HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์ยอมรั
Posted: 26 Jan 2017, 09:32
HTTPS ก็เอาไม่อยู่ Privacy International ชี้ ไมโครซอฟท์ยอมรับ root CA ของรัฐบาลไทยตั้งแต่ปลายที่ผ่านมา
Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทย
Thailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วยพ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์
การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว
ทาง Privacy International สอบถามไปยังไมโครซอฟท์ ขอให้ชี้แจงกระบวนการตัดสินใจยอมรับ root CA ของรัฐบาลไทยครั้งนี้ ไมโครซอฟท์ระบุว่าบริษัทไม่ได้เปิดเผยกระบวนการตัดสินใจภายใน แต่เงื่อนไขโดยรวมนั้นเปิดเผยอยู่ในเว็บไซต์บริษัท ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว
เอกสารตรวจสอบการทำงานของ NRCA ฉบับล่าสุด (1, 2) ตรวจสอบโดย BDO Malaysia ยืนยันว่าทางสพธอ. ดำเนินการได้มาตรฐาน WebTrust
ที่มา - Privacy International, The Verge
อ้างอิง:https://www.blognone.com
ณ 26/1/2017
Privacy International ออกรายงาน "Who's That Knocking At My Door?" รายงานถึงความพยายามในการบล็อคเว็บและการเข้าถึงข้อมูลส่วนตัวของรัฐบาลไทยในช่วงหลายปีที่ผ่านมา ในรายงานระบุถึงประเด็นสำคัญคือตอนนี้ไมโครซอฟท์เป็นผู้ผลิตซอฟต์แวร์หลักรายเดียวที่ยอมรับ root CA ของรัฐบาลไทยThailand National Root Certification Authority - G1 ดูแลโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ (NRCA) เป็นหน่วยงานภายใต้สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ./ETDA) หน่วยงานที่เคยระบุถึงความจำเป็นในการดักฟังว่าเป็นการป้องกันการแฮกล่วงหน้า ด้วยพ.ร.บ.ว่าด้วยการรักษาความมั่นคงทางไซเบอร์
การรับรอง root CA ในระบบทำให้ผู้ให้บริการ CA สามารถสร้างใบรับรองสำหรับเว็บใดๆ หาก CA มีมาตรฐานดำเนินการที่หละหลวมก็สามารถออกใบรับรองให้กับเว็บสำคัญๆ เช่น กูเกิล, เฟซบุ๊ก, หรือเว็บใดๆ ก็ได้ในโลก โดยผู้ที่ได้ใบรับรองเหล่านั้นไปอาจนำไปใช้ดักฟังการเชื่อมต่อโดยที่ผู้ใช้ไม่รู้ตัว
ทาง Privacy International สอบถามไปยังไมโครซอฟท์ ขอให้ชี้แจงกระบวนการตัดสินใจยอมรับ root CA ของรัฐบาลไทยครั้งนี้ ไมโครซอฟท์ระบุว่าบริษัทไม่ได้เปิดเผยกระบวนการตัดสินใจภายใน แต่เงื่อนไขโดยรวมนั้นเปิดเผยอยู่ในเว็บไซต์บริษัท ขณะที่ทาง The Verge สอบถามไปยังไมโครซอฟท์อีกทางและได้รับคำตอบเพิ่มเติมคือ NRCA นั้นผ่านการตรวจสอบว่ากระบวนการได้มาตรฐาน และชี้ว่าความกังวลว่า root CA นี้จะถูกนำมาใช้ดักฟังของ Privacy International ไม่ตรงกับกระบวนการทำงานที่ได้รับการตรวจสอบแล้ว
เอกสารตรวจสอบการทำงานของ NRCA ฉบับล่าสุด (1, 2) ตรวจสอบโดย BDO Malaysia ยืนยันว่าทางสพธอ. ดำเนินการได้มาตรฐาน WebTrust
ที่มา - Privacy International, The Verge
อ้างอิง:https://www.blognone.com
ณ 26/1/2017