- เข้าร่วม
- 1 มิถุนายน 2011
- ข้อความ
- 16,001
- คะแนนปฏิกิริยา
- 0
- คะแนน
- 36
กูเกิลเสนอแนวทางยืนยันตัวตนเซิร์ฟเวอร์ใหม่ ใช้เฉพาะ Log ไม่ต้องส่งใบรับรองเข้ารหัสยกสาย
Body
ทีมงาน Chrome Secure Web and Networking ของกูเกิลเสนอแนวทางการออกใบรับรองแบบทนทานต่อคอมพิวเตอร์ควอนตัมโดยถือโอกาสยกเครื่องแนวทางการยืนยันตัวตนเซิร์ฟเวอร์ไปพร้อมกันเพื่อให้ลดปริมาณข้อมูลที่ต้องส่งในการเชื่อมต่อลง
ปกติแล้วหน่วยงานออกใบรับรอง (Certification Authority - CA) จะส่งใบรับรอง (root cert) หลักเข้า root store ของเบราว์เซอร์หรือระบบปฏิบัติการต่างๆ และเมื่อต้องการใช้งานจริงก็จะนำ root cert ไปเซ็นใบรับรองขั้นกลางอีกหลายชั้นก่อนจะใช้ใบรับรองขั้นกลางเหล่านั้นเซ็นใบรับรองเซิร์ฟเวอร์จริงๆ แนวทางนี้ทำให้จำเป็นต้องส่งใบรับรองทั้งหมดไปมาระหว่างเปิดการเชื่อมต่อสร้างความสิ้นเปลืองแบนวิดท์ โดยเฉพาะหากใบรับรองเพิ่มการรับรองกระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมเพิ่มเข้ามา
กูเกิลเสนอแนวทางใหม่คือ Merkle Tree Certificates (MTC) เป็นการให้ CA รับรองว่าได้บันทึกใบรับรองเข้าฐานข้อมูลแล้วเท่านั้น ทำให้ข้อมูลที่ต้องส่งไปมากับไคลเอนต์เช่นเบราว์เซอร์เล็กลงมาก แนวทางนี้คล้ายกับการบันทึกใบรับรองลง Certificate Transparency Log (CT Log) ทุกวันนี้ กระบวนการ CT Log เป็นส่วนเสริมของกระบวนการออกใบรับรองเท่านั้น แต่ MTC จะถือว่ากระบวนการบันทึกลง Log เป็นการรับรองใบรับรองในตัว
ตอนนี้กูเกิลอยู่ระหว่างการทดสอบ MTC ร่วมกับ Cloudflare โดยเป็นการเข้ารหัสซ้อนกับ X.509 เดิมเพื่อความแน่ใจว่าความปลอดภัยจะไม่ลดลง และจะเชิญให้ผู้ให้บริการ CT Log เดิมเริ่มมาทดลองให้บริการ MTC ร่วมกันภายในต้นปี 2027 ก่อนจะกำหนดเงื่อนไขการให้บริการ Chrome Quantum-resistant Root Store (CQRS) ภายในไตรมาส 3 ปี 2027
ตัวใบรับรอง X.509 เดิมนั้นสามารถเพิ่มส่วนขยายเพื่อให้รองรับกระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมได้ โดยทีมงาน Chrome ก็ยืนยันว่าจะรองรับ แต่จะไม่รองรับใน Chrome Root Store ทำให้สามารถใช้งานได้เฉพาะภายในองค์กรเท่านั้น
ที่มา - Google Security Blog
lew Thu, 05/03/2026 - 12:39
Continue reading...
Body
ทีมงาน Chrome Secure Web and Networking ของกูเกิลเสนอแนวทางการออกใบรับรองแบบทนทานต่อคอมพิวเตอร์ควอนตัมโดยถือโอกาสยกเครื่องแนวทางการยืนยันตัวตนเซิร์ฟเวอร์ไปพร้อมกันเพื่อให้ลดปริมาณข้อมูลที่ต้องส่งในการเชื่อมต่อลง
ปกติแล้วหน่วยงานออกใบรับรอง (Certification Authority - CA) จะส่งใบรับรอง (root cert) หลักเข้า root store ของเบราว์เซอร์หรือระบบปฏิบัติการต่างๆ และเมื่อต้องการใช้งานจริงก็จะนำ root cert ไปเซ็นใบรับรองขั้นกลางอีกหลายชั้นก่อนจะใช้ใบรับรองขั้นกลางเหล่านั้นเซ็นใบรับรองเซิร์ฟเวอร์จริงๆ แนวทางนี้ทำให้จำเป็นต้องส่งใบรับรองทั้งหมดไปมาระหว่างเปิดการเชื่อมต่อสร้างความสิ้นเปลืองแบนวิดท์ โดยเฉพาะหากใบรับรองเพิ่มการรับรองกระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมเพิ่มเข้ามา
กูเกิลเสนอแนวทางใหม่คือ Merkle Tree Certificates (MTC) เป็นการให้ CA รับรองว่าได้บันทึกใบรับรองเข้าฐานข้อมูลแล้วเท่านั้น ทำให้ข้อมูลที่ต้องส่งไปมากับไคลเอนต์เช่นเบราว์เซอร์เล็กลงมาก แนวทางนี้คล้ายกับการบันทึกใบรับรองลง Certificate Transparency Log (CT Log) ทุกวันนี้ กระบวนการ CT Log เป็นส่วนเสริมของกระบวนการออกใบรับรองเท่านั้น แต่ MTC จะถือว่ากระบวนการบันทึกลง Log เป็นการรับรองใบรับรองในตัว
ตอนนี้กูเกิลอยู่ระหว่างการทดสอบ MTC ร่วมกับ Cloudflare โดยเป็นการเข้ารหัสซ้อนกับ X.509 เดิมเพื่อความแน่ใจว่าความปลอดภัยจะไม่ลดลง และจะเชิญให้ผู้ให้บริการ CT Log เดิมเริ่มมาทดลองให้บริการ MTC ร่วมกันภายในต้นปี 2027 ก่อนจะกำหนดเงื่อนไขการให้บริการ Chrome Quantum-resistant Root Store (CQRS) ภายในไตรมาส 3 ปี 2027
ตัวใบรับรอง X.509 เดิมนั้นสามารถเพิ่มส่วนขยายเพื่อให้รองรับกระบวนการเข้ารหัสแบบทนทานต่อคอมพิวเตอร์ควอนตัมได้ โดยทีมงาน Chrome ก็ยืนยันว่าจะรองรับ แต่จะไม่รองรับใน Chrome Root Store ทำให้สามารถใช้งานได้เฉพาะภายในองค์กรเท่านั้น
ที่มา - Google Security Blog
lew Thu, 05/03/2026 - 12:39
Continue reading...