Mozilla ถอด TrustCor ออกจากฐานข้อมูล root CA หลังพบเกี่ยวข้องกับบริษัทขายมัลแวร์

Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน

ตอนนี้ไม่มีข้อมูลว่า TrustCor ออกใบรับรองไม่ถูกต้องเพื่อใช้งานมุ่งร้ายผู้ใช้แต่อย่างใด โดยเฉพาะในช่วงหลังไคลเอนต์จำนวนมากบังคับว่าใบรับรองต้องถูกบันทึกลงฐานข้อมูลภายนอกก่อน (certification transparency log) จึงจะสามารถใช้งานได้

ทาง Mozilla ประกาศเพิ่มเงื่อนไข “Distrust for TLS After Date” ทำให้ใบรับรองจาก TrustCor ที่ออกหลังวันที่ 30 พฤศจิกายนไม่สามรถใช้งานได้อีกต่อไป ส่วนทาง TrustCor ออกมาโวยว่าไมโครซอฟท์ตั้งวันที่หยุดรับใบรับรองจาก TrustCor เป็นวันที่ 1 พฤศจิกายนทำให้ลูกค้าที่ได้รับใบรับรองไปก่อนหน้านี้นับพันรายไม่สามารถใช้งานใบรับรองได้

ที่มา – dev-security-policy@mozilla.org

No Description

from:https://www.blognone.com/node/131689