Microsoft สั่งแบน SHA-1 Certificates บน IE และ Edge เป็นที่เรียบร้อย

มาพร้อมกับ Microsoft Patch Tuesday ประจำเดือนพฤษภาคม 2017 ทั้ง Internet Explorer และ Microsoft Edge เวอร์ชันล่าสุดต่างพร้อมแสดงการแจ้งเตือน SSL/TLS Certificate ที่ถูกรับรองโดยใช้ฟังก์ชันแฮชแบบ SHA-1 ว่าไม่มั่นคงปลอดภัยอีกต่อไป โดยเริ่มมีผลตั้งแต่วันนี้

Credit: The Cute Design Studio/ShutterStock

หลังจากที่ Chrome และ Firefox ประกาศยกเลิกการรับรอง SHA-1 ไปเมื่อช่วงต้นปีที่ผ่านมา ล่าสุด Microsoft ได้ประกาศให้เว็บเบราเซอร์ของตนเลิกรับรอง Certificate ที่ใช้ SHA-1 แล้วเช่นกัน เนื่องจากฟังก์ชันแฮชดังกล่าวเปราะบางต่อการถูกแฮ็คด้วยเทคโนโลยีในปัจจุบันเกินกว่าที่จะรับได้ และ Google ก็ออกมาแสดงให้เห็นแล้วว่า สามารถโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกัน โดยเร็วกว่าการโจมตีแบบ Brute Force ถึง 100,000 เท่า

Chrome เวอร์ชัน 56 ที่ออกมาเมื่อเดือนมกราคมที่ผ่านมา เริ่มบล็อกการใช้ SHA-1 Cercificate ที่ออกโดย CA สาธารณะที่ได้รับการยอมรับ ในขณะที่เวอร์ชัน 57 เริ่มบล็อก SHA-1 Certificate ที่ออกโดย Local Root CA ด้วยเช่นกัน อย่างไรก็ตาม Chrome ยังพอมีกลไกที่อนุญาตให้องค์กรสามารถปิดการจำกัดการใช้งานนี้ได้ สำหรับองค์กรที่มี Certificate Infrastructure ของตนเอง และจำเป็นต้องใช้ SHA-1 Root Certificate ในระบบเก่าๆ ที่ยังไม่รองรับ SHA-2

การแบน SHA-1 บน IE และ Edge นี้ ส่งผลกระทบต่อ Root Certificate ที่อยู่ใน Microsoft Trusted Root Program เท่านั้น สำหรับ SHA-1 Certificate ที่ใช้กันเองภายในองค์กรจะยังไม่ได้รับผลกระทบแต่อย่างใด แต่ Microsoft ก็ได้วางแผนที่จะแบนการใช้งาน SHA-1 Certicate ทั้งหมดตาม Google เช่นเดียวกัน

ที่มา: http://www.csoonline.com/article/3195822/security/microsoft-finally-bans-sha-1-certificates-in-internet-explorer-and-edge.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …