ไม่ใช่แค่ไมโครซอฟท์ แต่ซิสโก้เองก็ได้ให้การรับรอง Thailand National Root CA แล้ว

by jedi
1 February 2017 - 06:23

จากที่ได้มีการนำเสนอไปเมื่อสัปดาห์ที่ผ่านมาเรื่องที่ ไมโครซอฟท์ได้ให้การรับรอง root certificate จาก CA แห่งชาติของไทยคือ NRCA แล้ว อีกทั้งได้มีการนำเสนอ การทดสอบการติดตั้ง root certificate ตัวนี้บนเว็บเบราซ์เซอร์ซึ่งยังไม่ได้ให้การรับรองอย่าง Mozilla Firefox ไปแล้วเช่นกัน และได้มีการแสดงความคิดเห็นทั้งที่เห็นด้วยและไม่เห็นด้วยในการมี root certificate เป็นของไทยเอง และความกังวลว่ารัฐบาลอาจใช้ root certificate ตัวนี้เป็นเครื่องมือในการดักฟังหรือสอดแนมการสื่อสารทางเว็บ จนถึงขั้นที่มีการนำเสนอวิธีการลบหรือบล๊อค root certificate ตัวนี้ออกไปจากเครื่องนั้น ไมโครซอฟท์ดูเหมือนจะตกเป็นจำเลยอยู่กลายๆ จากการที่เป็นเจ้าเดียวที่ให้การยอมรับ root certificate ของไทยในครั้งนี้ ทั้งจากสายตาขององค์กรระหว่างประเทศ และสายตาของคนไทย (บางส่วน) นั้น ขณะนี้พบว่านอกจากไมโครซอฟท์แล้ว ทางซิสโก้เองก็ได้ให้การรับรองใบรับรองของ NRCA แล้วเช่นกัน โดยพบว่าในหน้า 12 ของเอกสาร 24 หน้าที่ชื่อว่า Certificate Authority Trust List จากเว็บไซต์ของซิสโก้เองนั้น ได้ปรากฎ

Subject: C=TH, O=Electronic Transactions Development Agency (Public Organization), OU=Thailand National Root Certification Authority, CN=Thailand National Root Certification Authority - G1

และ

Fingerprint: 66f2dcfb3f814ddee9b3206f11defe1bfbdfe132

อยู่ โดยเอกสารนี้ได้มีการตีพิมพ์มาตั้งแต่ 30 พฤศจิกายน 2558 คือกว่า 1 ปีก่อนที่ไมโครซอฟท์จะให้การรับรอง root certificate ใบเดียวกันนี้เสียด้วยซ้ำ

อุปกรณ์ที่ root certificate ของไทยใบนี้ได้เข้าไปอยู่ใน Trusted Root Certificate Store นั้นได้แก่

  1. Cisco DX Series, as of release 10.2(5)
  2. Cisco IP Phone 7800 Series, as of release 11.0
  3. Cisco IP Phone 8800 Series, as of release 11.0

โดยซิสโก้ระบุว่า การที่จะเชื่อมต่อแบบโมบายล์หรือแบบรีโมทผ่านทาง Expressway นั้น ตัวเซิร์ฟเวอร์ Expressway จะต้องมีการเซ็นรับรองโดย CA รายที่อยู่ในลิสต์ดังกล่าวเท่านั้น (ซึ่งก็ย่อมหมายถึงการเซ็นรับรองด้วย subordinate CA ภายใต้ root CA เหล่านี้นั่นเอง เพราะตามปกติแล้ว root CA จะไม่ออกใบรับรองให้เซิร์ฟเวอร์ใดๆ โดยตรง)

แม้ว่าอุปกรณ์ของซิสโก้เหล่านี้จะไม่ใช่เว็บเบราว์เซอร์สำหรับผู้ใช้อุปกรณ์คอมพิวเตอร์หรือมือถือโดยทั่วไป แต่มันก็ถือเป็น SSL/TLS client เช่นเดียวกันกับเว็บเบราว์เซอร์ซึ่งทำงานผ่านโปรโตคอล SSL/TLS อันเดียวกันและสามารถที่จะถูกโจมตีในลักษณะเดียวกันได้เสมอ

และแม้ว่าขณะนี้จะมีปรากฎให้เห็นชัดเจนอยู่แค่ในเฉพาะบางอุปกรณ์ของซิสโก้ แต่การที่ซิสโก้ได้ให้การรับรอง root certificate ของไทยใบนี้แล้วนั้น ก็น่าจะหมายถึงว่าได้มีการให้การยอมรับแล้วในระดับหนึ่งถึงมาตรฐานของการดำเนินการออกและควบคุมดูแลใบรับรองที่ลงลายเซ็นดิจิตอลโดย root certificate ของไทยดังกล่าวนี้ของหน่วยงานที่รับผิดชอบคือ NRCA ของเรา รวมไปถึงการควบคุมดูแล CA ย่อยหรือ subordinate CA ภายใต้อาณัติของตัวเอง ให้อยู่ภายใต้กฏระเบียบต่างๆอย่างเคร่งครัดในการดำเนินการออกและควบคุมดูแลใบรับรองดิจิตอลสำหรับเว็บเซิร์ฟเวอร์หรืออื่นๆ เพื่อไม่ให้เกิดการเสื่อมเสียขึ้นมาถึงหน่วยงานที่ดูแล root certificate ได้

Blognone Jobs Premium