Let's Encrypt เริ่มออกใบรับรองสำหรับไอพี ถอดการรับรองแบบ TLS Client
Body
Let's Encrypt ประกาศเริ่มใช้ชุดใบรับรอง Root CA ชุดใหม่ เรียกโดยรวมว่า Generation Y ซึ่งจะปรับนโยบายการออกใบรับรองใหม่สองประการ ได้แก่ จะยกเลิก TLS Client Authentication แต่เพิ่มการรับรองหมายเลขไอพีเข้ามา
TLS Client Authentication เป็นกระบวนการยืนยันตัวตนของไคลเอนต์ที่นิยมในงานบางประเภท เช่น ระบบฐานข้อมูลที่อาจจะใช้ TLS Client เพื่อจำกัดว่าไคลเอนต์ที่มีสิทธิ์เชื่อมต่อเข้าเซิร์ฟเวอร์ต้องได้รับการรับรองเหมือนกัน แต่แนวทางการใช้งานแบบนี้ก็มักอาศัย CA ภายใน แต่เดิม CA ต่างๆ ก็มักให้สิทธิ์การใช้งาน TLS Client และ TLS Server ไว้พร้อมกันแม้จะมีการใช้งานน้อย สำหรับผู้ที่ไม่ได้ทำอะไรใบรับรองจะเริ่มเข้าสู่ Generation Y ในเดือนกุมภาพันธ์นี้ หากต้องการใช้งานต้องเปลี่ยนโปรไฟล์การขอใบรับรองเป็น
สำหรับการออกใบรับรองให้กับไอพีนั้นที่จริงแล้วตัวมาตรฐานของ CA อนุญาตให้ทำได้ แต่ไม่ค่อยมี CA รายใดออกใบรับรองให้ การออกใบรับรองไอพีครั้งใหญ่ๆ เช่น 1.1.1.1 ฟีเจอร์นี้มีเฉพาะชุดใบรับรองใหม่ Generation Y เท่านั้น โดยสามารถเลือกใช้ได้ด้วยการเลือกโปรไฟล์
ใบรับรองใน Generation Y จะมีให้เลือกระหว่างสายโซ่ RSA 4096 และแบบ ECDSA P-384 ที่มีขนาดเล็กกว่า ทาง Let's Encrypt ส่งใบรับรองเหล่านี้เข้าโครงการ root ของระบบปฏิบัติการต่างๆ ไปก่อนหน้านี้แล้ว แต่ใบรับรองชุดนี้ทำ cross-sign กับชุดเดิมทำให้สามารถใช้งานได้ทันที
ที่มา - Let's Encrypt
lew Fri, 19/12/2025 - 19:37
Continue reading...
Body
Let's Encrypt ประกาศเริ่มใช้ชุดใบรับรอง Root CA ชุดใหม่ เรียกโดยรวมว่า Generation Y ซึ่งจะปรับนโยบายการออกใบรับรองใหม่สองประการ ได้แก่ จะยกเลิก TLS Client Authentication แต่เพิ่มการรับรองหมายเลขไอพีเข้ามา
TLS Client Authentication เป็นกระบวนการยืนยันตัวตนของไคลเอนต์ที่นิยมในงานบางประเภท เช่น ระบบฐานข้อมูลที่อาจจะใช้ TLS Client เพื่อจำกัดว่าไคลเอนต์ที่มีสิทธิ์เชื่อมต่อเข้าเซิร์ฟเวอร์ต้องได้รับการรับรองเหมือนกัน แต่แนวทางการใช้งานแบบนี้ก็มักอาศัย CA ภายใน แต่เดิม CA ต่างๆ ก็มักให้สิทธิ์การใช้งาน TLS Client และ TLS Server ไว้พร้อมกันแม้จะมีการใช้งานน้อย สำหรับผู้ที่ไม่ได้ทำอะไรใบรับรองจะเริ่มเข้าสู่ Generation Y ในเดือนกุมภาพันธ์นี้ หากต้องการใช้งานต้องเปลี่ยนโปรไฟล์การขอใบรับรองเป็น
tlsclient เพื่อใช้งานได้ต่อถึงเดือนพฤษภาคมสำหรับการออกใบรับรองให้กับไอพีนั้นที่จริงแล้วตัวมาตรฐานของ CA อนุญาตให้ทำได้ แต่ไม่ค่อยมี CA รายใดออกใบรับรองให้ การออกใบรับรองไอพีครั้งใหญ่ๆ เช่น 1.1.1.1 ฟีเจอร์นี้มีเฉพาะชุดใบรับรองใหม่ Generation Y เท่านั้น โดยสามารถเลือกใช้ได้ด้วยการเลือกโปรไฟล์
tlsserver และ shortlivedใบรับรองใน Generation Y จะมีให้เลือกระหว่างสายโซ่ RSA 4096 และแบบ ECDSA P-384 ที่มีขนาดเล็กกว่า ทาง Let's Encrypt ส่งใบรับรองเหล่านี้เข้าโครงการ root ของระบบปฏิบัติการต่างๆ ไปก่อนหน้านี้แล้ว แต่ใบรับรองชุดนี้ทำ cross-sign กับชุดเดิมทำให้สามารถใช้งานได้ทันที
ที่มา - Let's Encrypt
lew Fri, 19/12/2025 - 19:37
Continue reading...