Clear
Lead Graphic Papers

ข่าวสั้น

ใบรับรอง HTTPS ที่ออกหลัง 1 กันยายน 2563 ต้องมีอายุไม่เกิน 398 วัน มิฉะนั้นเบราว์เซอร์จะไม่รองรับ

เว็บไซต์ ZDNet ได้รายงานว่าผู้พัฒนาเบราว์เซอร์หลักทั้ง 3 ราย คือ Apple, Google, และ Mozilla ได้ตกลงข้อกำหนดให้ลดอายุใบรับรอง HTTPS ของเว็บไซต์เหลือแค่ 398 วันแล้ว โดยจะเริ่มจากใบรับรองที่ถูกออกตั้งแต่วันที่ 1 กันยายน 2563 เป็นต้นไป หากเว็บไซต์ใดใช้ใบรับรองที่มีอายุเกินกว่านั้นจะถูกแจ้งว่าการออกใบรับรองไม่ถูกต้อง ซึ่งอาจส่งผลกระทบต่อการใช้งานเว็บไซต์หรือแอปพลิเคชันที่ใช้การเชื่อมต่อแบบ HTTPS ได้

ใบรับรอง HTTPS นั้นมีจุดประสงค์หลักเพื่อใช้เข้ารหัสลับข้อมูลที่รับส่งระหว่างเครื่องของผู้ใช้กับเว็บเซิร์ฟเวอร์และใช้เพื่อยืนยันความถูกต้องของเว็บไซต์ ตามหลักแล้วใบรับรอง HTTPS ที่เชื่อถือได้นั้นควรออกโดยผู้ให้บริการออกใบรับรอง (Certificate Authority หรือ CA) ซึ่งปัจจุบันมีทั้งผู้ให้บริการที่ออกใบรับรองให้ฟรีและแบบที่คิดค่าบริการ ใบรับรอง HTTPS จะมีอายุการใช้งานที่จำกัด โดยผู้ให้บริการออกใบรับรองและผู้พัฒนาเบราว์เซอร์ได้หารือกันเป็นระยะ ๆ เพื่อกำหนดช่วงอายุของใบรับรองที่เหมาะสม ในช่วงแรกนั้นอายุเฉลี่ยของใบรับรองจะอยู่ที่ประมาณ 8 ปี ต่อมาค่อย ๆ ลดลงเรื่อย ๆ จนเหลือ 5 ปี, 3 ปี, และปัจจุบันอายุเฉลี่ยอยู่ที่ 2 ปี โดยเมื่อกลางปี 2562 ผู้พัฒนาเบราว์เซอร์ได้เสนอให้กำหนดอายุสูงสุดของใบรับรองคือ 1 ปี และตั้งแต่ต้นปี 2563 เป็นต้นมา ทาง Apple, Google, และ Mozilla ได้ประกาศว่าจะกำหนดให้เบราว์เซอร์รองรับเฉพาะใบรับรองที่มีอายุไม่เกิน 398 วัน โดยเริ่มตั้งแต่ใบรับรองที่ออกตั้งแต่วันที่ 1 กันยายน 2563 เป็นต้นไป โค้ดการตรวจสอบใบรับรองได้ถูกเพิ่มในเบราว์เซอร์หลักของผู้พัฒนาทั้ง 3 รายแล้ว (ในข่าวต้นทางยังไม่มีรายละเอียดในประเด็นนี้จากทาง Microsoft)

สาเหตุที่ผู้พัฒนาเบราว์เซอร์ต้องการให้ใบรับรอง HTTPS มีอายุสั้นลง เนื่องจากในช่วงหลังนั้นมีการออกใบรับรอง HTTPS เพื่อใช้ในการหลอกลวงหรือการโจมตีทางไซเบอร์เพิ่มมากขึ้น เช่น ใช้กับเว็บไซต์ฟิชชิ่ง มัลแวร์ หรือแม้กระทั่งผู้ให้บริการออกใบรับรองผิดพลาดเอง ซึ่งหลายครั้งกระบวนการแจ้งและเพิกถอนใบรับรองที่ถูกนำไปใช้ในทางที่ผิดนั้นใช้เวลานาน บางกรณีอาจใช้เวลาเป็นปี ทำให้การจำกัดขอบเขตความเสียหายนั้นทำได้ยาก รวมทั้งมีข้อกังวลว่าการโจมตีเพื่อถอดรหัสลับข้อมูลที่รับส่งผ่าน HTTPS นั้นอาจทำได้ง่ายขึ้นในอนาคตอันใกล้ การทำให้ใบรับรอง HTTPS มีอายุสั้นลงจึงจะช่วยให้กระบวนการถอดรหัสลับข้อมูลจาก HTTPS นั้นมีค่าใช้จ่ายที่สูงขึ้นตามไปด้วยได้

นโยบายการเปลี่ยนแปลงอายุของใบรับรอง HTTPS นั้นทำให้ผู้ให้บริการออกใบรับรองจำเป็นต้องปรับปรุงกระบวนการทำงานใหม่เพื่อให้ใบรับรองที่ออกหลังจากวันที่ 1 กันยายน 2563 เวลา 00:00 GMT/UTC นั้นมีอายุสูงสุดไม่เกิน 398 วัน ส่วนผู้ดูแลเว็บไซต์ก็จำเป็นต้องเปลี่ยนใบรับรองใหม่ทุกปี และหากเว็บไซต์ใดใช้ใบรับรองที่ไม่ตรงตามข้อกำหนดดังกล่าว ผู้ใช้ก็อาจพบการแจ้งเตือนว่าเว็บไซต์นั้นใช้งานใบรับรองที่ไม่น่าเชื่อถือ อย่างไรก็ตาม ใบรับรอง HTTPS ที่ออกก่อนวันที่ 1 กันยายน 2563 จะยังไม่ได้รับผลกระทบจากนโยบายนี้ และยังถือว่าใช้งานได้ตามปกติจนกว่าจะหมดอายุ

ทั้งนี้ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมได้จากเว็บไซต์ของผู้พัฒนาเบราว์เซอร์

วันที่: 2020-06-29 | ที่มา: ZDNet | Share on Facebook Share on Twitter Share on Google+

Clear