Blue Coat ผู้ผลิตอุปกรณ์ตรวจสอบข้อมูลเข้าออกหน่วยงาน ที่มีรัฐบาลหลายชาติ เช่น ซีเรีย และเมียนมาร์ นำไปใช้กรองข้อมูลเข้าออกประเทศ ได้รับสิทธิ์การเป็นหน่วยงานออกใบรับรองดิจิตอล (immediate CA) จาก Symantec
ใบรับรองออกมาตั้งแต่เดือนกันยายนปีที่แล้ว แต่เพิ่งเป็นข่าวไม่กี่วันมานี้ ตัวใบรับรองมีอายุ 10 ปี หมดอายุอีกครั้งปี 2025
Blue Coat ระบุว่าใบรับรองนี้ออกมาเพื่อการทดสอบภายในเท่านั้น และกระบวนการออกใบรับรองครั้งนี้ทาง Symantec ก็เป็นผู้ถือกุญแจลับของใบรับรองโดยไม่เคยส่งมอบกุญแจลับให้กับ Blue Coat แต่อย่างใด
ิสิทธิ์การเป็นหน่วยงานออกใบรับรองเป็นสิทธิ์ที่มีอำนาจสูงมาก เมื่อ root CA ออกใบรับรองให้ immediate CA ใดๆ แล้ว หน่วยงานนั้นๆ จะสามารถออกใบรับรองเว็บใดๆ ก็ได้ เมื่อเดือนมีนาคมปีที่แล้ว CNNIC ซึ่งเป็น root CA ของจีนเคยออกใบรับรองแบบนี้ให้กับ MCS Holdings ในอียิปต์ และการมีการนำไปใช้ดักฟังอินเทอร์เน็ตรวมถึงเว็บเข้ารหัสหลายเว็บ ฝั่งเบราว์เซอร์เช่น Chrome และ Mozilla ถึงกับแบน CNNIC ไม่ให้เป็น root CA อีกต่อไป
ใบรับรองเปิดเผยตามกระบวนการ Certification Transparency ถ้าใครยังไม่สบายใจก็นำใบรับรองนี้ไปแบนไว้ก่อนได้
ที่มา - The Register
from Blognone https://www.blognone.com/node/81572
via IFTTT
