DigiCert ประกาศถอนใบรับรอง SSL กว่า 23,000 ใบ หลังเกิดกรณีพิพาทกับ Trustico

DigiCert หนึ่งในบริษัทผู้ออกใบรับรอง SSL ที่ใหญ่ที่สุดในโลก ออกมาประกาศเพิกถอน (Revoke) ใบรับรอง SSL กว่า 23,000 ใบที่ออกให้ Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรในวันที่ 1 มีนาคมนี้ สืบเนื่องจากกรณีพิพาทกับบริษัทดังกล่าว

Credit: bikeriderlondon/ShutterStock

กรณีพิพาทนี้เริ่มต้นขึ้นเมื่อช่วงเช้าวานนี้ (28 กุมภาพันธ์ 2018) เมื่อ DigiCert ส่งอีเมลไปยังผู้ใช้กว่า 23,000 รายที่ซื้อใบรับรอง SSL จาก Trustico โดยระบุว่า พบปัญหาด้านความมั่นคงปลอดภัย ทำให้ทางบริษัทต้องเพิกถอน (Revoke) ใบรับรอง SSL ที่ออกให้ Trustico ทั้งหมด อย่างไรก็ตาม ทาง Zane Lucas ผู้จัดการทั่วไปของ Trustico ได้ออกมาปฎิเสธเรื่องดังกล่าวว่า ทางบริษัทไม่ได้เกิดปัญหาด้านความมั่นคงปลอดภัยแต่อย่างใด

เมื่อไล่เรียงเรื่องราวกลับไปดู พบว่ากรณีพิพาทนี้สืบเนื่องมาจากวันที่ 2 กุมภาพันธ์ Trustico ได้ส่งอีเมลหา DigiCert เพื่อขอให้เพิกถอนใบรับรองประมาณ 50,000 ใบทิ้ง เนื่องจาก Trustico ต้องการยกเลิกสัญญา และเปลี่ยนไปทำสัญญาใหม่กับทาง Comodo แทน อย่างไรก็ตาม DigiCert ปฏิเสธที่จะเพิกถอนใบรับรองตามที่ Trustico ร้องขอ โดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรสั่งเพิกถอนใบรับรอง SSL ของลูกค้าได้ เว้นแต่ว่าทางบริษัทจะมีหลักฐานยืนยันว่าเกิดเหตุด้านความมั่นคงปลอดภัยที่ส่งผลกระทบต่อ Private Key ของลูกค้า

วันที่ 27 กุมภาพันธ์ DigiCert ได้รับอีเมลอีกฉบับจาก Trustico ซึ่งภายในอีเมลมี Private Key จากใบรับรอง SSL ของลูกค้า Trustico มากกว่า 23,000 รายการ ส่งผลให้ DigiCert ต้องดำเนินการตามกฏของ CA ที่จะต้องเพิกถอนใบรับรองภายใน 24 ชั่วโมงเมื่อได้รับแจ้งเหตุ จึงเป็นที่มาของอีเมลในตอนเช้าวานนี้ที่ DigiCert แจ้งเรื่องไปยังลูกค้าของ Trustico ว่าจะดำเนินการเพิกถอนใบรับรอง SSL อย่างไรก็ตาม ยังเป็นที่ถกเถียงกันอยู่ว่า DigiCert มีสิทธิ์ส่งอีเมลไปหาลูกค้าของ Trustico โดยตรงได้หรือไม่

อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก แต่ก็ไม่ได้อธิบายเพิ่มเติมว่า Private Key ดังกล่าวได้มาจากไหน ขณะเดียวกัน ทางฝั่ง DigiCert ก็ได้แจ้งเรื่องไปยัง Mozilla ถึงใบรับรอง SSL ทั้ง 23,000 ใบที่มีปัญหา ให้ Mozilla สามารถกาหัวเป็น Untrusted Certificates ได้เลย

ระหว่างเกิดเหตุนี้ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยตั้งข้อสงสัยและวิจารณ์ Trustico อย่างหนักหน่วงว่าแอบเก็บ Private Key จากใบรับรอง SSL ของลูกค้าหรือเปล่า ถึงมี Privat Key จำนวนมากขนาดนั้น แม้แต่ Flavio Martins, COO ของ DigiCert ยังแสดงอาการตกใจเมื่อทราบว่า Trustico ส่งเมลที่มี Private Key ของลูกค้า 23,000 รายมายังบริษัท

Trustico ระบุเหตุผลที่ต้องการเพิกถอนใบรับรอง 50,000 ใบในตอนแรกนั้นมาจากปัญหา SSL Certificate ของ Symantec ที่ Google ประกาศเมื่อปีที่ผ่านมา เมื่อรวมกับกรณีนี้พิพาทนี้เข้าไปทำให้ Trustico สูญเสียความเชื่อมั่นในการใช้ Symantec (ซึ่งตอนนี้เป็นส่วนหนึ่งของ DigiCert) เป็นที่เรียบร้อย

สรุปได้ว่าจากเหตุข้อพิพาทและการสื่อสารที่ไม่ตรงกัน ทำให้ลูกค้าของ Trustcio กว่า 23,000 รายต้องถูกเพิกถอนใบรับรอง SSL ในขณะที่อีก 27,000 รายยังคงใช้งานได้อยู่ ซึ่งทาง Mozilla เองก็เห็นด้วยที่ยังคงให้ใบรับรองเหล่านี้ “Valid” ต่อไป เนื่องจากไม่มีหลักฐานว่าถูกแฮ็ก ส่วนที่มาของ Private Key 23,000 รายการนั้น ก็ต้องดูกันต่อไปว่าเกิดจากปัญหาด้านความมั่นคงปลอดภัยหรือ Trustico แอบเก็บข้อมูลลูกค้ากันแน่ เรื่องนี้อาจถึงขั้นมีกฎหมายมาเกี่ยวข้อง คงเป็นซีรี่ย์ยาวที่ต้องติดตามกันต่อไป

ที่มา: https://www.bleepingcomputer.com/news/security/23-000-users-lose-ssl-certificates-in-trustico-digicert-spat/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้