Cryptography


อาเซียนไม่พร้อมเปิดพรมแดนท่องเที่ยว

นักวิเคราะห์มองว่านโยบายซิงเกิล วีซา ของอาเซียนในการส่งเสริมการท่องเที่ยวยังขาดการตลาดที่มีประสิทธิภาพ ขณะที่รัฐบาลประเทศภาคีต้องเร่งปรับปรุงโครงสร้างพื้นฐานและผ่อนปรนกฎหมาย เพื่อรองรับการเติบโตของอุตสาหกรรม Skift บริษัทรวบรวมและวิเคราะห์ข้อมูลด้านการท่องเที่ยวสัญชาติอเมริกันระบุว่า ความพยายามของรัฐบาลในอาเซียน ที่พยายามผลักดันให้อาเซียนเป็นจุดหมายปลายทางด้านการท่องเที่ยวแบบใช้ซิงเกิล วีซา ที่จะสามารถทำให้นักท่องเที่ยวเดินทางในประเทศสมาชิกได้โดยใช้วีซาเดียวคล้ายกับสหภาพยุโรป ปัจจุบันยังไม่มีประสิทธิภาพเท่าใดนัก ทั้งด้านการตลาดและกฎหมาย  สกิฟต์ อ้างถึงคำพูดของนางกอบกาญจน์ วัฒนวรางกูร รัฐมนตรีว่าการกระทรวงการท่องเที่ยวและกีฬาของไทย  ซึ่งระบุว่าวีซาเดียวในอาเซียน อาจเริ่มใช้ได้ปลายปีนี้หรือในปี 2018  โดยจะเริ่มจากไทยกับกัมพูชาเป็น 2 ประเทศแรก อย่างไรก็ตามผู้บริหารบริษัทชิก โลเคชันส์ ยูเค (Chic Locations UK) เอเจนท์ทัวร์ในอังกฤษที่เจาะตลาดลูกค้าระดับบนที่ต้องการเดินทางมาท่องเที่ยวในอาเซียนระบุว่า แผนการตลาดและโฆษณาของภูมิภาคอาเซียน ในฐานะจุดหมายปลายทางเดียว ยังขาดการวางแผนล่วงหน้า โดยชี้ว่า ในยุโรป คำว่า”อาเซียน”ยังไม่เป็นที่รู้จักมากนัก และหากใช้คำดังกล่าวมาโปรโมทการท่องเที่ยว จะทำให้นักท่องเที่ยวเกิดความสับสน    ด้านอรุณ มิชรา  ผู้อำนวยการภูมิภาคเอเชียแปซิฟิก องค์การการบินพลเรือนระหว่างประเทศ (ICAO) ได้กล่าวในเวทีประชุมสุดยอดสภาการเดินทางและการท่องเที่ยวโลก(WTCC) ที่จัดขึ้นที่กรุงเทพฯเมื่อวันที่ 26-27 เมษายนที่ผ่านมา ว่านโยบาย”น่านฟ้าเสรี” ( Open Skies ) ซึ่งอนุญาตให้สายการบินของชาติสมาชิกเพิ่มเที่ยวบินระหว่างกันได้ ยังไม่เปิดใช้อย่างเสรีในอาเซียน ถึงแม้ว่าอาเซียนจะมีสายการบินระหว่างประเทศในภูมิภาคมากมายก็ตาม โดยมิชรากล่าวว่า ประเด็นนี้ ทำให้บางสายการบิน เช่น แอร์เอเชีย ต้องเปิดบริษัทแยกและร่วมมือกับสายการบินท้องถิ่น เมื่อเข้าไปเปิดสาขาในชาติอาเซียน  ซึ่งหากนโยบายน่านฟ้าเสรีสามารถใช้ได้จริง จะทำให้ตั๋วเครื่องบินระหว่างประเทศในอาเซียนถูกลง และแข่งขันกับสายการบินจากภูมิภาคอื่นๆได้         ขณะเดียวกัน สาธารณูปโภคพื้นฐานรองรับการท่องเที่ยวก็เป็นปัญหาใหญ่ของอาเซียน โดยในรายงานด้านขีดความสามารถในการแข่งขันด้านการเดินทางและการท่องเที่ยวปี 2017 ของ World Economic Forum ให้คะแนนด้านความพร้อมของสนามบินในภูมิภาคเพียง 3.4 จากทั้งหมด 7 คะแนน ขณะที่ความพร้อมด้านโครงสร้างพื้นฐานทาบกและทางน้ำมีคะแนนเพียง 3.5 จาก 7 คะแนนเท่านั้น โดยนายอารีฟ ยาห์ยา รัฐมนตรีกระทรวงการท่องเที่ยวของอินโดนีเซียได้ยกตัวอย่างสาธารณูปโภคประเทศตน และยอมรับในที่ประชุมดังกล่าวว่า ปัจจุบัน รัฐบาลอินโดนีเซียให้เงินสนับสนุนสร้างโครงสร้างพื้นฐานในประเทศเพื่อรองรับการท่องเที่ยวเพียงร้อยละ 30 เท่านั้น นอกจากนี้ นายยาห์ยายังกล่าวว่า หากอาเซียนต้องการให้บริษัทร่วมลงทุนระหว่างภาครัฐและภาคเอกชน (PPP) ลงทุนด้านโครงสร้างพื้นฐานมากขึ้น จะต้องผ่อนปรนกฎเกณฑ์ต่างๆ เช่น การเคลื่อนย้ายแรงงานเสรี ให้มากกว่าในปัจจุบัน  ขณะที่ผู้บริหารของสมาคมส่งเสริมการท่องเที่ยวภูมิภาคเอเชียและแปซิฟิก (PATA) ระบุว่า บุคลากรที่มีความรู้และทักษะด้านอุตสาหกรรมการท่องเที่ยวในอาเซียนยังไม่เพียงพอที่จะรองรับกับการเจริญเติบโตของการท่องเที่ยวในภูมิภาคนี้


No Picture

ธนาคารในบราซิลถูกขโมยโดเมน 5 ชั่วโมง หน้าเว็บถูกปลอมเอารหัสลูกค้า, ติดตั้งมัลแวร์

การโจมตีธนาคารด้วยการปลอมโดเมนเพื่อหลอกให้ลูกค้าใส่รหัสผ่านคงเป็นเรื่องที่เราพบเจอกันเรื่อยๆ ที่งาน Kaspersky Security Summit ทาง Kaspersky ก็รายงานถึงธนาคารแห่งหนึ่งในบราซิลที่ถูกขโมยโดเมนจริงของธนาคารไปถึง 5 ชั่วโมง ในช่วงวันที่ 22 ตุลาคมปีที่แล้ว รายงานไม่ระบุชื่อธนาคารแต่ระบุว่าเป็นธนาคารขนาดใหญ่ มีทรัพย์สินรวม 25,000 ล้านดอลลาร์สหรัฐฯ, ลูกค้ากว่า 5 ล้านคน, และจำนวนสาขา 500 สาขา คนร้ายสามารถยึดบัญชีจัดการโดเมนจากผู้ให้บริการจดทะเบียนโดเมนได้สำเร็จ และแก้ไขข้อมูลโดเมน 36 รายการกลายเป็นเครื่องของคนร้ายเอง ออกใบรับรองเข้ารหัส หน้าเว็บของธนาคารระหว่างคนที่คนร้ายยึดโดเมนไว้ได้จะหลอกล่อให้ผู้ใช้ติดตั้งมัลแวร์เพื่อขโมยข้อมูลจากธนาคารอื่นๆ ต่อไป พร้อมกับดึงข้อมูลล็อกอินไปยังเซิร์ฟเวอร์ในแคนาดา ยังไม่ชัดว่าคนร้ายยึดโดเมนไปได้อย่างไร ความเป็นไปได้หนึ่งคือตัวบริษัทจดทะเบียนโดเมนเคยมีช่องโหว่ cross site request forgery มาก่อนและเพิ่งแก้ไขไปเมื่อเดือนมกราคมที่ผ่านมา รายงานของ Kaspersky ระบุว่าคนร้ายเข้าถึงบัญชีโดเมนได้และเตรียมการโจมตีเป็นเวลาห้าเดือนก่อนลงมือจริง ตอนนี้ CA Browser Forum กำลังพูดคุยกันว่าจะมีทางช่วยป้องกันการโจมตีเช่นนี้อย่างไรได้บ้าง แม้ว่าตอนนี้จะมีช่องทาง ทำ certificate pinning แล้วก็ตาม แต่องค์กรส่วนมากก็ไม่กล้าใช้งานเพราะหากทำผิดพลาดจะมีโอกาสที่ลูกค้าเข้าใช้งานไม่ได้เป็นเวลานาน ที่มา – Dark Reading , CA/Browser Forum Topics:  Brazil Banking Security


No Picture

อินเทลเลิกจัดงานประจำปี IDF เพราะโลกเปลี่ยน บริษัทไม่ได้ทำแต่พีซีเพียงอย่างเดียวอีกแล้ว

ปกติแล้ว อินเทลมีงานใหญ่ประจำปีคืองาน Intel Developer Forum (IDF) ที่จัดปีละ 2 ครั้งคือที่สหรัฐอเมริกาและจีน แต่ล่าสุด อินเทลประกาศยกเลิกการจัดงาน IDF อย่างถาวรแล้ว นั่นแปลว่างาน IDF 2017 ที่ซานฟรานซิสโกในช่วงเดือนสิงหาคมนี้จะไม่มีอีกต่อไป โฆษกของอินเทลให้ข้อมูลกับ AnandTech ว่าเหตุผลที่เลิกจัดงาน IDF เป็นเพราะปัจจุบันอินเทลไม่ได้เป็นบริษัทที่ทำแต่ชิปสำหรับพีซีเพียงอย่างเดียวอีกแล้ว แต่ตอนนี้ บริษัทเรียกตัวเองว่าเป็น data company มีธุรกิจหลากหลายทั้งศูนย์ข้อมูล, IoT, AI ทำให้รูปแบบของงาน IDF แบบเดิมๆ ไม่ตอบโจทย์ของอินเทลอีกต่อไป และบริษัทมีแผนจะจัดงานย่อยๆ เฉพาะแต่ละหัวข้อแทน ซึ่งอินเทลจะประกาศแผนงานเรื่องการจัดงานต่อไปในภายหลัง ที่มา – Intel , AnandTech Topics:  IDF Intel


No Picture

ข้อมูลเพิ่มเติมกูเกิลและ CA ไซแมนเทค: กูเกิลนับรวมใบรับรองทั้งหมดที่ออกโดยพันธมิตรที่ถูกถอนสิทธิ์ไปแล้ว

หลังจากกูเกิลประกาศเตรียมลดระดับความเชื่อถือของหน่วยงานออกใบรับรองจากไซแมนเทคทั้งหมด ให้สามารถออกใบรับรองได้ไม่เกินเพียง 9 เดือนและไม่สามารถออกใบรับรองระดับ EV ได้อีกต่อไป คำถามหนึ่งคือใบรับรองที่ออกผิดพลาดทั้งหมดเป็นเท่าใด เพราะกูเกิลอ้างว่ามีใบรับรองผิดพลาดถึง 30,000 ใบ แต่ไซแมนเทคยืนยันว่ามีเพียง 127 ใบเท่านั้น กูเกิลชี้แจงเพิ่มเติมว่าใบรับรองที่ออกผิดพลาด ออกโดยหน่วยงานภายนอกที่ไซแมคเทคอนุญาตให้ตรวจสอบความเป็นเจ้าของโดเมนก่อนออกใบรับรอง (registration authority – RA) แทนไซแมนเทค แม้ข้อกำหนด CA/Browser Forum จะอนุญาตแต่ก็ระบุว่า root CA ต้องรับผิดชอบผลทั้งหมดหากมีความผิดพลาดกับ RA เหล่านี้ ไซแมนเทคออกมายอมรับว่า RA เหล่านี้ไม่ได้ทำตามกระบวนการตรวจสอบอย่างถูกต้อง ไม่ส่งรายงานการดำเนินการประจำปี บางรายไม่ได้รับการตรวจสอบโดยผู้ตรวจสอบที่ได้รับอนุญาตจาก WebTrust จนมาแก้ไขภายหลัง กูเกิลระบุว่าเนื่องจากหน่วยงานเหล่านี้ไม่ได้ถูกตรวจสอบอย่างถูกต้อง และหน่วยงานเหล่านี้ออกใบรับรองรวมแล้วกว่า 30,000 ใบ จึงไม่สามารถยืนยันความถูกต้องของใบรับรองเหล่านี้ทั้งหมด ตอนนี้ไซแมนเทคยกเลิกโครงการ RA ภายนอกไปทั้งหมดแล้ว พร้อมกับระบุว่าใบรับรองทั้งหมดที่ออกผิดพลาดไม่อันตรายต่อผู้ใช้ทั่วไป และจะหาทางให้ลูกค้าสามารถรับมือกับข้อกำหนดใหม่ของกูเกิลทั้งการเปลี่ยนใบรับรองใหม่ และการอัพเดตใบรับรองที่หมดอายุเร็วขึ้น สำหรับคนทั่วไปที่ไม่ได้ใช้ใบรับรอง EV ความน่ากังวลคือการลดอายุใบรับรองที่อาจจะทำให้ผู้ใช้ทั่วไปเข้าเว็บไม่ได้ กูเกิลชี้แจงเพิ่มเติมเป็น เอกสาร explainer ใน GitHub อย่างไรก็ดี ประกาศของกูเกิลยังเป็นเพียง “ความตั้งใจ” (intent) เท่านั้น เวอร์ชั่นล่าสุดยังไม่มีผลกระทบใดๆ แม้ว่าจะมีบางธนาคารแถบเขียว EV หายไป แต่น่าจะเป็นบั๊กของ Chrome เอง ( ธนาคารเกียรตินาคินที่ใช้ใบรับรองไซแมนเทค ยังคงแสดง green bar ถูกต้อง) ที่มา – Blink-dev , Symantec Topics:  Symantec Google Chrome Security Digital Certificate


No Picture

CA Browser Forum ได้ข้อยุติ จำกัดอายุใบรับรองเหลือ 825 วัน

CA Browser Forum ผ่านมติการปรับอายุใบรับรองจากเดิมออกได้สูงสุด 39 เดือน มาเหลือ 825 วัน (27 เดือน) เป็นข้อตกลงร่วมกันที่ฝั่งเบราว์เซอร์และหน่วยงานออกใบรับรองเห็นชอบแทบทั้งหมด มีหน่วยงานงดออกเสียงเพียงผู้ออกใบรับรอง 3 หน่วย และฝั่งผู้ผลิตเบราว์เซอร์มีเพียงมอซิลล่าผู้ผลิตไฟร์ฟอกซ์เท่านั้น มอซิลล่าและกูเกิลเห็นตรงกันว่าการบีบอายุใบรับรองในอนาคตควรบีบให้สั้นลงกว่านี้อีก แต่ทั้งสองหน่วยงานออกเสียงโหวตต่างกัน โดยมอซิลล่าตั้งกระทู้ถามว่าการบีบอายุใบรับรองครั้งนี้จะเป็นเพียงการเตรียมพร้อมสำหรับการบีบอายุลงครั้งต่อๆ ไปหรือไม่ แต่ยังไม่ได้คำตอบจึงงดออกเสียง ส่วน Let’s Encrypt โหวตผ่านแต่ก็แสดงความหวังว่าจะมีการบีบอายุใบรับรองลงอีกในอนาคต การโหวตครั้งนี้เป็นการโหวตครั้งที่ 193 หลังจากมติ การโหวตครั้งที 185 ที่ขอให้ลดอายุใบรับรองเหลือไม่เกิน 398 วันไม่ผ่านมติของ Forum โดยฝั่งหน่วยงานออกใบรับรองโหวตไม่ผ่านล้นหลามและผู้ผลิตเบราว์เซอร์เองก็เห็นไม่ตรงกัน การจำกัดอายุใบรับรองจะมีผลวันที่ 1 มีนาคม 2018 และ สวนใบรับรองแบบ EV (extended validation) จะเพิ่ม “คำแนะนำ” ให้ออกใบรับรองไม่เกิน 12 เดือนไปด้วย ที่มา – CA Browser Forum Topics:  CA Browser Forum Digital Certificate Browser Security


No Picture

ไม่เสียวเท่า HPKP, มาตรฐาน CAA บังคับ CA ตรวจสิทธิ์การออกใบรับรองบังคับกันยานี้ เจ้าของโดเมนจำกัด CA ได้

กระบวนการออกใบรับรองดิจิตอลทุกวันนี้มีช่องว่างสำคัญคือหน่วยงานออกใบรับรองดิจิตอล (certification authority – CA) ทุกรายสามารถออกใบรับรองให้กับโดเมนใดๆ ก็ได้ ตอนนี้มาตรการเพิ่มเติมในการจำกัดสิทธิ์ของ CA ก็เตรียมบังคับใช้เดือนกันยายนนี้ หลังการโหวตมาตรฐาน Certification Authority Authorization (CAA) โดย CA/Browser Forum ผ่านไปแล้ว CAA เป็นมาตรฐาน rfc6844 มาตั้งแต่ปี 2013 ระบุให้เจ้าของโดเมนสามารถล็อก CA ที่จะออกใบรับรองให้กับโดเมนของตนได้ ผ่าน Resource Record (RR) ใน DNS เช่น example.org. CAA 128 issue “letsencrypt.org” จะล็อกให้ Let’s Encrypt เท่านั้นที่สามารถออกใบรับรองให้กับ example.com ได้ CAA มีความคล้ายกับ HPKP ที่ล็อก CA เช่นเดียวกัน แต่ HPKP นั้นล็อกจากฝั่งเบราว์เซอร์ที่จะไม่ยอมรับใบรับรองจาก CA รายอื่นที่ไม่ได้ระบุไว้ HPKP มีผลดีกว่ามากคือสามารถป้องกันปัญหาได้ทั้งกรณีเจ้าของโดเมนผิดพลาด เช่น เปิดทางให้ผู้ใช้บนเว็บเข้าอีเมลหรืออัพโหลดไฟล์ตรวจสอบได้ รวมไปถึงการป้องกัน CA ที่ตรวจสอบความเป็นเจ้าของโดเมนผิดพลาดเอง แต่ HPKP คอนฟิกได้ยากและหากผิดพลาดก็จะมีผลร้ายแรง คือเบราว์เซอร์อาจจะไม่ยอมรับเว็บที่ถูกต้องจนกว่าค่า HPKP จะหมดอายุไปเลย CAA นั้นช่วยลดความเสี่ยงได้แต่ช่วยแจ้ง CA ที่ไม่อยู่ในรายการไม่ออกใบรับรองโดยไม่ตั้งใจ ผลการลงมติบังคับ CAA มีผล เกือบเอกฉันท์ มีเพียง Sertifitseerimiskeskus จากเอสโทเนียเท่านั้นที่โหวตคัดค้าน และจะมีผลเดือนกันยายนนี้ ตอนนี้ทาง Qualys SSL Labs ก็รายงานแล้วว่าเว็บใดบ้างที่เปิด CAA เอาไว้ (ตัวอย่าง Google.com ) ที่มา – Qualys Blog Topics:  Digital Certificate Security CA Browser Forum