อุปกรณ์สแกน HTTPS ทำพลาด, ใส่ CA เดียวกันทุกเครื่อง

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย

Cyberoam ออกแพตซ์สำหรับปัญหานี้แล้ว ทำให้ตัวเครื่องจะสร้างในรับรองใหม่ทั้งหมด เมื่อเครื่องผู้ใช้ในบริษัทจะเข้าเว็บที่เข้ารหัสจะถูกเตือนว่าใบรับรองไม่น่าเชื่อถือ ทำให้ผู้ใช้ทุกคนต้องเพิ่มใบรับรองใหม่เข้าไปในเครื่องก่อนจึงใช้งานต่อไปได้

หน่วยงานบ้านเรามีติดตั้งเครื่องแนวๆ นี้อยู่บ้าง ยังไงก็อย่าลืมสร้างใบรับรองใหม่ก่อนเริ่มใช้งานเสมอ ส่วนตัวผมเองคงไม่มีทางเพิ่มใบรับรองพวกนี้ลงเครื่องแน่ๆ

ที่มา – The Register