ชั้น 29 ออฟฟิศเศส แอท เซ็นทรัลเวิลด์

999/9 พระราม 1 กรุงเทพฯ 10330

บริการตลอด 24 ชั่วโมง

ทุกวัน ไม่เว้นวันหยุด

0-2107-3466

โทรเลยดิจะรออะไร

จากปัญหาระหว่าง Trustico กับ DigiCert ทำให้ผู้ใช้กว่า 23,000 รายโดนถอนใบรับรอง SSL!

หลังเกิดกรณีระหว่าง Trustico กับ DigiCert ทำให้ผู้ใช้กว่า 23,000 รายถูกเพิกถอนใบรับรอง SSL ซึ่งมีผลไปแล้วในวันที่ 1 มีนาคมที่ผ่านมาแล้ว
เรื่องราวเริ่มขึ้นเมื่อทาง DigiCert หนึ่งในบริษัทที่เป็นผู้ออกใบรับรอง SSL ที่ใหญ่ที่ที่สุด ได้ทำการส่งอีเมลกว่า 23,000 ฉบับไปยังลูกค้าที่จดทะเบียน SSL ผ่านทาง Trustico โดยทาง DigiCert ได้ให้เหตุผลเกี่ยวกับปัญหาด้านความปลอดภัย จึงเป็นเหตุที่ต้องทำการเพิกถอนใบรับรองทั้งหมดที่ออกให้ Trustico แต่ถึงอย่างไรก็ตามทาง Zane Lucas ผู้จัดการของทาง Trustico ก็ออกมาปฏิเสธว่าทางบริษัทไม่ได้มีปัญหาความปลอดภัยตามที่ทาง DigiCert กล่าว
ทีนี้เราย้อนกลับไปดู ถึงปัญหาที่เกิดขึ้นระหว่าง Trustico กับ DigiCert ปัญหาเริ่มจากที่ทาง Trustico ได้ส่งอีเมลหา DigiCert เมื่อวันที่ 2 กุมภาพันธ์ที่ผ่านมา โดยเนื้อหาของอีเมลเป็นเรื่องที่ทาง Trustico ขอให้ทาง DigiCert เพิกถอนใบรับรองทั้งหมด 50,000 ใบ สาเหตุเพราะ Trustico ต้องการยกเลิกการเป็นตัวแทนขายใบรับรองของ Symantec ซึ่งตอนนี้ได้รวมกับ DigiCert แล้ว เพื่อไปทำสัญญากับ Comodo แทน
ซึ่งทาง DigiCert ปฏิเสธที่จะเพิกถอนใบรับรองตามที่ Trustico ร้องขอ โดยให้เหตุผลว่าตัวแทนไม่สามารถเพิกถอนใบรับรอง SSL ของลูกค้าได้ หรือทำได้ในกรณีลูกค้ารายสุดท้ายเท่านั้น เว้นแต่ทาง Trustico มีหลักฐานยืนยันได้ว่าเกิดปัญหาด้านความปลอดภัยกับ Private Key ของลูกค้า
ทาง Trustico ได้กล่าวว่า ทางบริษัทบอกไปว่าจะพยายามหาข้อคิดเห็นทางกฏหมายเกี่ยวกับเรื่องที่จะเกิดขึ้นนี้ ทำให้ทาง DigiCert ได้ตัดสินใจที่จะยกเลิกสัญญาบริษัทในวันที่ 25 กุมภาพันธ์ และเมื่อวันที่ 27 กุมภาพันธ์ ทาง DigiCert ก็ได้รับอีเมลจาก Trustico อีกที่มี Private Key ของลูกค้าTrustico มากกว่า 23,000 ราย
จริงๆ แล้วตามกฎของ CA ที่กำหนดว่า เมื่อมีการแจ้งเกี่ยวกับความปลอดภัย สามารถเพิกถอนใบรับรองได้ภายใน 24 ชั่วโมง หลังจากได้รับแจ้ง ทำให้ทาง DigiCert เริ่มกระบวนการเพิกถอนใบรับรอง 23,000 ฉบับ ตามที่ได้รับอีเมลแจ้ง ซึ่งทาง DigiCert ได้ส่งอีเมลไปหาลูกค้าของ Trustico กว่า 23,000 ราย โดยแจ้งว่าใบรับรองของพวกเขาจะถูกเพิถอน แต่ยังเป็นที่ถกเถียงกันว่า DigiCert มีสิทธิ์ที่จะส่งไปหาลูกค้าของ Trustico ได้โดยตรงหรือไม่?

ซึ่งในระหว่างที่เกิดปัญหาขึ้นนี้ ผู้เชี่ยวชาญด้านความปลอดภัยหลายๆ ท่านได้ออกมาตั้งข้อสงสัยว่า Trustico ได้แอบทำสำเนา Private Key ใบรับรอง SSL ของลูกค้าเก็บไว้หรือเปล่า? ซึ่งจริงๆ แล้วผู้ออกใบรับรอง หรือบริษัทที่ออกใบรับรอง SSL ไม่ควรที่จะมีสำเนา Private Key

งานนี้แม้แต่ Flavio Martins ซึ่งเป็น COO ของ DigiCert ถึงกับแสดงอาการตกใจ เมื่อรู้ว่าทาง Trustico ได้ส่งอีเมลที่มี Private Key ของลูกค้ามา

ตามหลักความเป็นมืออาชีพการกระทำของ Trustico ที่เก็บสำเนา Private Key ใบรับรองของ SSL ลูกค้านั้น ยังไม่ได้รับการยืนยันเป็นที่แน่ชัดว่าสมควรทำหรือไม่?

ทาง DigiCert ได้แจ้งเรื่องไปยัง Mozilla เกี่ยวกับ Private Key 23,000 ใบที่มีปัญหา โดยให้คำมั่นสัญญาว่าจะทำการเผยแพร่ Private Key ในวันหลัง ซึ่ง ณ ตอนนี้ Private Key ทั้ง 23,000 ใบนี้สามารถระบุได้เลยว่าเป็นใบรับรองที่เชื่อถือไม่ได้เลย

เมื่อทาง Trustico ตอบอีเมล DigiCert ว่าไม่มีปัญหาด้านความปลอดภัย แต่ทาง Trustico ไม่ได้อธิบายถึงที่มาของ Private Key 23,000 ใบ ซึ่งทาง Lucas ได้กล่าวถึง Private Key 23,000 ใบที่เคยแจ้งกับทาง DigiCert ว่า ได้ถูกทำลายไปแล้ว แล้วทำไม Trustico ถึงต้องการยกให้ทาง DigiCert เพิกถอนใบรับรอง 50,000 ใบ? นั่นก็เพราะว่า ใบรับรอง 50,000 ใบ นั้นเดิมทีจดกับ Symantec ไม่ใช่กับ DigiCert โดยตรง แต่เมื่อทาง Symantec ได้รวมกับ DigiCert ทาง Google ก็ออกมาประกาศว่าใบรับรอง SSL ของ Symantec นั้นไม่น่าเชื่อถือ เพราะปัญหาด้านความปลอดภัยที่เกิดขึ้นบ่อยๆ ทำให้ทาง Trustico หมดความเชื่อถือใน Symantec ซึ่งถ้ากล่าวในทางอ้อมก็หมายถึง ไม่เชื่อใน DigiCert ด้วย ขณะเดียวกันทาง Trustico พยายามที่จะติดต่อเจ้าของเว็บไซต์ทั้ง 23,000 ราย เพื่อที่จะดำเนินการออกใบรับรองแทนใบรับรองของ Symantec / DigiCert แต่ก็ล้มเหลว ดังนั้นเว็บไซต์ทั้ง 23,000 เว็บอาจจะพบปัญหาด้านความปลอดภัยของ HTTPS

ในตอนนี้ ผู้ใช้อีก 27,000 รายที่เหลือยังคงสามารถใช้งานได้อยู่ โดยทาง Mozilla เห็นด้วยกับการตัดสินใจของ DigiCert และยังคงให้ใบรับรองนี้ถูกต้อง หรือ “Valid” ต่อไป เพราะไม่มีการแสดงหลักฐานยืนยันด้านความปลอดภัย

งานนี้ต้องรอดูกันต่อไปว่าจะมีการดำเนินการจัดการอย่างไร ซึ่งอาจจะมีกฎใหม่ในเรื่องของการจัดการตัวแทนผู้ออกใบรับรอง SSL และสิทธิ์ที่มีต่อใบรับรองของลูกค้าทั้งหมด แต่ที่แน่ๆ นักวิจัยด้านความปลอดภัยมีมติเห็นพ้องต้องกันว่า จะต้องมีการสืบสวนเพื่อพิจารณาถึงสิทธิ์ตัวแทนผู้ออกใบรับรอง SSL สามารถเข้าถึง Private Key SSL ของลูกค้าได้หรือไม่?

ต้องรอดูว่าเรื่องนี้จะจบแบบไหน แต่ที่แน่ๆ ไม่มีทางจบลงภายในวันสองวันนี้แน่ งานนี้ลองมาทายกันดูว่าจะยกเลิก หรือต่อสัญญากันแน่

ที่มา : Bleeping Computer

ดูบริการของทางเราได้ที่ SSL Certificate

สนใจติดตามข่าวสารกับทางโฮสอะตอมได้ที่ hostatom.com