TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
DigiCert หนึ่งในบริษัทผู้ออกใบรับรอง SSL ที่ใหญ่ที่สุดในโลก ออกมาประกาศเพิกถอน (Revoke) ใบรับรอง SSL กว่า 23,000 ใบที่ออกให้ Trustico ตัวแทนจำหน่ายใบรับรอง SSL ชื่อดังจากสหราชอาณาจักรในวันที่ 1 มีนาคมนี้ สืบเนื่องจากกรณีพิพาทกับบริษัทดังกล่าว
กรณีพิพาทนี้เริ่มต้นขึ้นเมื่อช่วงเช้าวานนี้ (28 กุมภาพันธ์ 2018) เมื่อ DigiCert ส่งอีเมลไปยังผู้ใช้กว่า 23,000 รายที่ซื้อใบรับรอง SSL จาก Trustico โดยระบุว่า พบปัญหาด้านความมั่นคงปลอดภัย ทำให้ทางบริษัทต้องเพิกถอน (Revoke) ใบรับรอง SSL ที่ออกให้ Trustico ทั้งหมด อย่างไรก็ตาม ทาง Zane Lucas ผู้จัดการทั่วไปของ Trustico ได้ออกมาปฎิเสธเรื่องดังกล่าวว่า ทางบริษัทไม่ได้เกิดปัญหาด้านความมั่นคงปลอดภัยแต่อย่างใด
เมื่อไล่เรียงเรื่องราวกลับไปดู พบว่ากรณีพิพาทนี้สืบเนื่องมาจากวันที่ 2 กุมภาพันธ์ Trustico ได้ส่งอีเมลหา DigiCert เพื่อขอให้เพิกถอนใบรับรองประมาณ 50,000 ใบทิ้ง เนื่องจาก Trustico ต้องการยกเลิกสัญญา และเปลี่ยนไปทำสัญญาใหม่กับทาง Comodo แทน อย่างไรก็ตาม DigiCert ปฏิเสธที่จะเพิกถอนใบรับรองตามที่ Trustico ร้องขอ โดยให้เหตุผลว่า ตัวแทนจำหน่ายไม่ควรสั่งเพิกถอนใบรับรอง SSL ของลูกค้าได้ เว้นแต่ว่าทางบริษัทจะมีหลักฐานยืนยันว่าเกิดเหตุด้านความมั่นคงปลอดภัยที่ส่งผลกระทบต่อ Private Key ของลูกค้า
วันที่ 27 กุมภาพันธ์ DigiCert ได้รับอีเมลอีกฉบับจาก Trustico ซึ่งภายในอีเมลมี Private Key จากใบรับรอง SSL ของลูกค้า Trustico มากกว่า 23,000 รายการ ส่งผลให้ DigiCert ต้องดำเนินการตามกฏของ CA ที่จะต้องเพิกถอนใบรับรองภายใน 24 ชั่วโมงเมื่อได้รับแจ้งเหตุ จึงเป็นที่มาของอีเมลในตอนเช้าวานนี้ที่ DigiCert แจ้งเรื่องไปยังลูกค้าของ Trustico ว่าจะดำเนินการเพิกถอนใบรับรอง SSL อย่างไรก็ตาม ยังเป็นที่ถกเถียงกันอยู่ว่า DigiCert มีสิทธิ์ส่งอีเมลไปหาลูกค้าของ Trustico โดยตรงได้หรือไม่
อย่างไรก็ตาม Trustico ออกมาปฏิเสธรายงานของ DigiCert ระบุว่าทางบริษัทไม่ได้เกิดเหตุผิดปกติด้านความมั่นคงปลอดภัยใดๆ และไม่เคยแจ้ง DigiCert ด้วยว่า Private Key ที่ส่งให้ไปนั้นถูกแฮ็ก แต่ก็ไม่ได้อธิบายเพิ่มเติมว่า Private Key ดังกล่าวได้มาจากไหน ขณะเดียวกัน ทางฝั่ง DigiCert ก็ได้แจ้งเรื่องไปยัง Mozilla ถึงใบรับรอง SSL ทั้ง 23,000 ใบที่มีปัญหา ให้ Mozilla สามารถกาหัวเป็น Untrusted Certificates ได้เลย
ระหว่างเกิดเหตุนี้ ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยตั้งข้อสงสัยและวิจารณ์ Trustico อย่างหนักหน่วงว่าแอบเก็บ Private Key จากใบรับรอง SSL ของลูกค้าหรือเปล่า ถึงมี Privat Key จำนวนมากขนาดนั้น แม้แต่ Flavio Martins, COO ของ DigiCert ยังแสดงอาการตกใจเมื่อทราบว่า Trustico ส่งเมลที่มี Private Key ของลูกค้า 23,000 รายมายังบริษัท
When you signed up with them they integrated Client Side Requests into their website – which means they had the private key (which should never leave the client side). They also retained it and emailed to a 3rd party, a HUGE security hole. pic.twitter.com/iFg6MdcFbK
— Kevin Beaumont (@GossiTheDog) February 28, 2018
@rinsure we can’t speculate on the reason, but we know that @trustico sent us a document with all of the keys, so revocation is required. Not sure why/how they have customer private keys…
— Flavio Martins (@flavmartins) February 28, 2018
Trustico ระบุเหตุผลที่ต้องการเพิกถอนใบรับรอง 50,000 ใบในตอนแรกนั้นมาจากปัญหา SSL Certificate ของ Symantec ที่ Google ประกาศเมื่อปีที่ผ่านมา เมื่อรวมกับกรณีนี้พิพาทนี้เข้าไปทำให้ Trustico สูญเสียความเชื่อมั่นในการใช้ Symantec (ซึ่งตอนนี้เป็นส่วนหนึ่งของ DigiCert) เป็นที่เรียบร้อย
สรุปได้ว่าจากเหตุข้อพิพาทและการสื่อสารที่ไม่ตรงกัน ทำให้ลูกค้าของ Trustcio กว่า 23,000 รายต้องถูกเพิกถอนใบรับรอง SSL ในขณะที่อีก 27,000 รายยังคงใช้งานได้อยู่ ซึ่งทาง Mozilla เองก็เห็นด้วยที่ยังคงให้ใบรับรองเหล่านี้ “Valid” ต่อไป เนื่องจากไม่มีหลักฐานว่าถูกแฮ็ก ส่วนที่มาของ Private Key 23,000 รายการนั้น ก็ต้องดูกันต่อไปว่าเกิดจากปัญหาด้านความมั่นคงปลอดภัยหรือ Trustico แอบเก็บข้อมูลลูกค้ากันแน่ เรื่องนี้อาจถึงขั้นมีกฎหมายมาเกี่ยวข้อง คงเป็นซีรี่ย์ยาวที่ต้องติดตามกันต่อไป
