Venefi และ DigiCert บริษัทให้บริการรับรองตัวตน (Certification Authority - CA) ประกาศเข้าร่วมกับโครงการ Certificate Transparency ที่ก่อตั้งโดยกูเกิล ที่ชักชวนให้ CA ทั้งหลายเปิดเผยข้อมูลการออกใบรับรองสู่สาธารณะ
ทาง DigiCert ระบุว่าจะเปิดเผยเฉพาะใบรับรองระดับ EV (Extended Validation ที่มีชื่อบริษัทอยู่ในช่อง URL) แต่ไม่รวมถึงใบรับรองทั่วไป ส่วน Venafi ไม่ได้ระบุว่าจะเปิดเผยข้อมูลมากแค่ไหน
การเปิดเผยข้อมูลแค่บางส่วนคงทำให้โครงการ Certificate Transparency ของกูเกิลมีประโยชน์จำกัด เพราะแฮกเกอร์ที่ต้องการใบรับรองปลอมสามารถไปหลอกเอา ใบรับรองจากผู้ให้บริการที่ไม่ได้เปิดเผยข้อมูลได้
CA ที่เข้าโครงการ Certificate Transparency จะออกใบรับรองที่มีข้อมูล signed certificate timestamp (SCT) เพิ่มเข้ามา เบราว์เซอร์จะสามารถใช้ข้อมูลนี้ไปตรวจสอบกับเซิร์ฟเ วอร์ล็อกได้ว่ามีการประกาศการออกใบรับรองสู่สาธารณะจริงหรือไ ม่ ถ้าประกาศแล้วก็แสดงว่าใบรับรองน่าเชื่อถือ เพราะถ้าออกใบรับรองไม่ถูกต้องเจ้าของโดเมนควรทักท้ว งแล้ว
ที่มา - eWeek

HTTPS, Security, SSL, TLS




อ่านต่อ...