TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Indiana University Bloomington ได้งานวิจัยวิเคราะห์สาเหตุการออก SSL/TLS Certificate ผิดพลาด ซึ่งพบว่าหลักๆ เกิดขึ้นเพราะบั๊กบนซอฟต์แวร์ที่ใช้งาน
ระบบ Public Key Infrastructure (PKI) ได้พูดถึงองค์ประกอบที่เกี่ยวข้องกับการรับรองและออก SSL Certificate ไม่ว่าจะเป็น ซอฟต์แวร์ คน ฮาร์ดแวร์ กระบวนการ Certificate Authorities (CA) ซึ่งเบื้องหลังของเครือข่ายเกิดขึ้นได้เพราะใช้ความน่าเชื่อถือ โดย CA คือองค์กรที่มีหน้าที่ออก SSL Certificate ที่ใช้ในการเข้ารหัสบน HTTPS ทั้งนี้กิจกรรมของ CA จะถูกกำกับด้วยกลุ่มของผู้ให้บริการ Browser, OS และ องค์กร CA เองด้วย หรือที่เรียกว่า CA/B Forum
อย่างไรก็ตามมีเหตุการณ์หลายต่อหลายครั้งที่ Certificate ที่น่าจะได้รับการรับรองอย่างน่าเชื่อถือกลับถูกใช้ไปอย่างผิดวัตถุประสงค์ ซึ่งวันนี้มีผลรายงานสำรวจที่ชื่อ “A Complete Study of P.K.I (PKI’s Known Incidents)” โดยสำรวจ Incident ที่เกิดขึ้นจริงกว่า 379 ครั้งในการออก Certificate ผิดพลาดและพบสิ่งน่าสนใจดังนี้
- สาเหตุอันดับหนึ่งของการออก Certificate ผิดพลาดคิดเป็น 24% เกิดขึ้นจากบั๊กบนซอฟต์แวร์เอง
- สาเหตุอันดับสองคือ CA ไม่สามารถปฏิบัติตาม Baseline ของ CA/B Forum ที่มีได้ หรือไม่อัปเดตว่าข้อกำหนดถูกเปลี่ยนแปลงไปแล้ว โดยมีสัดส่วน 18%
- อันดับสามคือ CA เห็นแก่ประโยชน์ทางธุรกิจทำให้ละเลยต่อ Compliance
- ในอันดับถัดมาคือเรื่องของการผิดพลาดจากมนุษย์และอื่นๆ ตามรูปด้านบน
- CA ที่เกิดปัญหามากที่สุดคือ StartCom, WoSign, DigiCert, PROCERT และ Comodo(ปัจจุบันเปลี่ยนชื่อเป็น Sectigo) ตามลำดับ
อย่างไรก็ในรายงานกล่าวว่า CA เหล่านั้นควรจะถูกลงโทษโดยการแบนจากผู้ให้บริการ Browser ต่างๆ เพราะมีอำนาจมากที่สุดในกลุ่ม ผู้สนใจสามารถศึกษารายงานเพิ่มเติมได้ที่นี่
ที่มา : https://www.zdnet.com/article/most-ssl-certificate-misissuance-caused-by-software-bugs-and-rule-misinterpretations/ และ https://www.helpnetsecurity.com/2019/10/14/mis-issued-ssl-tls-certificates/
