อายุการใช้งานใบรับรอง TLS จะถูกลดลงเหลือ 47 วันอย่างเป็นทางการ

 (digicert.com)
16 คะแนน โดย GN⁺ 2025-04-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การลดอายุการใช้งานใบรับรอง TLS: CA/Browser Forum ได้ตัดสินใจลดอายุการใช้งานของใบรับรอง TLS โดยจะลดเหลือ 47 วันภายในปี 2029
  • ความสำคัญของระบบอัตโนมัติ: การลดอายุการใช้งานใบรับรองทำให้ระบบอัตโนมัติกลายเป็นสิ่งจำเป็น Apple ระบุว่าระบบอัตโนมัติเป็นสิ่งสำคัญต่อการจัดการวงจรชีวิตใบรับรอง
  • ปัญหาความน่าเชื่อถือของข้อมูลใบรับรอง: ความน่าเชื่อถือของข้อมูลใบรับรองลดลงเมื่อเวลาผ่านไป จึงจำเป็นต้องมีการตรวจสอบซ้ำบ่อยขึ้น
  • ปัญหาของระบบเพิกถอนใบรับรอง: ระบบเพิกถอนใบรับรองที่ใช้ CRL และ OCSP ไม่น่าเชื่อถือ และอายุการใช้งานที่สั้นลงอาจช่วยบรรเทาปัญหานี้ได้
  • ต้นทุนและโซลูชันระบบอัตโนมัติ: ค่าใช้จ่ายในการเปลี่ยนใบรับรองอิงตามการสมัครสมาชิกรายปี และหลายกรณีเลือกใช้รอบการเปลี่ยนที่สั้นลงโดยสมัครใจผ่านระบบอัตโนมัติ

การลดอายุการใช้งานใบรับรอง TLS

  • CA/Browser Forum ได้ตัดสินใจอย่างเป็นทางการที่จะลดอายุการใช้งานของใบรับรอง TLS
  • ตั้งแต่เดือนมีนาคม 2026 อายุการใช้งานใบรับรองจะลดเหลือ 200 วัน, ในปี 2027 จะเหลือ 100 วัน, และในปี 2029 จะเหลือ 47 วัน
  • ระยะเวลาการนำข้อมูลการตรวจสอบความถูกต้องของโดเมนและที่อยู่ IP กลับมาใช้ซ้ำก็จะถูกลดเหลือ 10 วันภายในปี 2029 เช่นกัน

ความหมายของ 47 วัน

  • 47 วันหมายถึง 1 เดือน (31 วัน) บวกครึ่งหนึ่งของ 30 วัน (15 วัน) และเผื่อเพิ่มอีก 1 วัน
  • Apple เน้นย้ำว่าระบบอัตโนมัติเป็นสิ่งจำเป็นต่อการจัดการวงจรชีวิตใบรับรอง

ปัญหาความน่าเชื่อถือของข้อมูลใบรับรอง

  • ความน่าเชื่อถือของข้อมูลใบรับรองลดลงเมื่อเวลาผ่านไป จึงจำเป็นต้องมีการตรวจสอบซ้ำบ่อยขึ้น
  • ระบบเพิกถอนใบรับรองไม่น่าเชื่อถือ และอายุการใช้งานที่สั้นลงอาจช่วยบรรเทาปัญหานี้ได้

ความจำเป็นของระบบอัตโนมัติ

  • การลดอายุการใช้งานใบรับรองทำให้ระบบอัตโนมัติกลายเป็นสิ่งจำเป็น
  • DigiCert ให้บริการโซลูชันระบบอัตโนมัติหลากหลายผ่าน Trust Lifecycle Manager และ CertCentral

ข้อมูลเพิ่มเติมและการติดตามบล็อก

  • สามารถดูข้อมูลล่าสุดเกี่ยวกับการจัดการใบรับรอง, ระบบอัตโนมัติ และ TLS/SSL ได้ที่บล็อกของ DigiCert
  • หากต้องการข้อมูลโดยละเอียดเกี่ยวกับโซลูชันระบบอัตโนมัติ สามารถติดต่อ DigiCert ได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-04-17
ความเห็นจาก Hacker News

  • "สงสัยว่าเป้าหมายสุดท้ายของเรื่องนี้คืออะไรกันแน่ เห็นด้วยกับความเห็นคัดค้าน ทำไมไม่ทำให้เหลือ 30 วินาทีไปเลยล่ะ"

    • "ถ้าข้ามจุดที่ต้องทำทุกอย่างให้เป็นอัตโนมัติจนแทบใช้ TLS แบบเดิมไม่ได้แล้ว ก็สงสัยว่าทำไมยังต้องให้ระยะเวลามากกว่า 48 ชั่วโมงอยู่ดี"
    • "เรื่องนี้ให้ความรู้สึกเหมือนภารกิจเชิงอุดมการณ์มากกว่าความจำเป็นในทางปฏิบัติ ไม่แน่ใจว่ามีแรงจูงใจด้านเงินหรืออำนาจอะไรในการบังคับให้ทุกคนต้องเปลี่ยนโครงสร้างพื้นฐานทุกเดือนหรือเปล่า"

  • "จากการทำงานกับบริษัทใหญ่ ๆ เห็นว่าพออายุใบรับรองสั้นลงเรื่อย ๆ ส่วนใหญ่ก็หันไปใช้ใบรับรองที่เซ็นภายในองค์กรกัน"

    • "ใบรับรองสาธารณะใช้กับอุปกรณ์ edge / load balancer แต่บริการภายในจะใช้ใบรับรองที่เซ็นโดย internal CA และมีอายุยาวกว่า"
    • "เพราะมีแอปจำนวนมากที่ใช้งานใบรับรองได้ยุ่งยาก"

  • "อย่างที่พูดในอีกเธรดหนึ่ง เรื่องนี้จะทำให้ความเป็นไปได้ในการสร้าง CA ของตัวเองสำหรับซับโดเมนของตัวเองหายไป"

    • "จะเหลือแค่ CA รายใหญ่ที่ฝังมากับเบราว์เซอร์เท่านั้นที่มีใบรับรอง CA ของตัวเองได้ตามระยะเวลาที่ต้องการ"
    • "ในมุมความปลอดภัย นี่เป็นดาบสองคม"
    • "ถ้าทุกคนชินกับการที่ใบรับรองเปลี่ยนตลอดเวลา และเลิกทำ certificate pinning ก็จะยิ่งสังเกตได้ยากขึ้นเมื่อจีนหรือบริษัทใดบริษัทหนึ่งออกใบรับรองปลอมมา"
    • "แทนที่จะเป็นระบบปิด เครื่องทั้งหมดทั่วโลกอาจต้องเชื่อมต่อกับเซิร์ฟเวอร์ใบรับรองแบบสุ่มแทบถาวรเพื่ออัปเดตระบบ"
    • "ถ้าเซิร์ฟเวอร์ของ Digicert หรือ Letsencrypt หรือ 'certificate update client' ถูกแฮ็กหรือมีปัญหาด้านความปลอดภัย เซิร์ฟเวอร์ส่วนใหญ่ของโลกอาจถูกทำให้เสียหายได้ภายในเวลาอันสั้นมาก"

  • "คำอธิบายต่อไปนี้ในบทความทำให้ขำออกมา"

    • "47 วันอาจดูเหมือนตัวเลขที่ตั้งขึ้นมาแบบสุ่ม แต่จริง ๆ แล้วเป็นลำดับที่เรียบง่าย"
    • "47 วัน = สูงสุดหนึ่งเดือน (31 วัน) + ครึ่งหนึ่งของ 30 วัน (15 วัน) + เวลาสำรอง 1 วัน"
    • "ดังนั้น 47 จึงไม่ใช่ตัวเลขสุ่ม แต่ 1 เดือน, ครึ่งเดือน, 1 วัน ไม่ได้เป็นตัวเลขสุ่มงั้นเหรอ"

  • "ในฐานะผู้ออกใบรับรอง คำถามที่ลูกค้าถามบ่อยที่สุดข้อหนึ่งคือ การต้องเปลี่ยนใบรับรองบ่อยขึ้นจะมีค่าใช้จ่ายเพิ่มหรือไม่"

    • "คำตอบคือไม่ ค่าใช้จ่ายคิดตามการสมัครสมาชิกรายปี"
    • "Digicert ใจเย็นก่อน ราคาคิดตามการสมัครสมาชิกรายปี ต้นทุนของ CA เพิ่มขึ้นจริงแต่เพียงเล็กน้อยมาก และเดิมทีก็แทบเป็นศูนย์อยู่แล้ว"
    • "การทำ CA เป็นหนึ่งในธุรกิจที่ง่ายที่สุดในโลก"

  • "เราตั้งมอนิเตอร์ให้ส่งคำเตือนแบบไม่สำคัญระดับ 'รอถึงวันจันทร์ได้' เมื่อ SSL certificate เหลืออายุน้อยกว่า 14 วัน และส่งคำเตือนแบบ 'ห้ามรบกวน' เมื่อเหลืออีก 48 ชั่วโมงก่อนหมดอายุ"

    • "เมื่อหลายปีก่อน cert-manager เคยเข้าไปอยู่ในสถานะแปลก ๆ ดังนั้นครั้งหน้าจึงอยากรู้ล่วงหน้า"

  • "อยากให้การเข้ารหัสกับตัวตนไม่ถูกผูกติดกันแน่นเกินไปในใบรับรอง"

    • "เวลาออกใบรับรอง เราสนใจเรื่องการเข้ารหัสเสมอ แต่บางครั้งไม่ได้สนใจเรื่องตัวตน"
    • "ตอนที่สนใจแค่การเข้ารหัส ก็ต้องแบกรับภาระเพิ่มเรื่องการยืนยันตัวตนไปด้วย"

  • "ถ้าเรื่องนี้มีผลใช้จริง สงสัยว่า Chromecast ทั้งหมดจะกลับมาหยุดทำงานอีกหรือเปล่า"

    • "ดูจากการตอบสนองของ Google ตอน Chromecast ล่มเมื่อต้นปี ดูเหมือน Chromecast จะถูกดูแลด้วยกำลังคนน้อยมาก และคงไม่มีทรัพยากรพอจะทำระบบต่ออายุใบรับรองอัตโนมัติ"

  • "เมื่อมีระบบอัตโนมัติและใบรับรองอายุสั้น ผู้ออกใบรับรองก็จะเริ่มคล้าย OpenID Provider"

    • "ส่วนสำคัญของความปลอดภัยจะไปอยู่ที่วิธีที่ผู้ออกใบรับรองตรวจสอบความเป็นเจ้าของโดเมน"
    • "บางทีไคลเอนต์อาจตรวจสอบได้โดยตรงโดยไม่ต้องพึ่งใบรับรองก็ได้"
    • "ตัวอย่างเช่น เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ ไคลเอนต์อาจส่งค่าที่ไม่ซ้ำกันสองค่าไป แล้วเซิร์ฟเวอร์ต้องสร้าง DNS record ขึ้นมา"
    • "นี่คือการยืนยันตัวตนผ่าน DNS ซึ่งคงต้องเร่งความเร็วของระบบ DNS"

  • "เรื่องนี้จะทำลายการพึ่งพา certificate pinning ในสองจุดที่น่าสนใจ"

    • "แอปมือถือ"
    • "API ขององค์กร หลายบริษัททำ certificate pinning แล้วก็โวยวายเวลาที่เราหมุนเวียนใบรับรอง"
    • "ระยะเวลา 47 วันจะบังคับให้พวกเขาต้องหมุนเวียน pinning แบบอัตโนมัติ"

  • "สมมติฐานตรงนี้คือ private key น่าจะถูกเจาะได้ง่ายกว่าความลับหรือกลไกที่ใช้ในการออกใบรับรอง"

    • "ยังไม่แน่ใจในจุดนั้น"