Breaking News

เตือนครั้งสุดท้าย !! Chrome, Firefox, Edge เตรียมเลิกรับรอง SHA-1 Certificate

Google, Mozilla และ Microsoft เตรียมประกาศยกเลิกการสนับสนุน SSL/TLS Certificate ที่ถูกเซ็นชื่อด้วยอัลกอริธึม Hash แบบ SHA-1 ต้นปี 2017 นี้ เนื่องด้วยเหตุผลทางด้านความมั่นคงปลอดภัย

Google ประกาศเตรียมเลิกรับรอง SHA-1 บน Chrome เวอร์ชัน 56 ที่จะออกให้บริการปลายเดือนมกราคม 2017 นี้ ในขณะที่ Firefox จะยกเลิกการรับรองใน Firefox 51 ส่วน Mirosoft Edge และ Internet Explorer จะยกเลิกการใช้ SHA-1 ในเดือนกุมภาพันธ์ 2017

ttt_https_ssl-The_Cute_Design_Studio
Credit: The Cute Design Studio/ShutterStock

สาเหตุหลักที่ทั้ง 3 บริษัทยกเลิกการรับรองการเซ็นชื่อ SSL/TLS Certificate ด้วย SHA-1 เนื่องจากค้นพบว่า อัลกอริธึม Hash ดังกล่าวเปราะบางต่อการถูกแฮ็คมากกว่าที่เคยคาดไว้ แฮ็คเกอร์สามารถปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยต่างๆ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆได้อย่างง่ายดาย โดยใช้เงินเพียง $75,000 ~ $120,000 เท่านั้น

เช่นเดียวกับ Certificate Authorities หลังจากที่พบว่า SHA-1 มีช่องโหว่ง่ายต่อการแฮ็ค ทำให้หลายเจ้าทำการออก Certificate โดยไม่ใช้ SHA-1 อีกต่อไป แต่ก็มีบางเจ้ายังคงใช้อยู่ เช่น WoSign และ StartCom ทำให้ CA เหล่านั้นถูกแบนบนผลิตภัณฑ์ของ Mozilla, Apple และ Google

ในช่วงแรก CloudFlare, Facebook และ Twitter ออกมาปฏิเสธการแบน SHA-1 และเสนอแผนให้มีการใช้ระบบ SHA-1 Fallback เพื่อให้ผู้ที่ใช้เบราเซอร์และระบบปฏิบัติการรุ่นเก่าที่ไม่รองรับ SHA-2 (อัลกอริธึม Hash ที่จะถูกนำมาใช้แทน SHA-1) ยังคงสามารถเข้าถึงเว็บไซต์ต่อไปได้ แต่แผนการนี้ก็ได้ตกไป

ณ ตอนนี้ ยังไม่มีข้อมูลว่ามีกี่เว็บไซต์ที่ยังคงใช้ SHA-1 แต่เมื่อปลายปี 2015 ที่มีรายงานการโจมตี SHA-1 ออกมา Netcraft ระบุว่า มีจำนวน SSL Certificate มากกว่า 100 ใบที่ยังคงเซ็นชื่อด้วยอัลกอริธึม SHA-1

รูปด้านล่างสรุปการแจ้งเตือนและการยกเลิกการสนับสนุน SHA-1 ที่จะปรากฏบนเบราเซอร์ชื่อดังทั้ง 3 เจ้า

sha-1_error_messages

ที่มา: http://www.bleepingcomputer.com/news/security/google-to-show-errors-for-sha1-certificates-starting-with-chrome-56/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Homomorphic Encryption: เทคโนโลยีการเข้ารหัสข้อมูลที่เหล่าผู้ให้บริการ Cloud กำลังให้ความสนใจ

ในช่วงหลายปีที่ผ่านมานี้ หนึ่งในเทคโนโลยีที่เหล่าผู้ให้บริการ Cloud ระดับโลกทั้งหลายไม่ว่าจะเป็น Microsoft, Google, AWS และ IBM ต่างก็ให้ความสำคัญในการวิจัยและพัฒนาเครื่องมือต่างๆ ขึ้นมารองรับการใช้งานจริงในระดับ Commercial นั้น ก็คือ Homomorphic Encryption หรือเทคโนโลยีการเข้ารหัสข้อมูลที่ยังเปิดให้ผู้ใช้งานสามารถทำการวิเคราะห์ข้อมูลได้อยู่นั่นเอง

Pure Storage เปิดตัว FlashArray//C ระบบ All-Flash ความจุมหาศาล พร้อมเทคโนโลยีใหม่อีกจำนวนมาก

Pure Storage ผู้ผลิต All-Flash Storage ชั้นนำ ได้ออกมาประกาศเปิดตัว Pure Storage FlashArray//C และเทคโนโลยีใหม่ๆ อีกเป็นจำนวนมาก เพื่อตอบโจทย์ความต้องการของธุรกิจองค์กรที่หลากหลายในการจัดเก็บและเข้าถึงข้อมูลผ่าน All-Flash อย่างมีประสิทธิภาพและคุ้มค่า ดังนี้