เตือนครั้งสุดท้าย !! Chrome, Firefox, Edge เตรียมเลิกรับรอง SHA-1 Certificate

Google, Mozilla และ Microsoft เตรียมประกาศยกเลิกการสนับสนุน SSL/TLS Certificate ที่ถูกเซ็นชื่อด้วยอัลกอริธึม Hash แบบ SHA-1 ต้นปี 2017 นี้ เนื่องด้วยเหตุผลทางด้านความมั่นคงปลอดภัย

Google ประกาศเตรียมเลิกรับรอง SHA-1 บน Chrome เวอร์ชัน 56 ที่จะออกให้บริการปลายเดือนมกราคม 2017 นี้ ในขณะที่ Firefox จะยกเลิกการรับรองใน Firefox 51 ส่วน Mirosoft Edge และ Internet Explorer จะยกเลิกการใช้ SHA-1 ในเดือนกุมภาพันธ์ 2017

ttt_https_ssl-The_Cute_Design_Studio
Credit: The Cute Design Studio/ShutterStock

สาเหตุหลักที่ทั้ง 3 บริษัทยกเลิกการรับรองการเซ็นชื่อ SSL/TLS Certificate ด้วย SHA-1 เนื่องจากค้นพบว่า อัลกอริธึม Hash ดังกล่าวเปราะบางต่อการถูกแฮ็คมากกว่าที่เคยคาดไว้ แฮ็คเกอร์สามารถปลอม Digital Signature เพื่อโจมตีระบบปลอดภัยต่างๆ เช่น ปลอมแปลงข้อมูลธุรกรรมการเงิน ปลอมแปลงไฟล์สำหรับดาวน์โหลด และอื่นๆได้อย่างง่ายดาย โดยใช้เงินเพียง $75,000 ~ $120,000 เท่านั้น

เช่นเดียวกับ Certificate Authorities หลังจากที่พบว่า SHA-1 มีช่องโหว่ง่ายต่อการแฮ็ค ทำให้หลายเจ้าทำการออก Certificate โดยไม่ใช้ SHA-1 อีกต่อไป แต่ก็มีบางเจ้ายังคงใช้อยู่ เช่น WoSign และ StartCom ทำให้ CA เหล่านั้นถูกแบนบนผลิตภัณฑ์ของ Mozilla, Apple และ Google

ในช่วงแรก CloudFlare, Facebook และ Twitter ออกมาปฏิเสธการแบน SHA-1 และเสนอแผนให้มีการใช้ระบบ SHA-1 Fallback เพื่อให้ผู้ที่ใช้เบราเซอร์และระบบปฏิบัติการรุ่นเก่าที่ไม่รองรับ SHA-2 (อัลกอริธึม Hash ที่จะถูกนำมาใช้แทน SHA-1) ยังคงสามารถเข้าถึงเว็บไซต์ต่อไปได้ แต่แผนการนี้ก็ได้ตกไป

ณ ตอนนี้ ยังไม่มีข้อมูลว่ามีกี่เว็บไซต์ที่ยังคงใช้ SHA-1 แต่เมื่อปลายปี 2015 ที่มีรายงานการโจมตี SHA-1 ออกมา Netcraft ระบุว่า มีจำนวน SSL Certificate มากกว่า 100 ใบที่ยังคงเซ็นชื่อด้วยอัลกอริธึม SHA-1

รูปด้านล่างสรุปการแจ้งเตือนและการยกเลิกการสนับสนุน SHA-1 ที่จะปรากฏบนเบราเซอร์ชื่อดังทั้ง 3 เจ้า

sha-1_error_messages

ที่มา: http://www.bleepingcomputer.com/news/security/google-to-show-errors-for-sha1-certificates-starting-with-chrome-56/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กอบกู้สถานการณ์ยามฉุกเฉิน รับมือกับ Ransomware ด้วย IBM Cyber Vault

Ransomware ยังคงเป็นภัยร้ายที่สร้างความเสียหายให้แก่องค์กรอย่างต่อเนื่อง ซึ่งหลายองค์กรอาจได้มีโอกาสสัมผัสพิษส่งของความเสียหายที่เกิดขึ้นมาบ้างแล้ว ทั้งนี้ทุกท่านย่อมทราบกันดีว่าโซลูชันในการกู้คืนข้อมูลเป็นเรื่องสำคัญที่สุดต่อการแก้ไขสถานการณ์ แต่คำถามคือท่านจะทราบได้อย่างไรว่าข้อมูลที่กู้คืนกลับมานั้นปลอดภัยดีหรือไม่ เพื่อป้องกันการถูกโจมตีซ้ำในอนาคต จะใช้วิธีการใดเพื่อตรวจสอบและในช่วงเวลาคับขันท่านเองมีเวลามากแค่ไหน ซึ่ง IBM Cyber Vault ได้ถูกออกแบบมาเพื่อป้องกันความโกลาหลดังกล่าว โดยท่านจะได้รู้จักกับโซลูชันนี้เพิ่มขึ้นในบทความนี้

ซิสโก้เปิดตัวนวัตกรรมที่กำหนดมาตรฐานในวงการอุตสาหกรรม (Industry-defining Innovations) สำหรับโลกที่เชื่อมต่ออย่างปลอดภัยมากขึ้น และครอบคลุมอย่างทั่วถึง ที่งาน Cisco Live US 2023 [Guest Post]

CISCO LIVE, ลาสเวกัส, 7 มิถุนายน 2566 —วันนี้ ซิสโก้ (CSCO) ผู้นำด้านระบบเครือข่ายและความปลอดภัยระดับองค์กรได้เปิดตัวเทคโนโลยีและความก้าวหน้าในการพัฒนาผลิตภัณฑ์ใหม่ๆ ของระบบเครือข่าย ระบบรักษาความปลอดภัย และแอปพลิเคชัน พร้อมกันนี้ ซิสโก้ได้เผยวิสัยทัศน์เกี่ยวกับการนำเสนอประสบการณ์แบบครบวงจรที่เรียบง่ายมากขึ้นสำหรับลูกค้าและคู่ค้า …