Breaking News

ผลสำรวจเผยสาเหตุหลักที่ออก SSL/TLS Certificate ผิดพลาดเพราะบั๊กบนซอฟต์แวร์

Indiana University Bloomington ได้งานวิจัยวิเคราะห์สาเหตุการออก SSL/TLS Certificate ผิดพลาด ซึ่งพบว่าหลักๆ เกิดขึ้นเพราะบั๊กบนซอฟต์แวร์ที่ใช้งาน

credit : dwdonline.com

ระบบ Public Key Infrastructure (PKI) ได้พูดถึงองค์ประกอบที่เกี่ยวข้องกับการรับรองและออก SSL Certificate ไม่ว่าจะเป็น ซอฟต์แวร์ คน ฮาร์ดแวร์ กระบวนการ Certificate Authorities (CA) ซึ่งเบื้องหลังของเครือข่ายเกิดขึ้นได้เพราะใช้ความน่าเชื่อถือ โดย CA คือองค์กรที่มีหน้าที่ออก SSL Certificate ที่ใช้ในการเข้ารหัสบน HTTPS ทั้งนี้กิจกรรมของ CA จะถูกกำกับด้วยกลุ่มของผู้ให้บริการ Browser, OS และ องค์กร CA เองด้วย หรือที่เรียกว่า CA/B Forum

อย่างไรก็ตามมีเหตุการณ์หลายต่อหลายครั้งที่ Certificate ที่น่าจะได้รับการรับรองอย่างน่าเชื่อถือกลับถูกใช้ไปอย่างผิดวัตถุประสงค์ ซึ่งวันนี้มีผลรายงานสำรวจที่ชื่อ “A Complete Study of P.K.I (PKI’s Known Incidents)” โดยสำรวจ Incident ที่เกิดขึ้นจริงกว่า 379 ครั้งในการออก Certificate ผิดพลาดและพบสิ่งน่าสนใจดังนี้

  • สาเหตุอันดับหนึ่งของการออก Certificate ผิดพลาดคิดเป็น 24% เกิดขึ้นจากบั๊กบนซอฟต์แวร์เอง
  • สาเหตุอันดับสองคือ CA ไม่สามารถปฏิบัติตาม Baseline ของ CA/B Forum ที่มีได้ หรือไม่อัปเดตว่าข้อกำหนดถูกเปลี่ยนแปลงไปแล้ว โดยมีสัดส่วน 18%
  • อันดับสามคือ CA เห็นแก่ประโยชน์ทางธุรกิจทำให้ละเลยต่อ Compliance
  • ในอันดับถัดมาคือเรื่องของการผิดพลาดจากมนุษย์และอื่นๆ ตามรูปด้านบน
  • CA ที่เกิดปัญหามากที่สุดคือ StartCom, WoSign, DigiCert, PROCERT และ Comodo(ปัจจุบันเปลี่ยนชื่อเป็น Sectigo) ตามลำดับ

อย่างไรก็ในรายงานกล่าวว่า CA เหล่านั้นควรจะถูกลงโทษโดยการแบนจากผู้ให้บริการ Browser ต่างๆ เพราะมีอำนาจมากที่สุดในกลุ่ม ผู้สนใจสามารถศึกษารายงานเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/most-ssl-certificate-misissuance-caused-by-software-bugs-and-rule-misinterpretations/ และ  https://www.helpnetsecurity.com/2019/10/14/mis-issued-ssl-tls-certificates/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รายงานเผย จีนมีสิทธิบัตรด้าน Blockchain มากที่สุดในโลก สูงกว่าสหรัฐอเมริกาถึง 3 เท่า

Nikkei ได้ออกมารายงานถึงผลการวิจัยจาก Astamuse แห่งญี่ปุ่น ถึงการยื่นจดสิทธิบัตรด้าน Blockchain ในอดีตที่ผ่านมาในช่วงปี 2009 - 2018 ซึ่งสหรัฐอเมริกา, จีน, ญี่ปุ่น, เกาหลีใต้ และเยอรมนีนั้นได้ยื่นจดสิทธิบัตรรวมกันประมาณ 12,000 รายการ ซึ่งหากนับสิทธิบัตรจากจีนเพียงอย่างเดียวแล้ว ก็มีมากถึง 7,600 รายการหรือราวๆ 60% เลยทีเดียว

CEBIT ASEAN Thailand 2019 ที่สุดของเวทีด้านธุรกิจไอทีและดิจิทัลเพื่อ SMEs

บริษัท อิมแพ็ค เอ็กซิบิชั่น แมเนจเม้นท์ จำกัดประกาศความพร้อมจัดงาน CEBIT ASEAN Thailand 2019 เวทีแสดงสินค้าและเจรจาธุรกิจ พร้อมสัมมนาให้ความรู้ ด้านไอทีและดิจิทัลที่ครบครันที่สุด ตอบโจทย์ผู้ประกอบการเอสเอ็มอีในยุคดิจิทัล โดยงานมีกำหนดจัดขึ้นระหว่างวันที่ 27-29 พฤศจิกายน 2562 ณ อาคาร 7 ศูนย์แสดงสินค้าและการประชุม อิมแพ็ค เมืองทองธานี