หลังเกิดกรณีระหว่าง Trustico กับ DigiCert ทำให้ผู้ใช้กว่า 23,000 รายถูกเพิกถอนใบรับรอง SSL ซึ่งมีผลไปแล้วในวันที่ 1 มีนาคมที่ผ่านมาแล้ว
เรื่องราวเริ่มขึ้นเมื่อทาง DigiCert หนึ่งในบริษัทที่เป็นผู้ออกใบรับรอง SSL ที่ใหญ่ที่ที่สุด ได้ทำการส่งอีเมลกว่า 23,000 ฉบับไปยังลูกค้าที่จดทะเบียน SSL ผ่านทาง Trustico โดยทาง DigiCert ได้ให้เหตุผลเกี่ยวกับปัญหาด้านความปลอดภัย จึงเป็นเหตุที่ต้องทำการเพิกถอนใบรับรองทั้งหมดที่ออกให้ Trustico แต่ถึงอย่างไรก็ตามทาง Zane Lucas ผู้จัดการของทาง Trustico ก็ออกมาปฏิเสธว่าทางบริษัทไม่ได้มีปัญหาความปลอดภัยตามที่ทาง DigiCert กล่าว
ทีนี้เราย้อนกลับไปดู ถึงปัญหาที่เกิดขึ้นระหว่าง Trustico กับ DigiCert ปัญหาเริ่มจากที่ทาง Trustico ได้ส่งอีเมลหา DigiCert เมื่อวันที่ 2 กุมภาพันธ์ที่ผ่านมา โดยเนื้อหาของอีเมลเป็นเรื่องที่ทาง Trustico ขอให้ทาง DigiCert เพิกถอนใบรับรองทั้งหมด 50,000 ใบ สาเหตุเพราะ Trustico ต้องการยกเลิกการเป็นตัวแทนขายใบรับรองของ Symantec ซึ่งตอนนี้ได้รวมกับ DigiCert แล้ว เพื่อไปทำสัญญากับ Comodo แทน
ซึ่งทาง DigiCert ปฏิเสธที่จะเพิกถอนใบรับรองตามที่ Trustico ร้องขอ โดยให้เหตุผลว่าตัวแทนไม่สามารถเพิกถอนใบรับรอง SSL ของลูกค้าได้ หรือทำได้ในกรณีลูกค้ารายสุดท้ายเท่านั้น เว้นแต่ทาง Trustico มีหลักฐานยืนยันได้ว่าเกิดปัญหาด้านความปลอดภัยกับ Private Key ของลูกค้า
ทาง Trustico ได้กล่าวว่า ทางบริษัทบอกไปว่าจะพยายามหาข้อคิดเห็นทางกฏหมายเกี่ยวกับเรื่องที่จะเกิดขึ้นนี้ ทำให้ทาง DigiCert ได้ตัดสินใจที่จะยกเลิกสัญญาบริษัทในวันที่ 25 กุมภาพันธ์
และเมื่อวันที่ 27 กุมภาพันธ์ ทาง DigiCert ก็ได้รับอีเมลจาก Trustico อีกที่มี Private Key ของลูกค้าTrustico มากกว่า 23,000 ราย
จริงๆ แล้วตามกฎของ CA ที่กำหนดว่า เมื่อมีการแจ้งเกี่ยวกับความปลอดภัย สามารถเพิกถอนใบรับรองได้ภายใน 24 ชั่วโมง หลังจากได้รับแจ้ง ทำให้ทาง DigiCert เริ่มกระบวนการเพิกถอนใบรับรอง 23,000 ฉบับ ตามที่ได้รับอีเมลแจ้ง ซึ่งทาง DigiCert ได้ส่งอีเมลไปหาลูกค้าของ Trustico กว่า 23,000 ราย โดยแจ้งว่าใบรับรองของพวกเขาจะถูกเพิถอน แต่ยังเป็นที่ถกเถียงกันว่า DigiCert มีสิทธิ์ที่จะส่งไปหาลูกค้าของ Trustico ได้โดยตรงหรือไม่?
งานนี้แม้แต่ Flavio Martins ซึ่งเป็น COO ของ DigiCert ถึงกับแสดงอาการตกใจ เมื่อรู้ว่าทาง Trustico ได้ส่งอีเมลที่มี Private Key ของลูกค้ามา
เมื่อทาง Trustico ตอบอีเมล DigiCert ว่าไม่มีปัญหาด้านความปลอดภัย แต่ทาง Trustico ไม่ได้อธิบายถึงที่มาของ Private Key 23,000 ใบ ซึ่งทาง Lucas ได้กล่าวถึง Private Key 23,000 ใบที่เคยแจ้งกับทาง DigiCert ว่า ได้ถูกทำลายไปแล้ว
แล้วทำไม Trustico ถึงต้องการยกให้ทาง DigiCert เพิกถอนใบรับรอง 50,000 ใบ? นั่นก็เพราะว่า ใบรับรอง 50,000 ใบ นั้นเดิมทีจดกับ Symantec ไม่ใช่กับ DigiCert โดยตรง แต่เมื่อทาง Symantec ได้รวมกับ DigiCert ทาง Google ก็ออกมาประกาศว่าใบรับรอง SSL ของ Symantec นั้นไม่น่าเชื่อถือ เพราะปัญหาด้านความปลอดภัยที่เกิดขึ้นบ่อยๆ ทำให้ทาง Trustico หมดความเชื่อถือใน Symantec ซึ่งถ้ากล่าวในทางอ้อมก็หมายถึง ไม่เชื่อใน DigiCert ด้วย
ขณะเดียวกันทาง Trustico พยายามที่จะติดต่อเจ้าของเว็บไซต์ทั้ง 23,000 ราย เพื่อที่จะดำเนินการออกใบรับรองแทนใบรับรองของ Symantec / DigiCert แต่ก็ล้มเหลว ดังนั้นเว็บไซต์ทั้ง 23,000 เว็บอาจจะพบปัญหาด้านความปลอดภัยของ HTTPS
ที่มา : Bleeping Computer