|
'''ผู้ออกใบรับรอง''' (หรือ '''certificationCertification authority''', ('''CA''') เป็นคนหน่วยงานที่ออกใบรับรองดิจิทัลในการเข้ารหัส ซึ่งใบรับรองดิจิทัลรับรองความเป็นเจ้าของกุญแจสาธารณะโดยมีชื่อเรื่องของใบรับรอง มีการรับรองอนุญาตให้คนอื่นใช้งานได้ โดยขึ้นอยู่กับลายเซ็นหรือยืนยันตัวโดยการทำ[[กุญแจส่วนตัว]] (private key) ที่สอดคล้องกับ[[กุญแจสาธารณะ]] (public key) ที่ถูกรับรอง ในรูปแบบความสัมพันธ์ที่เชื่อถือได้ ผู้ออกใบรับรองเป็นบุคคลที่สามที่เชื่อถือได้ ซึ่งได้รับความเชื่อถือทั้งจากเจ้าของข้อมูลที่มีใบรับรองและผู้ที่ได้รับสิ่งที่มีใบรับรองนั้น รูปแบบของการรับรองอยู่บนมาตรฐาน [[X.509]] หรือ [[EMV]] แผนของผู้ให้บริการเทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure, PKI) จำนวนมากจะแสดงตนว่าเป็นผู้ออกใบรับรองด้วย
== ภาพรวม ==
== องค์กรอุตสาหกรรม ==
* Certificate Authority Security Council (CASC) – ก่อตั้งขึ้นในปี คพ.ศ. 20132556 ในฐานะที่เป็นองค์กรที่สนับสนุนอุตสาหกรรม มุ่งเป้าไปยังปัญหาที่มีอยู่และให้ความรู้แก่ประชาชนเกี่ยวกับการรักษาความปลอดภัยอินเทอร์เน็ต สมาชิดสมาชิกผู้ก่อตั้งคือผู้ออกใบรับรองขนาดใหญ่ลำดับที่ 7<ref>{{cite web |url=http://www.networkworld.com/news/2013/021413-council-digital-certificate-266728.html |title=Multivendor power council formed to address digital certificate issues |website=Network World |date=February 14, 2013 |url-status=dead |archive-url=https://web.archive.org/web/20130728114851/http://www.networkworld.com/news/2013/021413-council-digital-certificate-266728.html |archive-date=July 28, 2013 }}</ref><ref>{{cite web |url=http://www.darkreading.com/authentication/167901072/security/news/240148546/major-certificate-authorities-unite-in-the-name-of-ssl-security.html |title=Major Certificate Authorities Unite In The Name Of SSL Security |website=Dark Reading |date=February 14, 2013 |url-status=dead |archive-url=https://archive.is/20130410174711/http://www.darkreading.com/authentication/167901072/security/news/240148546/major-certificate-authorities-unite-in-the-name-of-ssl-security.html |archive-date=April 10, 2013 }}</ref>
== การโจมตีผู้ออกใบรับรอง ==
ถ้าผู้ออกใบรับรองสามารถโดนโจมตี ซึ่งจะทำให้ระบบทั้งหมดเกิดความเสียหาย แม้ว่าหน่วยงานทั้งหมดจะเชื่อถือผู้ออกใบรับรองที่โดนบุกรุกนั้น ยกตัวอย่าง กรณีใบรับรองสนับสนุนการโจมตีเช่น Eve จัดการบางอย่างให้ได้การรับรองจาก CA ซึ่งมาจากใบรับรองของเธอที่อ้างว่าเป็นของ Alice ใบรับรองจะแถลงต่อสาธารณะว่านี่เป็นของ Alice และอาจรวมข้อมูลอื่น ๆ ของ Alice ข้อมูลบางอย่างเกี่ยวกับ Alice เช่นนายจ้างของเธออาจจะจริง ซึ่งช่วยเพิ่มความน่าเชื่อถือของใบรับรอง อย่างไรก็ตาม Eve อาจมีข้อมูลกุญแจส่วนตัวของใบรับรองที่สำคัญทั้งหมด ซึ่ง Eve สามารถใช้ใบรับรองเพื่อทำการลงนามดิจิทัลในอีเมลและส่งไปให้ Bob เพื่อหลอก Bob ให้เชื่อว่าอีเมลนั้นเป็นของ Alice โดย Bob อาจตอบอีเมลที่ถูกเข้ารหัสนั้น และเชื่อว่าจะถูกอ่านโดน Alice ซึ่ง Eve สามารถถอดรหัสอีเมลนั้นมาอ่านได้โดยใช้กุญแจส่วนตัว
การทำลายระบบของผู้ออกใบรับรอง ที่โด่งดังเช่น กรณีนี้เกิดในปี คพ.ศ. 20012544 เมื่อผู้ออกใบรับรอง [[VeriSign]] ได้ออกใบรับรองสองตัวให้แก่บุคคลผู้แทนของบริษัท[[ไมโครซอฟท์]] ใบรับรองนั้นมีชื่อว่า “Microsoft Corporation” ดังนั้นอาจถูกใช้เพื่อหลอกใครบางคนเพื่อให้เชื่อว่าเป็นการปรับปรุงซอฟต์แวร์ของไมโครซอฟท์ ซึ่งจริง ๆ แล้วไม่ใช่ การทุจริตนี้ถูกพบในต้นปี คพ.ศ. 20012544 ซึ่งไมโครซอฟท์ และ VeriSign ได้ทำขั้นตอนเพื่อลดผลกระทบของปัญหาดังกล่าว<ref>{{cite web |url=https://www.cert.org/advisories/CA-2001-04.html |title=CA-2001-04 |publisher=Cert.org |access-date=2014-06-11 |url-status=live |archive-url=https://web.archive.org/web/20131102170603/http://www.cert.org/advisories/CA-2001-04.html |archive-date=2013-11-02 }}</ref><ref>{{cite web
|last = Microsoft, Inc.
|title = Microsoft Security Bulletin MS01-017: Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
}}</ref>
ในปี คพ.ศ. 20112554 ใบรับรอง *.google.com ที่หลอกลวงซึ่งบริษัท Comodo และ DigiNotar ได้รับมานั้น<ref>{{cite web|url=https://arstechnica.com/security/news/2011/03/independent-iranian-hacker-claims-responsibility-for-comodo-hack.ars|title=Independent Iranian hacker claims responsibility for Comodo hack|last1=Bright|first1=Peter|date=28 March 2011|publisher=Ars Technica|access-date=2011-09-01|url-status=live|archive-url=https://web.archive.org/web/20110829214335/http://arstechnica.com/security/news/2011/03/independent-iranian-hacker-claims-responsibility-for-comodo-hack.ars|archive-date=29 August 2011}}</ref><ref>{{cite web|url=https://arstechnica.com/security/news/2011/08/earlier-this-year-an-iranian.ars|title=Another fraudulent certificate raises the same old questions about certificate authorities|last1=Bright|first1=Peter|date=2011-08-30|publisher=Ars Technica|access-date=2011-09-01|url-status=live|archive-url=https://web.archive.org/web/20110912164822/http://arstechnica.com/security/news/2011/08/earlier-this-year-an-iranian.ars|archive-date=2011-09-12}}</ref> มีการกล่าวหาว่ากระทำโดย[[แฮกเกอร์]]ชาวอิหร่าน โดยมีหลักฐานว่าใบรับรอง DigiNotar ที่ปลอมนั้นถูกใช้เพื่อการโจมตีแบบ man-in-the-middle ใน[[อิหร่าน]]<ref>{{cite news
|url = https://www.theregister.co.uk/2011/09/06/diginotar_audit_damning_fail/
|title = Inside 'Operation Black Tulip': DigiNotar hack analysed
}}</ref>
ในปี คพ.ศ. 20122555 เป็นที่ทราบกันว่า Trustwave ได้ออกใบรับรองชั้นรองจากระดับ root เพื่อใช้ในการจัดการดักจับการส่งข้อมูล (man-in-the-middle) ในองค์กรที่เป็นที่ยอมรับ โดยดักจับการส่งโพรโตคอลโพรโทคอล SSL ของเครือข่ายภายในโดยใช้ใบรับรองนั้น<ref>{{cite news | url=http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html | title=Trustwave issued a man-in-the-middle certificate | work=The H Security | date=2012-02-07 | access-date=2012-03-14 | url-status=live | archive-url=https://web.archive.org/web/20120313085319/http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html | archive-date=2012-03-13 }}</ref>
== การออกแบบและพัฒนาโปรแกรมอย่างเปิดเผย ==
* OpenCA
* OpenSSL, an SSL/TLS library มาพร้อมกับตัวช่วยอนุญาตในการใช้งานใบรับรองอย่างง่าย
* EasyRSA, OpenVPN's command line CA utilities ซึ่งใช้โพรโตคอลโพรโทคอล OpenSSL
* r509
* TinyCA, ซึ่งเป็น perl gui ในส่วนบนของมอดูล CPAN
* XCA
* Automated Certificate Management Environment (ACME), ให้โพรโทคอลการเข้ารหัสเพื่อการสื่อสารระหว่างผู้ออกใบรับรองและเซิฟเวอร์เซิร์ฟเวอร์ ให้การเข้ารหัสแบบ node-acme, Node.js ของ ACME, และการตรวจดูการเข้ารหัส, พื้นฐานจาก[[ภาษาไพทอน]]ของการจัดการเซิฟเวอร์เซิร์ฟเวอร์ใบรับรองโดยใช้โพรโทคอล ACME
== อ้างอิง ==
== แหล่งข้อมูลอื่น ==
* {{url|https://www.eff.org/deeplinks/2011/10/how-secure-https-today|How secure is HTTPS today? How often is it attacked?}}, ''Electronic Frontier Foundation''. (25 October 2011)
[[หมวดหมู่:การเข้ารหัส]]
| 