กูเกิลและมอซิลล่าเสนอล้าง CA ของไซแมนเทคแล้วโยกไปให้ผู้ให้บริการอื่นดำเนินการแทน

Discussion in 'เทคโนโลยี' started by iPokz, May 9, 2017.

  1. iPokz

    iPokz ~" iPokz "~ Staff Member

    ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา

    ข้อเสนอใหม่ของกูเกิลระบุให้ไซแมนเทคสร้าง sub-CA ขึ้นใหม่พร้อมกับ cross-sign กับ root CA ของไซแมนเทคเอง แต่ sub-CA นี้จะต้องดำเนินการจากผู้ให้บริการอื่นที่ได้รับความเชื่อถือ ขณะที่ตัวไซแมนเทคเองจะกลายเป็นเพียงฝ่ายขายที่ทำหน้าที่ขายใบรับรองอย่างเดียว ส่วนลูกค้าจะยังคงเห็นใบรับรองว่ามาจากไซแมนเทคอยู่

    การเจรจาระหว่างกูเกิลและไซแมนเทคเป็นการเจรจาภายใน ไซแมนเทคได้เปิดเผยข้อมูลแผนการปรับปรุงระบบของตัวเองที่ยังไม่เปิดเผยต่อสาธารณะ ข้อเสนอของกูเกิลอ้างถึงการปรับปรุงนั้นว่าหลังจากทำเรียบร้อยแล้วไซแมนเทคจะสามารถดึงการดำเนินการ CA กลับมาจากผู้ให้บริการอื่นมาให้บริการต่อเอง

    กูเกิลระบุว่าหากไซแมนเทคดำเนินการตามนี้ก็จะมีแนวทางการแก้ไขให้ลูกค้าเดิม โดยไม่ต้องติดข้อกำหนดอายุใบรับรอง 9 เดือนหรือถูกถอดสิทธิ์การแสดง EV แต่อย่างใด

    Gervase Markham นักพัฒนาจากมอซิลล่าออกมาแสดงความเห็นด้วยกับแนวทางของกูเกิลโดยรวม โดยระบุว่าหากไซแมนเทคไม่ทำตามข้อเสนอของกูเกิลไฟร์ฟอกซ์จะจำกัดอายุใบรับรองจากไซแมนเทคเหลือ 13 เดือน ทั้งใบรับรองเดิมและใบรับรองใหม่ แต่เขาไม่เห็นด้วยที่จะถอดสิทธิ์การออกใบรับรอง EV เพราะเป็นส่วนที่ไม่ได้รับผลกระทบจากความผิดพลาด

    ด้านไซแมนเทคออกมาตอบข้อเสนอของทั้งสองหน่วยงาน ระบุว่าบริษัทได้เสนอแนวทางการปรับปรุงไปแล้ว โดยจะมีการตรวจสอบจากภายนอกใหม่ แม้ทั้งการปรับปรุงระบบและตรวจสอบใบรับรองที่ออกไปแล้วทั้งหมด ตอนนี้กระบวนการตรวจสอบใบรับรองโดย Registration Authority (RA - หน่วยงานภายนอกที่ออกใบรับรองด้วยระบบของไซแมนเทค) ดำเนินการไปแล้วระหว่าง 85-99% โดยพบความผิดพลาดตั้งแต่ 0.3-5% บางกรณีเป็นความผิดพลาดเล็กน้อยเช่นการเรียกชื่อเมืองผิด

    ตัวเลขล่าสุดของไซแมนเทคแสดงให้เห็นว่ามีใบรับรองที่ออกโดย RA มากกว่า 30,000 ใบตรงกับที่กูเกิลระบุในรายงานครั้งแรก และตอนนี้พบใบรับรองผิดพลาดแล้วมากกว่า 500 ใบซึ่งมากกว่ารายงานจากไซแมนเทคซึ่งระบุว่ามีเพียง 127 ใบถึงสี่เท่าตัว และการตรวจสอบยังไม่เสร็จสิ้น

    ที่มา - Mozilla Proposal, mozilla.dev.security.policy, Symantec Blog

    [​IMG]

    Topics: SymantecDigital CertificateSecurity
     
    iPokz, May 9, 2017
    #1

Share This Page