Let’s Encrypt ประกาศว่าจะยุติการส่งอีเมลแจ้งเตือนผู้ใช้งานเกี่ยวกับ certificate ที่ใกล้จะหมดอายุ เนื่องจากมีค่าใช้จ่ายที่สูง, ความกังวลด้านความเป็นส่วนตัว และความซับซ้อนที่ไม่จำเป็น
การตัดสินใจยุติบริการแจ้งเตือนทางอีเมลนี้ มีผลตั้งแต่วันที่ 4 มิถุนายน 2025 อย่างไรก็ตาม Let’s Encrypt เพิ่งแจ้งข่าวสารอย่างเป็นทางการผ่านโพสต์บล็อก เพื่อให้ผู้ใช้งานทราบล่วงหน้า และป้องกันปัญหาที่อาจเกิดขึ้นโดยไม่คาดคิด
Let’s Encrypt เป็นองค์กรไม่แสวงหาผลกำไรที่ทำหน้าที่เป็นหน่วยงานออก Certificate Authority (CA) ให้บริการ digital certificates แบบไม่มีค่าใช้จ่าย และเปิดกว้าง เพื่อเปิดใช้งาน HTTPS (SSL/TLS) บนเว็บไซต์ ในแง่ของขนาด Let’s Encrypt ถือเป็นผู้ให้บริการ CA ที่ใหญ่ที่สุดในโลก โดยออก certificates หลายร้อยล้านฉบับให้กับเว็บไซต์นับพันล้านแห่งทั่วโลก
Let’s Encrypt เป็นหน่วยงานออก Certificate Authority (CA) ที่ดำเนินงานแบบโปร่งใส ซึ่งได้ลดการเก็บข้อมูลของผู้ใช้งานให้น้อยที่สุดเท่าที่จะทำได้ โดย Root Certificate จะรวมอยู่ในเบราว์เซอร์หลัก และ Trust Stores ของระบบปฏิบัติการทั้งหมด รวมถึงได้รับการสนับสนุนจากบริษัทเทคโนโลยีชั้นนำ เช่น Google, Cisco, Mozilla, EFF, Facebook และ Akamai
องค์กรนี้ใช้โปรโตคอลแบบอัตโนมัติที่เรียกว่า ACME (Automatic Certificate Management Environment) ซึ่งช่วยให้เว็บไซต์ และซอฟต์แวร์เซิร์ฟเวอร์สามารถดำเนินการออก, ติดตั้ง และต่ออายุ certificates {}ได้โดยอัตโนมัติ โดยไม่ต้องมีการแทรกแซงจากมนุษย์เลย
ตามประกาศล่าสุด การมีอยู่ของระบบอัตโนมัตินี้เป็นสาเหตุหลักที่ทำให้บริการแจ้งเตือนทางอีเมลต้องยุติการให้บริการ เนื่องจากความต้องการลดลง
การนำระบบต่ออายุ certificates แบบอัตโนมัติไปใช้อย่างแพร่หลายยิ่งขึ้น ยังได้รับแรงกระตุ้นจากการเปลี่ยนแปลงมาตรฐาน เช่น การที่ CA/Browser Forum ประกาศลดอายุใบรับรองเหลือเพียง 47 วันภายในปี 2029
การตัดสินใจครั้งนี้ทำให้การจัดการ certificates ด้วยตนเองไม่สามารถทำได้ในทางปฏิบัติ หรืออาจเรียกได้ว่าเป็นไปไม่ได้เลย ทำให้เกิดแรงจูงใจอย่างมากในการนำระบบอัตโนมัติมาใช้เพื่อให้เป็นไปตามข้อกำหนด และหลีกเลี่ยงเหตุขัดข้อง
เหตุผลสำคัญประการที่สองในการตัดสินใจยุติการให้บริการอีเมล คือ ค่าใช้จ่ายในการดำเนินงาน ซึ่ง Let's Encrypt ประมาณการอยู่ที่หลายหมื่นดอลลาร์ต่อปี
องค์กรเชื่อว่าการจัดสรรเงินนี้ให้กับโครงสร้างพื้นฐานด้านอื่น ๆ จะเป็นประโยชน์มากกว่า เนื่องจากการจัดการอีเมลยังทำให้มีภาระที่ไม่จำเป็นอีกด้วย
Let’s Encrypt อธิบายว่า “การแจ้งเตือนวันหมดอายุเพิ่มความซับซ้อนให้กับโครงสร้างพื้นฐาน ซึ่งต้องใช้เวลาและความเอาใจใส่ในการจัดการ และเพิ่มโอกาสในการเกิดข้อผิดพลาด”
“ในระยะยาว โดยเฉพาะอย่างยิ่งเมื่อเพิ่มการสนับสนุนสำหรับ components บริการใหม่ องค์กรจำเป็นต้องจัดการความซับซ้อนโดยรวมด้วยการยกเลิก components ของระบบที่ไม่สามารถหาเหตุผลมาอธิบายได้อีกต่อไป”
สุดท้ายนี้ ทางองค์กรยังมีข้อกังวลด้านความเป็นส่วนตัวของข้อมูลผู้ใช้งาน เนื่องจากจำเป็นต้องต้องเก็บรักษา, จัดการ และปกป้องฐานข้อมูลอีเมลขนาดใหญ่ ซึ่งเชื่อมโยงกับข้อมูลการออก certificates เพื่อแจ้งให้ฝ่ายที่เกี่ยวข้องทราบ
ประเด็นสำคัญสำหรับผู้ใช้งานที่อาจได้รับผลกระทบคือ ควรเริ่มใช้เครื่องมือที่รองรับโปรโตคอล ACME หากยังไม่ได้ดำเนินการ และหยุดพึ่งพาอีเมลแจ้งเตือนจาก Let's Encrypt
หากยังต้องการรับการแจ้งเตือนการต่ออายุ certificates ให้พิจารณาตั้งค่าบริการแจ้งเตือนภายนอกด้วยวิธีอื่นแทน
ที่มา : bleepingcomputer
You must be logged in to post a comment.