หลังจากบริษัท Comondo ถูกแฮกจนแฮกเกอร์ได้ใบรับรองการเข้ารหัส (SSL Certificate) ไปจำนวนหนึ่งวันนี้ทางนักวิเคราะห์เทคนิคของ EFF ก็ได้ออกมาเสนอข้อมูลการตรวจสอบว่า นอกจากกรณีที่มีการเข้าขอใบรับรองการเข้ารหัสโดยไม่ใช่เจ้าของโดเมนจริงแล้ว ยังมีกรณีการขอใบรับรองในชื่อโดเมนที่ไม่ถูกต้องอีกจำนวนมากถึง 37,000 ชื่อ
หน่วยงานผู้ออกใบรับรอง (Certification Authority - CA) นั้นปรกติแล้วจะออกใบรับรองให้กับโดเมนต่างๆ ในรูปแบบของชื่อโดเมนเต็ม เช่น www.blognone.com
แต่ด้วยความสะเพร่าหรือประมาท มีชื่อจำนวนหนึ่งที่ไม่ถูกต้องเช่น mail
, wiki
, exchange
, หรือ intranet
กระทั่ง localhost
ก็มีการออกใบรับรองไป
ที่แย่กว่านั้นคือหน่วยงานออกใบรับรองเหล่านี้ ออกใบรับรองชื่อแปลกๆ เหล่านี้ออกไปหลายครั้ง ให้กับหลายบุคคลที่มาขอใบรับรอง แต่บางหน่วยงานที่รับจดชื่อที่ไม่ถูกต้องเหล่านี้บางหน่วยงานก็มีระบบป้องกันการขอใบรับร้องซ้ำซ้อน
การออกใบรับรองอย่างไม่ถูกต้องเช่นนี้ทำให้มีความเสี่ยงที่ผู้ที่ได้ใบรับรองไป จะไปโจมตีแบบคั่นกลางระหว่างผู้ใช้กับเซิร์ฟเวอร์ (man-in-the-middle) โดยหากเราไม่พิมพ์ชื่อโดเมนเต็มๆ เช่นพิมพ์เพียง blognone
ผู้โจมตีอาจจะดักระบบ DNS เพื่อตอบว่ามีเครื่องชื่อ blognone
อยู่จริงแล้วนำเราไปยังเว็บนั้นโดยดูเหมือนเข้ารหัสแล้ว
ต่อจากนี้เวลาเข้าเว็บที่เข้ารหัสไว้เป็นสีเขียวเรียบร้อย อาจจะต้องเหลือบมองดูโดเมนว่ามี .com ท้ายโดเมนแน่รึเปล่า
ที่มา - EFF