กระบวนการรักษาความปลอดภัยเว็บในช่วงหลังๆ เราเห็นผลงานของฝั่งเบราว์เซอร์กันค่อนข้างชัดเจนจาก การออกมาตรฐานใหม่ๆ มากมายและร่วมกันรองรับมาตรฐานในเวลาใกล้เคียงกัน แต่ฝั่งผู้รับรองหรือ Certification Authorities (CAs) เองก็เริ่มรายงานความคืบหน้าฝั่งตัวเองออกมากันแล้ว ผ่านทางกลุ่มของ CAs ออกมาจากกลุ่ม Certificate Authority Security Council (CASC) ที่ก่อตั้งเมื่อปี 2013
มาตรฐานที่กำลังจะมีผลเร็วๆ นี้ คือ Certificate Authority Authorization (CAA - rfc6844) ที่เปิดให้เจ้าของเว็บประกาศตัวได้ว่าจะขอใบรับรอง SSL จากผู้ให้บริการรายใด ผ่าน DNS ในฟิลด์ CAA เป้าหมายหลักคือมันจะเป็นเครื่องมือให้ CA รายอื่นๆ รับรู้ว่าจะคำร้องขอใบรับรอง SSL นี้เป็นคำร้องจริงหรือไม่ หากมีการประกาศ CAA ไว้ใน DNS ที่ไม่ตรงกับตน ทาง CA ก็สามารถปฎิเสธการออกใบรับรอง SSL ได้ทันที มาตรฐานนี้เป็นส่วนกลับกับ HPKP ที่เปิดให้เว็บประกาศไปยังเบราว์เซอร์ให้เชื่อใบรับร องจาก CA บางรายเท่านั้น ทางฝั่งผู้ออกใบรับรองอย่าง Godaddy ระบุว่า CAA นั้นปลอดภัยกับเว็บกว่า HPKP ที่มีความเสี่ยงว่าหากคอนฟิกผิด เว็บอาจจะเข้าไม่ได้เป็นเวลานาน
สมาชิกของ CA Browser Forum จะประกาศนโยบายการตรวจสอบ CAA ภายในวันที่ 15 เมษายนนี้
นอกจากนี้ CASC ยังผลักดันให้สมาชิกเลิกออกใบรับรองให้กับชื่อโดเมนภ ายในของแต่ละองค์กร เช่น "exchance.mail" ที่ใช้งานเฉพาะในองค์กรเท่านั้น โดยสมาชิก CASC จะไม่ออกใบรับรองที่มีอายุเกิน 1 พฤศจิกายนนี้อีกต่อไป และใบรับรองที่ออกไปแล้วและมีอายุเกินจากนั้น จะถูกยกเลิก (revoke) ออกทั้งหมด ภายในวันที่ 1 ตุลาคม 2016
อีกมาตรฐานที่สมาชิก CASC กำลังจะเข้าร่วมคือโครงการ Certificate Transparency (CT) ที่เริ่มต้นโดยกูเกิล แนวทางในตอนนี้คือใบรับรองแบบ Extended Validation (EV) ที่แสดงความมั่นใจเป็นพิเศษให้กับผู้ใช้ด้วยการบอกชื ่อองค์กรใน URL จะประกาศรายชื่อใบรับรองออกมาสู่สาธารณะ
ผลงานแรกๆ ของ CASC คือ การผลักดันมาตรฐาน OCSP ที่ช่วยให้กระบวนการตรวจสอบใบรับรองที่ถูกยกเลิกทำได ้ในเวลาอันสั้น และตอนนี้เอง CASC ก็กำลังวิจัยว่าผู้ใช้ตอบสนองต่อการคำเตือนใบรับรอง SSL ไม่ถูกต้องอย่างไรบ้าง
ที่มา - eWeek
SSL, TLS, Security




อ่านต่อ...