Microsoft ถอด Certificate Authorities (CAs) ของ WoSign และ StartCom’s จากประเทศจีน เนื่องจาก Wosign ไม่สามารถรักษามาตราฐาน Trusted Root Program ของ Microsoft ได้และมีการรักษาความปลอดภัยไม่เพียงพอ ในไม่ช้านี้ทั้ง Internet Explorer และ Edge จะไม่รับใบรับรองความปลอดภัยใหม่นี้รวมถึงบริษัทอื่นๆเช่นกัน
CA เป็นหน่วยงานที่น่าเชื่อถือที่ออกใบรับรองดิจิทัล X.509 ซึ่งมีข้อมูลที่เกี่ยวข้องกับข้อมูลประจำตัว เช่น ชื่อ วันที่หมดอายุของใบรับรอง และข้อมูลอื่น ๆ ที่เกี่ยวกับเจ้าของคีย์สาธารณะ(Public Key) โดยปกติจะใช้เพื่อรักษาความปลอดภัยเว็บไซต์ด้วย https โปรโตคอล
โดยก่อนหน้านี้ SSL Lab ได้ออกมาประกาศว่า WoSign และ StartCom ถูกลดความน่าเชื่อถือลงเนื่องจากตรวจสอบพบการทุจริตอย่างต่อเนื่องในองค์กร เป็นที่น่าเสียดายที่ CA ทั้งสองมีฐานผู้ใช้เป็นจำนวนมาก แต่ที่ติดตั้งส่วนใหญ่จะเป็นเป็นใบรับรองฟรี
ขณะนี้ Microsoft ได้ข้อสรุปว่า CA ของ WoSign และ StartCom มีความล้มเหลวในการรักษามาตรฐาน Trusted Root Program ที่กำหนดโดย Microsoft ซึ่งมีหลายส่วนที่ทาง Microsoft ไม่สามารถรับได้ เช่น การออกใบรับรอง SHA-1 ย้อนหลัง การออกใบรับรองที่ไม่ถูกต้อง การเพิกถอนใบรับรองโดยไม่ได้ตั้งใจ หมายเลขใบรับรองที่ซ้ำกัน เป็นต้น
ในระยะเวลาไล่เลี่ยกัน Mozilla, Apple และ Google เองได้ออกมาประกาศว่าจะไม่ trusted cert ที่ถูกสร้างจาก WoSign และ StartCom ทั้งนี้ Microsoft เองจะรองรับ trusted cert ที่ถูกออกโดย WoSign จนถึง 26 กันยายน 2017 เท่านั้น มีเพียง Web Browser Opera ที่มีแนวโน้มว่าจะยังคงให้ความไว้วางใจใบรับรองของ WoSign เป็นเพราะว่า Opera ถูกซื้อโดยกลุ่มบริษัทจีน Golden Brick Silk Road ในปีพ.ศ.2016 และ Golden Brick เองได้จัดตั้งขึ้นโดย บริษัท Kunlun Tech และ Qihoo 360 ของปักกิ่งซึ่งเป็นเจ้าของ WoSign และ StartCom
ที่มา : zdnet
You must be logged in to post a comment.