ไมโครซอฟท์และมอสซิลล่าประกาศยกเลิกใบรับรองของ MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ที่ได้รับการรับรองจาก CNNIC ของจีน เพื่อป้องกันความเสียหายจากการดักฟังเว็บของกูเกิลหล ายโดเมน ที่ MCS Holdings ออกใบรับรองโดยไม่ถูกต้อง
จนตอนนี้ยืนยันใบรับรองที่ไม่ถูกต้องนี้ ได้ 7 โดเมนแล้ว ได้แก่ *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com, และ *.googleapis.com โดยได้รับการรับรองจากใบรับรองที่มีค่า Thumbprint เป็น "e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76"
หลังประกาศเรื่องนี้ผู้ใช้จำนวนมากก็คอมเมนต์ในประกา ศของมอสซิลล่า เรียกร้องให้ถอด CNNIC ที่ดำเนินการโดยรัฐบาลจีนออกจากฐานข้อมูลหน่วยงานรับ รองที่เชื่อถือได้
CNNIC ร้องขอให้มอสซิลล่ารับใบรับรองของตัวเองเข้าไว้ในฐาน ข้อมูลตั้งแต่ปี 2009 และทำสำเร็จในปี 2010 แม้ว่าชุมชนจะประท้วงกันพอสมควรในตอนนั้น แต่ทางมอซซิลล่าก็ยืนยันจะเพิ่ม CNNIC เข้าในฐานข้อมูลเพราะทำตามเงื่อนไขในเอกสารได้ครบถ้ว น เมื่อตอนนี้มีการปล่อยให้หน่วยงานรับรองระหว่างกลางด ักฟังอีกการประท้วงจึงเริ่มอีกครั้ง
ทุกวันนี้มีใบรับรอง root CA จากจีนอยู่ในฐานข้อมูลทั่วโลกสองใบคือ CNNIC ROOT, China Internet Network Information Center จากหน่วยงานเดียวกัน ใบรับรองทั้งสองใบสามารถรับรองหน่วยงานใดๆ ก็ได้ในโลกให้สร้างพรอกซี่เพื่อดักฟังแบบเดียวกับ MCS Holdings โดยไม่ต้องติดตั้งใบรับรองลงในเครื่องผู้ใช้เหมือนกา รสร้างพรอกซี่เพื่อตรวจสอบการใช้งานในองค์กรทั่วไป
ถ้าใครอยากถอดใบรับรอง root CA ออกจากระบบ

  • โครม: เข้าหน้า Settings -> Manage Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit แล้วติ๊กออกทุกช่อง
  • ไฟร์ฟอกซ์: Preferences -> Advanced -> View Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit Trust แล้วติ๊กออกทุกช่อง
  • แอนดรอยด์: Settings -> Security -> Trusted credentials -> แท็บ System -> เลือก CA แล้ว กด Disable

ที่มา - Microsoft, Mozilla



China, Digital Certificate, Firefox, Mozilla, Microsoft




อ่านต่อ...