ประมาทร่วม Cloudflare ระบุมีส่วนผิดที่ใบรับรอง 1.1.1.1 ออกโดยไม่ได้รับอนุญาต มอนิเตอร์ไม่ดีพอ
Body
หลังเหตุการณ์ Fina CA ในโครเอเชียออกใบรับรองไอพี 1.1.1.1 ผิดพลาด สร้างความเสี่ยงถูกดักฟัง DNS ทาง Cloudflare ผู้ให้บริการ DNS ผ่าน 1.1.1.1 ก็ออกมารายงานผลสอบสวนความผิดพลาดนี้
แม้กระบวนการตรวจสอบการออกใบรับรองจะเป็นหน้าที่ของ CA ผู้ออกใบรับรอง แต่ใบรับรองทั้งหมดก็ถูกประกาศเข้า certification transparency log (CT log) ที่เปิดต่อสาธารณะ หาก Cloudflare ตรวจสอบและแจ้งตวามผิดพลาดโดยไว ใบรับรองเหล่านี้ก็จะใช้งานได้ไม่นาน แต่เหตุการณ์ใบรับรอง 1.1.1.1 นี้กลับสามารถใช้งานได้นานนับเดือน
ทาง Cloudflare ยอมรับตวามผิดพลาดนี้ โดยระบุว่าปกติบริษัทมอนิเตอร์ log การออกใบรับรองตลอดเวลาเพราะต้องตรวจสอบไปถึงโดเมนลูกค้าด้วย แต่กลับผิดพลาดถึง 3 ครั้ง ครั้งแรกระบบไม่ได้มอนิเตอร์ใบรับรองที่รับรองไอพี, ครั้งที่สองระบบฟิลเตอร์ผิดพลาด, และครั้งที่สามระบบแจ้งเตือนแล้วแต่รายการแจ้งเตือนเยอะมากจนพลาด
มาตรการแก้ไขหลังจากนี้ Cloudflare จะปรับปรุงระบบการแจ้งเตือน, ทำงานร่วมกับไคลเอนต์ต่างๆ ให้ตรวจสอบใบรับรองว่าส่งใบรับรองเข้า CT log แล้ว, เตรียมเพิ่มหน้าจอ Cloudflare Radar สำหรับการตรวจสอบใบรับรองแบบเดียวกับ crt.sh ของ Sectigo
ที่มา - Cloudflare
lew Sun, 07/09/2025 - 13:21
Continue reading...
Body
หลังเหตุการณ์ Fina CA ในโครเอเชียออกใบรับรองไอพี 1.1.1.1 ผิดพลาด สร้างความเสี่ยงถูกดักฟัง DNS ทาง Cloudflare ผู้ให้บริการ DNS ผ่าน 1.1.1.1 ก็ออกมารายงานผลสอบสวนความผิดพลาดนี้
แม้กระบวนการตรวจสอบการออกใบรับรองจะเป็นหน้าที่ของ CA ผู้ออกใบรับรอง แต่ใบรับรองทั้งหมดก็ถูกประกาศเข้า certification transparency log (CT log) ที่เปิดต่อสาธารณะ หาก Cloudflare ตรวจสอบและแจ้งตวามผิดพลาดโดยไว ใบรับรองเหล่านี้ก็จะใช้งานได้ไม่นาน แต่เหตุการณ์ใบรับรอง 1.1.1.1 นี้กลับสามารถใช้งานได้นานนับเดือน
ทาง Cloudflare ยอมรับตวามผิดพลาดนี้ โดยระบุว่าปกติบริษัทมอนิเตอร์ log การออกใบรับรองตลอดเวลาเพราะต้องตรวจสอบไปถึงโดเมนลูกค้าด้วย แต่กลับผิดพลาดถึง 3 ครั้ง ครั้งแรกระบบไม่ได้มอนิเตอร์ใบรับรองที่รับรองไอพี, ครั้งที่สองระบบฟิลเตอร์ผิดพลาด, และครั้งที่สามระบบแจ้งเตือนแล้วแต่รายการแจ้งเตือนเยอะมากจนพลาด
มาตรการแก้ไขหลังจากนี้ Cloudflare จะปรับปรุงระบบการแจ้งเตือน, ทำงานร่วมกับไคลเอนต์ต่างๆ ให้ตรวจสอบใบรับรองว่าส่งใบรับรองเข้า CT log แล้ว, เตรียมเพิ่มหน้าจอ Cloudflare Radar สำหรับการตรวจสอบใบรับรองแบบเดียวกับ crt.sh ของ Sectigo
ที่มา - Cloudflare
lew Sun, 07/09/2025 - 13:21
Continue reading...