ประกาศชี้แจงเรื่อง SSL และ Google โดย Symantec Official Blog – The Official Netway Communication Blog
  • Security / SSL / ประกาศ» ประกาศชี้แจงเรื่อง SSL และ Google โดย Symantec Official Blog

ประกาศชี้แจงเรื่อง SSL และ Google โดย Symantec Official Blog

SYM

SSL.IN.TH – 25 มีนาคม 2560

สืบเนื่องจากข่าวประกาศจาก Google Inc. เกี่ยวกับ SSL Certificate และการกล่าวอ้างเรื่องกระบวนการตรวจสอบยืนยันการขอ SSL Certificate สำหรับการติดตั้ง HTTPS นั้น ทาง Symantec Corporation ในผู้ให้บริการ SSL Certificate รายหนึ่งของโลก ได้ออกประกาศชี้แจงเกี่ยวกับสถานะและจุดยืนของ Symantec และแบรนด์อื่นๆ ในเครืออย่างชัดเจน โดยอ้างอิงได้จากบล็อคของ Symantec ด้านล่างนี้

[แปล]

Symantec Official Blog

Symantec สนับสนุนผู้ให้บริการ CA 

——

โดย Symantec Corp.

24 มีนาคม 2560

อ้างอิง https://www.symantec.com/connect/blogs/symantec-backs-its-ca

Symantec เองมีความภูมิใจในฐานะหนึ่งในผู้ให้บริการ Certificate Authority ช้ันนำแห่งหนึ่งของโลก เราขอคัดค้านการกล่าวอ้างของ Google ที่โจมตี Symantec SSL/TLS Certificates ใน Chrome browser การกระทำนี้เป็นสิ่งที่ไม่ควรเกิดและเราเชื่อว่าบล็อคดังกล่าวที่เขียนขึ้นนั้นเป็นการกระทำที่ยังไม่ได้รับการตรวจสอบก่อนนำเสนอ และเราหวังว่าจะไม่เกิดความเคลือบแคลงใจและข้อสงสัยเกี่ยวกับ SSL/TLS Certificates ของเราท่ามกลางประชาคมโลกอินเทอร์เน็ตต่างๆ

ข้อความกล่าวอ้างของ Google เกี่ยวกับกระบวนการออก Certificate และขอบข่ายของการออก Certificate ที่ผิดพลาดนั้นเป็นสิ่งที่กล่าวเกินจริงและสร้างความเข้าใจผิด ตัวอย่างเช่น ข้ออ้างที่ Google กล่าวว่าเราได้ออก Certificate ผิดพลาดจำนวนกว่า 30,000 ใบนั้นไม่เป็นความจริง Google เองกล่าวว่ามีเพียง 127 รายการเท่านั้น ไม่ใช่ 30,000 รายการที่ได้รับการยืนยันผิดพลาด และไม่ก่อผลกระทบต่อผู้ใช้งานแต่อย่างใด เราได้ดำเนินการตรวจสอบและแก้ไขแล้ว และได้ยกเลิก Partner ที่เป็น Registration Authority (RA) ที่ดำเนินการผิดพลาดแล้ว เพื่อให้ความน่าเชื่อถือของ Symantec SSL/TLS Certificates มีความน่าเชื่อถือมากที่สุด เราขอประกาศว่า RA Program ของเราได้ถูกยกเลิกแล้ว ซึ่งกระบวนการนี้ยังไม่มี CA รายใดดำเนินการเช่นกัน

ในขณะที่ CA ทั้งหมดต่างต้องเคยประสบเหตุการณ์การออก Certificate ผิดวัตถุประสงค์มาบ้างแน่นอน แต่ Google เองกลับตั้งเป้ามาที่การกล่าวอ้างถึง Symantec CA เพียงรายเดียว ทั้งที่เหตุการณ์เช่นนี้เป็นเรื่องที่เกี่ยวพันกับ CA ทุกองค์กร

เราได้บริหารจัดการ CA ของเราตามมาตรฐานอุตสาหกรรม และควบคุมกระบวนการต่างๆ ของการออก SSL/TLS Certificate อย่างรัดกุมและยังคงดำเนินการให้กระบวนการดังกล่าวมีความปลอดภัยอย่างต่อเนื่อง เราได้ลงทุนกับความปลดอภัยบนอินเทอร์เน็ตเสมอมา Symantec ได้มีความมุ่งมั่นชัดเจนต่อการทำ Certificate Transparency (CT) logging สำหรับ Symantec Certificates และ CA บางรายที่มี CT Server ของตนเอง Symantec ยังเป็น ในด้าน Certification Authority Authorization (CAA) เสมอและได้ร้องขอให้ CA/Browser Forum เพื่อให้สร้างระเบียบในการเปลี่ยนแปลง CA อย่างชัดเจนเกี่ยวกับ CAA ด้วย การพัฒนาเกี่ยวกับ CA ของเราล่าสุดนั้นยังได้แก่เรื่องของการสร้างโปรแกรม Encryption Everywhere ที่ช่วยปกป้องเว็บไซต์ที่เข้ารหัสอย่างทั่วถึงอีกด้วย

ขอแจ้งให้ลูกค้าทุกท่านและผู้ใช้งานเชื่อมั่นใน Symantec SSL/TLS Certificate เสมอ Symantec จะยังคงต่อต้านการคุกคามบนโลกไซเบอร์ที่เกิดขึ้น และลดผลกระทบที่เกิดขึ้นจากการกล่าวอ้างของ Google ให้มีความกระจ่างชัดต่อไป

เรายินดีหารือกับ Google ในเรื่องนี้เพื่อหาทางแก้ไขสถานการณ์อันคลุมเครือเช่นนี้เพื่อให้เกิดประโยชน์สูงสุดแก่ลูกค้าและคู่ค้าของเรา

—-

 

Blog_Badge

Symantec Backs Its CA

By: Symantec Corp.
24 Mar 2017

REF: https://www.symantec.com/connect/blogs/symantec-backs-its-ca 

At Symantec, we are proud to be one of the world’s leading certificate authorities. We strongly object to the action Google has taken to target Symantec SSL/TLS certificates in the Chrome browser. This action was unexpected, and we believe the blog post was irresponsible. We hope it was not calculated to create uncertainty and doubt within the Internet community about our SSL/TLS certificates.

Google’s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading. For example, Google’s claim that we have mis-issued 30,000 SSL/TLS certificates is not true. In the event Google is referring to, 127 certificates – not 30,000 – were identified as mis-issued, and they resulted in no consumer harm. We have taken extensive remediation measures to correct this situation, immediately terminated the involved partner’s appointment as a registration authority (RA), and in a move to strengthen the trust of Symantec-issued SSL/TLS certificates, announced the discontinuation of our RA program. This control enhancement is an important move that other public certificate authorities (CAs) have not yet followed.

While all major CAs have experienced SSL/TLS certificate mis-issuance events, Google has singled out the Symantec Certificate Authority in its proposal even though the mis-issuance event identified in Google’s blog post involved several CAs.

We operate our CA in accordance with industry standards. We maintain extensive controls over our SSL/TLS certificate issuance processes and we work to continually strengthen our CA practices. We have substantially invested in, and remain committed to, the security of the Internet. Symantec has publicly and strongly committed to Certificate Transparency (CT) logging for Symantec certificates and is one of the few CAs that hosts its own CT servers. Symantec has also been a champion of Certification Authority Authorization (CAA), and has asked the CA/Browser Forum for a rule change to require that all certificate authorities explicitly support CAA. Our most recent contribution to the CA ecosystem includes the creation of Encryption Everywhere, our freemium program, to create widespread adoption of encrypted websites.

We want to reassure our customers and all consumers that they can continue to trust Symantec SSL/TLS certificates. Symantec will vigorously defend the safe and productive use of the Internet, including minimizing any potential disruption caused by the proposal in Google’s blog post.

We are open to discussing the matter with Google in an effort to resolve the situation in the shared interests of our joint customers and partners.

—–

หากผู้ให้บริการหรือลูกค้ารายใดมีข้อสงสัยเกี่ยวกับประเด็นดังกล่าว สามารถติดต่อได้ที่ support@netway.co.th โทร. 029122558

ข้อมูลเพิ่มเติมเกี่ยวกับ SSL ในประเทศไทย https://ssl.in.th

SSLTH

Jatturaput Nilumprachart

Extended visions into technology, business, strategies and more about internationalization. Ready to share and join a community where knowledge is a precious stone for growth and sustainability.

You may also like...