หน่วยงานออกใบรับรองของบราซิลที่มีเพียง Microsoft เท่านั้นที่เชื่อถือ ออกใบรับรองให้กับ google.com

 (follow.agwa.name)
1 คะแนน โดย GN⁺ 2024-12-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Andrew Ayeragwa14h
    • หน่วยงานออกใบรับรองของบราซิลแห่งหนึ่งได้รับความเชื่อถือจาก Microsoft และได้ออกใบรับรองสำหรับ google.com ที่น่าจะไม่ได้รับอนุญาต ซึ่งทำให้สามารถดักทราฟฟิกไปยัง Google ได้ใน Edge และแอปพลิเคชันอื่น ๆ บน Windows (ยกเว้น Chrome และ Firefox) Microsoft ทราบประวัติของปัญหาที่เกี่ยวข้องกับหน่วยงานออกใบรับรองนี้เป็นอย่างดี โดยได้แสดงความกังวลในปี 2021 และยังมีการยกประเด็นปัญหาเพิ่มเติมระหว่างการอภิปรายสาธารณะของ CCADB ในปี 2022 หวังว่าเหตุการณ์นี้จะเป็นตัวกระตุ้นให้เกิดการเปลี่ยนแปลง ผู้ใช้ Windows สมควรได้รับบริการที่ดีกว่านี้
  • Andrew Ayeragwa12h
    • ในฐานะตัวอย่างของความไร้ความสามารถของหน่วยงานออกใบรับรอง การที่หัวข้อของใบรับรองมีหมายเลขซีเรียลของบริษัทลูกของ Google รวมอยู่ ไม่ได้แปลว่า Google เป็นผู้อนุมัติ หน่วยงานออกใบรับรองสามารถใส่อะไรก็ได้ลงในฟิลด์นั้น และหน่วยงานนี้ก็ไม่ได้ตรวจสอบอย่างชัดเจนว่าใส่อะไรลงไปในใบรับรอง
  • Andrew Ayeragwa10h
    • พร็อกซีโจมตีแบบคนกลางขององค์กรสร้างความเสียหายอย่างมาก

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-12-01
ความคิดเห็นจาก Hacker News

  • มีความกังวลต่อการที่ ICP-Brasil หยุดออกใบรับรอง SSL/TLS สาธารณะ

    • มีกรณีที่ใครบางคนหลีกเลี่ยงข้อห้ามการออกใบรับรองสาธารณะ และเพิกเฉยต่อกฎ CAA ของ Google
    • มีความเห็นว่าอยากให้หน่วยรับรองนี้ถูกแบนบน Microsoft OS

  • ICP-Brasil เป็นหน่วยงานรัฐบาลที่รับผิดชอบงานด้านลายเซ็นดิจิทัล

    • มีบทบาทสำคัญในการลงนามสัญญาดิจิทัล การเข้าถึงแบบยื่นภาษี และอื่น ๆ

  • Chrome และ Firefox ไม่เชื่อถือหน่วยรับรองนี้อยู่แล้ว

    • การที่ Microsoft/Windows เชื่อถือหน่วยรับรองที่เบราว์เซอร์หลักอื่น ๆ ไม่เชื่อถือ ดูเป็นสถานการณ์ที่แย่ยิ่งกว่า

  • มีความเห็นที่ชี้ให้เห็นข้อบกพร่องของระบบ

    • รับรู้ข้อบกพร่องของระบบมาตั้งแต่ตอนใช้บริการธนาคารออนไลน์เมื่อ 15 ปีก่อน
    • เมื่อถามธนาคารว่าใครเป็นผู้ออกใบรับรองให้ ธนาคารกลับตอบไม่ได้
    • เป็นกระบวนการที่ตั้งอยู่บนความไม่รู้ด้านความปลอดภัยและความไว้วางใจแบบหลับหูหลับตา

  • มีความเห็นว่า "ผู้ใช้ Windows สมควรได้รับสิ่งที่ดีกว่านี้"

    • กล่าวถึงความไม่ใส่ใจของ Microsoft ต่อผู้ใช้ และความเป็นไปได้ที่จะถูกฟ้องร้อง

  • มีความเห็นว่า Microsoft ขาดความโปร่งใสในการเชื่อถือหน่วยรับรอง

    • เว็บไซต์ที่สมเหตุสมผลควรใช้ใบรับรองที่เบราว์เซอร์หลักอย่าง Chrome เชื่อถือ

  • มีความเห็นสงสัยว่ามีวิธีใช้ trust store ของ Chrome บน Windows/Edge ได้หรือไม่

  • มีความเห็นว่าอยากรู้รายชื่อหน่วยรับรองที่เกี่ยวข้องกับแต่ละประเทศ

  • มีความเห็นว่าในโพสต์ต้นฉบับยังไม่ชัดเจนว่าปัญหานี้เกิดจากเจตนาหรือความผิดพลาด

  • มีความเห็นว่าควรมีระบบที่ให้หน่วยงานอิสระเป็นผู้ให้ความเชื่อถือแก่หน่วยรับรอง และเปิดโอกาสให้ผู้ใช้พิจารณาความเห็นจากหลายหน่วยงานได้

  • มีความเห็นว่าปัญหาคือบริษัทมีขนาดใหญ่เกินไป