Microsoft สั่งแบน SHA-1 Certificates บน IE และ Edge เป็นที่เรียบร้อย

มาพร้อมกับ Microsoft Patch Tuesday ประจำเดือนพฤษภาคม 2017 ทั้ง Internet Explorer และ Microsoft Edge เวอร์ชันล่าสุดต่างพร้อมแสดงการแจ้งเตือน SSL/TLS Certificate ที่ถูกรับรองโดยใช้ฟังก์ชันแฮชแบบ SHA-1 ว่าไม่มั่นคงปลอดภัยอีกต่อไป โดยเริ่มมีผลตั้งแต่วันนี้

Credit: The Cute Design Studio/ShutterStock

หลังจากที่ Chrome และ Firefox ประกาศยกเลิกการรับรอง SHA-1 ไปเมื่อช่วงต้นปีที่ผ่านมา ล่าสุด Microsoft ได้ประกาศให้เว็บเบราเซอร์ของตนเลิกรับรอง Certificate ที่ใช้ SHA-1 แล้วเช่นกัน เนื่องจากฟังก์ชันแฮชดังกล่าวเปราะบางต่อการถูกแฮ็คด้วยเทคโนโลยีในปัจจุบันเกินกว่าที่จะรับได้ และ Google ก็ออกมาแสดงให้เห็นแล้วว่า สามารถโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกัน โดยเร็วกว่าการโจมตีแบบ Brute Force ถึง 100,000 เท่า

Chrome เวอร์ชัน 56 ที่ออกมาเมื่อเดือนมกราคมที่ผ่านมา เริ่มบล็อกการใช้ SHA-1 Cercificate ที่ออกโดย CA สาธารณะที่ได้รับการยอมรับ ในขณะที่เวอร์ชัน 57 เริ่มบล็อก SHA-1 Certificate ที่ออกโดย Local Root CA ด้วยเช่นกัน อย่างไรก็ตาม Chrome ยังพอมีกลไกที่อนุญาตให้องค์กรสามารถปิดการจำกัดการใช้งานนี้ได้ สำหรับองค์กรที่มี Certificate Infrastructure ของตนเอง และจำเป็นต้องใช้ SHA-1 Root Certificate ในระบบเก่าๆ ที่ยังไม่รองรับ SHA-2

การแบน SHA-1 บน IE และ Edge นี้ ส่งผลกระทบต่อ Root Certificate ที่อยู่ใน Microsoft Trusted Root Program เท่านั้น สำหรับ SHA-1 Certificate ที่ใช้กันเองภายในองค์กรจะยังไม่ได้รับผลกระทบแต่อย่างใด แต่ Microsoft ก็ได้วางแผนที่จะแบนการใช้งาน SHA-1 Certicate ทั้งหมดตาม Google เช่นเดียวกัน

ที่มา: http://www.csoonline.com/article/3195822/security/microsoft-finally-bans-sha-1-certificates-in-internet-explorer-and-edge.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

AWS เปิดให้บริการ Windows Server 2025 บน Amazon EC2

AWS ประกาศพร้อมให้บริการ Microsoft Windows Server 2025 ผ่าน Amazon Machine Images (AMIs) บน Amazon EC2 แล้วมาพร้อมฟีเจอร์ความปลอดภัยและประสิทธิภาพที่เพิ่มขึ้น

CrowdStrike เข้าซื้อกิจการ Adaptive Shield เสริมทัพด้านความปลอดภัยบน Cloud

CrowdStrike ประกาศเข้าซื้อกิจการ Adaptive Shield ผู้พัฒนาโซลูชันด้านความปลอดภัยสำหรับแอปพลิเคชัน Cloud มูลค่า 300 ล้านดอลลาร์ เพื่อเสริมความแข็งแกร่งในการปกป้องข้อมูลบน SaaS