กลาโหมสหรัฐฯ เตรียมยกทุกเว็บไซต์เป็น HTTPS ภายในสิ้นปีนี้

กระทรวงกลาโหมสหรัฐฯ (DOD) วางแผนปรับปรุงเว็บไซต์ที่เปิดให้บุคคลภายนอกเข้าชมเป็น HTTPS และ HSTS (HTTP Strict Transport Security) ภายในสิ้นปีนี้ เพื่อเพิ่มความมั่นคงปลอดภัยให้แก่ระบบเว็บทั้งหมด

Credit: Defense.gov

การปรับปรุงเว็บไซต์เป็น HTTPS และ HSTS นี้ เกิดจาก Ron Wyden วุฒิสมาชิกจากพรรคเดโมแครต รัฐโอเรกอน ได้ส่งจดหมายเปิดผนึกซึ่งระบุประเด็นเรื่องการใช้เว็บแบบ HTTP ที่ไม่มีความมั่นคงปลอดภัยและ SSL Certificates ที่มีปัญหาในหลายๆ เว็บไซต์ของ DOD เมื่อเดือนพฤษภาคมที่ผ่าน

ภายในจดหมายระบุว่า เว็บไซต์ของ DOD ส่วนใหญ่ยังคงใช้ HTTP มีเพียงส่วนน้อยเท่านั้นที่เป็น HTTPS ในขณะที่เว็บ HTTPS เหล่านั้นก็ใช้ใบรับรองที่ออกโดย DOD Root Certificate Authority ซึ่งเว็บเบราว์เซอร์สมัยใหม่อย่าง Chrome หรือ Firefox ไม่เชื่อถือใน CA ดังกล่าว ส่งผลให้ต่อให้การเชื่อมต่อเป็นแบบ HTTPS แต่เว็บเบราว์เซอร์จะยังคงแจ้งเตือนว่าเป็นเว็บไซต์ที่ไม่มั่นคงปลอดภัย และอาจบล็อกการเข้าถึงได้ นอกจากนี้ Wyden ยังแนะนำให้ DOD ใช้ HSTS เพื่อให้มั่นใจว่า ทุกคนที่เข้าถึงเว็บไซต์ของ DOD จะเชื่อมต่อแบบ HTTPS อีกด้วย

จากข้อเสนอของ Wyden ส่งผลให้ทาง Deasy Dana, CIO ของ DOD ออกแถลงการณ์ออนไลน์เมื่อสัปดาห์ที่ผ่านมา โดยระบุถึงแผนที่จะปรับปรุงเว็บไซต์ของ DOD ตามข้อเสนอของ Wyden พร้อมทั้งยังระบุอีกว่า DOD ได้ดำเนินการโยกย้ายสินทรัพย์ออนไลน์ส่วนใหญ่ไปใช้ช่องทางที่มั่นคงปลอดภัยมานานกว่า 2 – 3 ปีตามโครงการ Binding Operational Directive ของกระทรวงความมั่นคงแห่งมาตุภูมิ สหรัฐฯ (BOD 18-01) ที่เผยแพร่เมื่อปลายปีที่ผ่านมา ไม่ว่าจะเป็นการใช้ HTTPS และ HSTS ในการปกป้องเว็บไซต์, การใช้ STARTTLS และ DMARC เพื่อปกป้องระบบอีเมล หรือทำสัญญากับ PKI Infrastructure เชิงพาณิชย์เพื่อให้ออกใบรับรอง SSL ที่มีความน่าเชื่อถือ

ตามแผนของ BOD 18-01 Deasy คาดการณ์ว่า การปรับปรุงเว็บไซต์ ระบบเมล และการออกใบรับรอง SSL จะแล้วเสร็จและพร้อมใช้งานอย่างมั่นคงปลอดภัยภายในวันที่ 31 ธันวาคม 2018 ที่จะถึงนี้

ที่มา: https://www.bleepingcomputer.com/news/government/dod-to-move-all-websites-to-https-by-the-end-of-the-year/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

แจกฟรีเครื่องมือ Decryptor มัลแวร์เรียกค่าไถ่ GandCrap 5.2

ในที่สุดก็มีการปล่อย GandCrap Decryptor เวอร์ชัน 5.2 ออกมาให้ใช้ได้ฟรีแล้ว จากการผนึกกำลังกันระหว่างหน่วยงานทางกฏหมายของหลายประเทศ ทั้งนี้ (คาดว่า) น่าจะเป็นเวอร์ชันสุดท้ายเพราะคนร้ายเบื้องหลังได้ประกาศเกษียณหลังจากทำรายได้เข้ากระเป๋าตัวเองไปได้กว่า 150 ล้านเหรียญสหรัฐฯ ต่อปี

Twitter ลบหลายพัน Accounts ปลอมที่มุ่งหวังทางการเมืองออกจากระบบ

Twitter ได้ออกมาเปิดเผยว่าได้ทำการลบ Accounts ปลอมออกจากระบบรวมทั้งสิ้น 4,779 รายชื่อ เนื่องจากเชื่อว่า Accounts เหล่านี้ถูกสร้างและใช้งานเพื่อหวังผลทางการเมือง คาดมีส่วนเกี่ยวข้องกับประเทศอิหร่านและรัสเซีย