Breaking News

ผลสำรวจเผยสาเหตุหลักที่ออก SSL/TLS Certificate ผิดพลาดเพราะบั๊กบนซอฟต์แวร์

Indiana University Bloomington ได้งานวิจัยวิเคราะห์สาเหตุการออก SSL/TLS Certificate ผิดพลาด ซึ่งพบว่าหลักๆ เกิดขึ้นเพราะบั๊กบนซอฟต์แวร์ที่ใช้งาน

credit : dwdonline.com

ระบบ Public Key Infrastructure (PKI) ได้พูดถึงองค์ประกอบที่เกี่ยวข้องกับการรับรองและออก SSL Certificate ไม่ว่าจะเป็น ซอฟต์แวร์ คน ฮาร์ดแวร์ กระบวนการ Certificate Authorities (CA) ซึ่งเบื้องหลังของเครือข่ายเกิดขึ้นได้เพราะใช้ความน่าเชื่อถือ โดย CA คือองค์กรที่มีหน้าที่ออก SSL Certificate ที่ใช้ในการเข้ารหัสบน HTTPS ทั้งนี้กิจกรรมของ CA จะถูกกำกับด้วยกลุ่มของผู้ให้บริการ Browser, OS และ องค์กร CA เองด้วย หรือที่เรียกว่า CA/B Forum

อย่างไรก็ตามมีเหตุการณ์หลายต่อหลายครั้งที่ Certificate ที่น่าจะได้รับการรับรองอย่างน่าเชื่อถือกลับถูกใช้ไปอย่างผิดวัตถุประสงค์ ซึ่งวันนี้มีผลรายงานสำรวจที่ชื่อ “A Complete Study of P.K.I (PKI’s Known Incidents)” โดยสำรวจ Incident ที่เกิดขึ้นจริงกว่า 379 ครั้งในการออก Certificate ผิดพลาดและพบสิ่งน่าสนใจดังนี้

  • สาเหตุอันดับหนึ่งของการออก Certificate ผิดพลาดคิดเป็น 24% เกิดขึ้นจากบั๊กบนซอฟต์แวร์เอง
  • สาเหตุอันดับสองคือ CA ไม่สามารถปฏิบัติตาม Baseline ของ CA/B Forum ที่มีได้ หรือไม่อัปเดตว่าข้อกำหนดถูกเปลี่ยนแปลงไปแล้ว โดยมีสัดส่วน 18%
  • อันดับสามคือ CA เห็นแก่ประโยชน์ทางธุรกิจทำให้ละเลยต่อ Compliance
  • ในอันดับถัดมาคือเรื่องของการผิดพลาดจากมนุษย์และอื่นๆ ตามรูปด้านบน
  • CA ที่เกิดปัญหามากที่สุดคือ StartCom, WoSign, DigiCert, PROCERT และ Comodo(ปัจจุบันเปลี่ยนชื่อเป็น Sectigo) ตามลำดับ

อย่างไรก็ในรายงานกล่าวว่า CA เหล่านั้นควรจะถูกลงโทษโดยการแบนจากผู้ให้บริการ Browser ต่างๆ เพราะมีอำนาจมากที่สุดในกลุ่ม ผู้สนใจสามารถศึกษารายงานเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/most-ssl-certificate-misissuance-caused-by-software-bugs-and-rule-misinterpretations/ และ  https://www.helpnetsecurity.com/2019/10/14/mis-issued-ssl-tls-certificates/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ไอบีเอ็มเปิดโครงการ Call for Code Global Challenge ร่วมรับมือประเด็นปัญหาสำคัญของโลก รวมถึงสถานการณ์ COVID-19

กรุงเทพฯ ประเทศไทย – 9 เมษายน 2563: ไอบีเอ็มเปิดโครงการ Call for Code Global Challenge ประจำปี 2563 พร้อมประกาศขยายขอบเขตให้ครอบคลุมประเด็นเรื่อง …

[Video Webinar] เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย Cisco Webinar เรื่อง “เตรียมความพร้อม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ด้วย Cisco Security Platform” พร้อมแนะนำโซลูชันด้านความมั่นคงปลอดภัยสำหรับ Work from Home …