กูเกิลเริ่มการบล็อคใบรับรอง Symantec แบบถาวรแล้วใน Chrome Canary

จากที่กูเกิลได้ประกาศจะถอด root CA ของไซแมนเทคออกทั้งหมดใน Chrome 70 มาได้เกือบหนึ่งปีแล้วนั้น ตอนนี้ Chrome 70 ก็เริ่มปล่อยรุ่นทดลองมาแล้ว โดยโค้ดสำหรับบล็อคใบรับรองที่ออกโดย Symantec รวมไปถึงแบรนด์ลูกอย่าง RapidSSL, GeoTrust และ Thawte ก็ได้เข้าสู่ Chrome Canary ในเวอร์ชั่น 70.0.3503.0 เป็นที่เรียบร้อยแล้วเมื่อสองวันที่ผ่านมา โดยข้อความแจ้งเตือนจะระบุว่าเป็น ERR_CERT_SYMANTEC_LEGACY

ซึ่งจากการตรวจสอบเบื้องต้นนั้นพบว่ายังมีใบรับรองสำหรับหน่วยงานในไทยอยู่อีกประมาณ 1,858 803 ใบ โดยบางส่วนนั้นเป็นใบรับรองที่กำลังจะหมดอายุลงก่อนกำหนดการออก Chrome 70 ตัวจริงกลางเดือนตุลาคมนี้ และบางส่วนเป็นใบรับรองที่ไม่ได้ถูกใช้งานบนเว็บไซต์นั้นๆแล้ว (แม้จะยังเป็นใบรับรองที่ถูกต้องอยู่ก็ตาม) ดังนั้นใบรับรองกลุ่มที่อยู่ในอันตรายจริงๆที่ต้องรีบทำการตรวจสอบก็น่าจะเป็นบรรดาใบรับรองที่มีวันหมดอายุไกลออกไป เช่นปีหน้าหรือปีถัดไป ซึ่งที่ผ่านมาเว็บไซต์หลายๆที่ก็ได้ทำการแก้ปัญหานี้ไปแล้ว ไม่ว่าจะโดยการทิ้งใบรับรองเก่าไปเลยแล้วไปซื้อใบรับรองใหม่ภายใต้ CA อื่น หรือโดยการขอออกใบรับรองใบใหม่ (re-issue) ฟรี จาก CA เดิม ซึ่งจะทำการออกใบรับรองใบใหม่ (ที่ยังคงวันหมดอายุเดิมไว้) ภายใต้ใบรับรอง Intermediate CA ใหม่จากหลายๆใบที่อยู่ภายใต้ใบรับรอง Root CA ของ DigiCert อาทิเช่น

• RapidSSL ECC CA 2018
• RapidSSL RSA CA 2018
• GeoTrust ECC CA 2018
• GeoTrust RSA CA 2018
• Thawte ECC CA 2018
• Thawte RSA CA 2018
• Thawte TLS RSA CA G1
• GeoTrust EV ECC CA 2018
• GeoTrust EV RSA CA 2018
• Thawte EV ECC CA 2018
• Thawte EV RSA CA 2018

การที่หลายเว็บไซต์ได้ดำเนินการเปลี่ยนใบรับรองเสร็จไปเรียบร้อยแล้วนั่นหมายความว่าเว็บไซต์ที่ยังไม่ได้ดำเนินการเปลี่ยนนั้นอยู่ในความเสี่ยงที่จะเข้าใช้งานไม่ได้โดย Chrome 70 กลางตุลานี้ ดังนั้นเพื่อความไม่ประมาท ควรรีบดำเนินการตรวจสอบเว็บไซต์ในความดูแล แล้วขอออกใบรับรองใบใหม่ ฟรี มาทำการติดตั้งให้แล้วเสร็จเสียแต่เนิ่นๆ