Breaking News

Cloudflare เปิดตัวเครื่องมือ Multipath Domain Control Validation ช่วย CA ออก Certificate ได้อย่างมั่นใจ

Cloudflare ได้ประกาศเปิดตัว API ฟรีสำหรับ Certificate Authority (CAs) ที่ถูกออกแบบมาเพื่อช่วยความมั่นคงปลอดภัยในขั้นตอน Domain Control Validation ว่าเป็นผู้ใช้งานจริงๆ ไม่ใช่คนร้ายที่ปลอมตัวมา

credit : Blog.cloudflare

ไอเดียก็คือสมมติว่าเราเป็นเจ้าของเว็บไซต์ซึ่งหลังจากที่ร้องขอออก Certificate จาก CAs เช่น Let’s Encrypt, Symantec หรือ GoDaddy เราจะต้องผ่านขั้นตอนตรวจสอบที่เรียกว่า Domain Control Validation (DCV) เพื่อพิสูจน์ว่าเป็นเจ้าของโดเมนจริง โดยมีกระบวนการ เช่น สร้าง DNS RR ที่ระบุ, ส่งเอกสารที่เชื่อมโยงกับโดเมนนั้น หรือพิสูจน์ความเป็นเจ้าของด้วยอีเมลผู้ดูแลของโดเมน เป็นต้น อย่างไรก็ตามมีผลการศึกษาที่เผยว่าคนร้ายสามารถปลอมตัวผ่านกระบวนการตรวจสอบนี้ได้ด้วย BGP Attack และ DNS Spoofing ประกอบกันเพื่อ Reroute ทราฟฟิคไปยังโดเมนที่ควบคุมแทน

ด้วยเหตุนี้เอง Cloudflare จึงอาสาแก้ไขปัญหาของขั้นตอน DCV นี้จากเครือข่ายของตนที่กระจายอยู่โดยกล่าวว่า “เรามี Datacenter กว่า 175 แห่งกระจายอยู่ทั่วโลกซึ่งสามารถทำ DCV แทนได้จากหลายแห่ง อีกทั้งแต่ละแห่งยังมีเส้นทางสู่ DNS nameserver หรือ HTTP Endpoint ต่างกันด้วย ดังนั้นหมายความว่าโอกาสที่คนร้ายจะทำ Hijacking BGP Route ได้สำเร็จทั้งหมดกับ DCV Request นั้นเป็นไปได้ยาก นอกจากนี้ Cloudflare ยังมีกระบวนป้องกันด้วย Resource Public Key infrastructure (RPKI) กับ BGP ซึ่งมีความมั่นคงปลอดภัยมากขึ้นอีก

สำหรับในส่วนของ DNS Spoofing บริษัทกล่าวว่า “เราเพิ่มความปลอดภัยในชั้นนี้ด้วยการสุ่ม Source IP ของ DNS Query เพื่อไม่ให้คนร้ายคาดเดาและทำการ Spoof ตัว Second Fragment สำหรับ DNS Respond ไปหา Agent ได้ง่ายๆ” โดยสำหรับ CAs ที่สนใจใช้ DCV Checker จาก Cloud สามารถส่งอีเมลไปได้ที่ dcv@cloudflare.com หรือศึกษาเพิ่มเติมได้จาก Blog.cloudflare ครับ

ที่มา :  https://www.securityweek.com/free-cloudflare-tool-helps-cas-securely-issue-certificates


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เปิด Beta สำหรับ Chromium-based Edge แล้ว

Microsoft ได้ประกาศปล่อยตัว Beta ของ Edge ตัวใหม่ที่อาศัย Chromium เป็นพื้นฐานมาให้ทดสอบกันแล้ว ซึ่งจะเป็นการทดลองครั้งสุดท้ายก่อนออกตัวจริงในอนาคต

GitHub ขยายความสามารถ Token Scanning ไปยัง Atlassian Dropbox และ Discord

GitHub ได้ประกาศขยายความสามารถของ Token Scanning ไปยังพาร์เนอร์ใหม่ 5 รายคือ Atlassian, Dropbox, Discord, Proctorio และ Pulumi