ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้ บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา
ข้อเสนอใหม่ของกูเกิลระบุให้ไซแมนเทคสร้าง sub-CA ขึ้นใหม่พร้อมกับ cross-sign กับ root CA ของไซแมนเทคเอง แต่ sub-CA นี้จะต้องดำเนินการจากผู้ให้บริการอื่นที่ได้รับความเชื่อถือ ขณะที่ตัวไซแมนเทคเองจะกลายเป็นเพียงฝ่ายขายที่ทำหน้าที่ขายใบรับรองอย่างเดียว ส่วนลูกค้าจะยังคงเห็นใบรับรองว่ามาจากไซแมนเทคอยู่
การเจรจาระหว่างกูเกิลและไซแมนเทคเป็นการเจรจาภายใน ไซแมนเทคได้เปิดเผยข้อมูลแผนการปรับปรุงระบบของตัวเองที่ยังไม่เปิดเผยต่อสาธารณะ ข้อเสนอของกูเกิลอ้างถึงการปรับปรุงนั้นว่าหลังจากทำเรียบร้อยแล้วไซแมนเทคจะสามารถดึงการดำเนินการ CA กลับมาจากผู้ให้บริการอื่นมาให้บริการต่อเอง
กูเกิลระบุว่าหากไซแมนเทคดำเนินการตามนี้ก็จะมีแนวทางการแก้ไขให้ลูกค้าเดิม โดยไม่ต้องติดข้อกำหนดอายุใบรับรอง 9 เดือนหรือถูกถอดสิทธิ์การแสดง EV แต่อย่างใด
Gervase Markham นักพัฒนาจากมอซิลล่าออกมาแสดงความเห็นด้วยกับแนวทางของกูเกิลโดยรวม โดยระบุว่าหากไซแมนเทคไม่ทำตามข้อเสนอของกูเกิลไฟร์ฟอกซ์จะจำกัดอายุใบรับรองจากไซแมนเทคเหลือ 13 เดือน ทั้งใบรับรองเดิมและใบรับรองใหม่ แต่เขาไม่เห็นด้วยที่จะถอดสิทธิ์การออกใบรับรอง EV เพราะเป็นส่วนที่ไม่ได้รับผลกระทบจากความผิดพลาด
ด้านไซแมนเทคออกมาตอบข้อเสนอของทั้งสองหน่วยงาน ระบุว่าบริษัทได้เสนอแนวทางการปรับปรุงไปแล้ว โดยจะมีการตรวจสอบจากภายนอกใหม่ แม้ทั้งการปรับปรุงระบบและตรวจสอบใบรับรองที่ออกไปแล้วทั้งหมด ตอนนี้กระบวนการตรวจสอบใบรับรองโดย Registration Authority (RA - หน่วยงานภายนอกที่ออกใบรับรองด้วยระบบของไซแมนเทค) ดำเนินการไปแล้วระหว่าง 85-99% โดยพบความผิดพลาดตั้งแต่ 0.3-5% บางกรณีเป็นความผิดพลาดเล็กน้อยเช่นการเรียกชื่อเมืองผิด
ตัวเลขล่าสุดของไซแมนเทคแสดงให้เห็นว่ามีใบรับรองที่ออกโดย RA มากกว่า 30,000 ใบตรงกับที่กูเกิลระบุในรายงานครั้งแรก และตอนนี้พบใบรับรองผิดพลาดแล้วมากกว่า 500 ใบซึ่ง มากกว่ารายงานจากไซแมนเทคซึ่งระบุว่ามีเพียง 127 ใบถึงสี่เท่าตัว และการตรวจสอบยังไม่เสร็จสิ้น
ที่มา - Mozilla Proposal , mozilla.dev.security.policy , Symantec Blog
Comments
ผิดจริงเลยต่อรองอะไรไม่ได้เท่าไร