ไมโครซอฟท์และมอสซิลล่าแบน CA จากอียิปต์ที่ใช้ดักฟังแล้ว, ผู้ใช้เรียกร้องให้มอสซิลล่าแบน CA จากจีน

ไมโครซอฟท์และมอสซิลล่าประกาศยกเลิกใบรับรองของ MCS Holdings หน่วยงานรับรองระหว่างกลาง (intermediate CA) ที่ได้รับการรับรองจาก CNNIC ของจีน เพื่อป้องกันความเสียหายจากการดักฟังเว็บของกูเกิลหลายโดเมน ที่ MCS Holdings ออกใบรับรองโดยไม่ถูกต้อง

จนตอนนี้ยืนยันใบรับรองที่ไม่ถูกต้องนี้ ได้ 7 โดเมนแล้ว ได้แก่ *.google.com, *.google.com.eg, *.g.doubleclick.net, *.gstatic.com, www.google.com, www.gmail.com, และ *.googleapis.com โดยได้รับการรับรองจากใบรับรองที่มีค่า Thumbprint เป็น "e1 f3 59 1e 76 98 65 c4 e4 47 ac c3 7e af c9 e2 bf e4 c5 76"

หลังประกาศเรื่องนี้ผู้ใช้จำนวนมากก็คอมเมนต์ในประกาศของมอสซิลล่า เรียกร้องให้ถอด CNNIC ที่ดำเนินการโดยรัฐบาลจีนออกจากฐานข้อมูลหน่วยงานรับรองที่เชื่อถือได้

CNNIC ร้องขอให้มอสซิลล่ารับใบรับรองของตัวเองเข้าไว้ในฐานข้อมูลตั้งแต่ปี 2009 และทำสำเร็จในปี 2010 แม้ว่าชุมชนจะประท้วงกันพอสมควรในตอนนั้น แต่ทางมอซซิลล่าก็ยืนยันจะเพิ่ม CNNIC เข้าในฐานข้อมูลเพราะทำตามเงื่อนไขในเอกสารได้ครบถ้วน เมื่อตอนนี้มีการปล่อยให้หน่วยงานรับรองระหว่างกลางดักฟังอีกการประท้วงจึงเริ่มอีกครั้ง

ทุกวันนี้มีใบรับรอง root CA จากจีนอยู่ในฐานข้อมูลทั่วโลกสองใบคือ CNNIC ROOT, China Internet Network Information Center จากหน่วยงานเดียวกัน ใบรับรองทั้งสองใบสามารถรับรองหน่วยงานใดๆ ก็ได้ในโลกให้สร้างพรอกซี่เพื่อดักฟังแบบเดียวกับ MCS Holdings โดยไม่ต้องติดตั้งใบรับรองลงในเครื่องผู้ใช้เหมือนการสร้างพรอกซี่เพื่อตรวจสอบการใช้งานในองค์กรทั่วไป

ถ้าใครอยากถอดใบรับรอง root CA ออกจากระบบ

• โครม: เข้าหน้า Settings -> Manage Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit แล้วติ๊กออกทุกช่อง
• ไฟร์ฟอกซ์: Preferences -> Advanced -> View Certificates -> Authorities -> เลือกชื่อ CA ที่ต้องการ -> กด Edit Trust แล้วติ๊กออกทุกช่อง
• แอนดรอยด์: Settings -> Security -> Trusted credentials -> แท็บ System -> เลือก CA แล้ว กด Disable

ที่มา - Microsoft, Mozilla