กูเกิลออกประกาศเตือนว่ามีใบรับรอง SSL ปลอมออกโดย MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ตั้งอยู่ในอียิปต์ ได้ออกใบรับรองโดเมนของกูเกิลหลายโดเมนทำให้มีความเสี่ยงว่าโดเมนเหล่านั้นจะถูกดักฟังโดยคนที่ได้รับกุญแจและใบรับรองเหล่านี้
โครมและไฟร์ฟอกซ์รุ่นใหม่ๆ จะได้รับแจ้งเตือนหากถูกดักฟังโดยเครื่องที่ใช้ใบรับรองเหล่านี้ เพราะมีการล็อกใบรับรองเอาไว้ แต่สำหรับผู้ใช้เบราว์เซอร์เก่าก็ยังมีความเสี่ยงอยู่
MCS Holdings เป็นหน่วยงานรับรองที่ได้รับรองจาก CNNIC หน่วยงานออกใบรับรองระดับ root CA และดูแลระบบโดเมนของจีน ทาง MCS Holdings ได้ติดตั้งพรอกซี่ดักฟัง (แบบเดียวกับ mitmproxy) โดยใช้ CA ที่ได้รับการรับรองจาก root CA แทนที่จะใช้ CA ที่สร้างขึ้นใหม่แล้วติดตั้งเฉพาะเครื่องในหน่วยงานเท่านั้น ทำให้เครื่องลูกข่ายที่ถูกดักฟังด้วยพรอกซี่ไม่จำเป็นต้องติดตั้ง CA ใหม่ลงในเครื่อง แนวทางนี้ขัดต่อหลักการดำเนินการของ CA และแสดงให้เห็นว่า CNNIC ออกใบรับรองให้กับหน่วยงานที่ไม่ยึดตามแนวทางที่ถูกต้อง
อย่างไรก็ดีคาดว่า MCS Holdings ใช้ใบรับรองเหล่านี้ในเครือข่ายของตัวเองเท่านั้น และใบรับรอง CA ที่ CNNIC ออกให้กับ MCS Holdings มีอายุเพียงสองสัปดาห์ จะหมดอายุในวันที่ 3 เมษายนนี้พร้อมกับระบุว่าเป็นใบรับรองทดสอบ
ใครรับได้กับความปลอดภัยแบบไหนคงแล้วแต่ความเสี่ยงของแต่ละคน แต่ตัวผมเองคงถอด root CA ของ CNNIC ออกจากเครื่องไปก่อน
ที่มา - ArsTechnica, Google Online Security