พบบั๊กอันตรายบน SSL.com หลังออกใบรับรองเอง ไม่ผ่านเจ้าของโดเมน

ลองคิดว่า ถ้าคุณกำลังเข้าใช้งานเว็บไซต์ที่หน้าตาเหมือน Gmail ทุกอย่าง แต่จริง ๆ แล้วเบื้องหลังเว็บไซต์นี้ คือถูกปลอมแปลงขึ้นมา แต่ดันมีใบรับรอง SSL ถูกต้องจาก SSL.com ซะอย่างนั้น แบบนี้ต่อให้เป็นผู้ใช้งานที่ระวังก็อาจถูกกลลวงมิจฉาชีพได้ง่าย ๆ

ล่าสุด มีข่าวช็อกวงการเว็บ เมื่อพบว่า SSL.com หนึ่งในผู้ให้บริการใบรับรอง SSL รายใหญ่ของโลก กลับมีบั๊กบนระบบ ที่อาจเปิดทางให้ “แฮกเกอร์” ออกใบรับรอง SSL ให้โดเมนใดก็ได้ แม้ไม่ใช่เจ้าของก็ตาม สร้างความกังวลให้กับผู้ใช้อย่างมาก

เพราะอะไรบั๊กนี้ถึงน่ากังวล และทำลายความเชื่อมั่นขององค์กรระดับโลก ?

เรื่องนี้เริ่มต้นจาก ผู้ใช้งานรายหนึ่ง ที่ใช้ชื่อบัญชีว่า “Sec Reporter” บนแพลตฟอร์ม Bugzilla ของ Mozilla ได้พบช่องโหว่อันตรายในระบบของ SSL.com จากการใช้กระบวนการยืนยันตัวตนเจ้าของโดเมน ผ่านวิธีที่เรียกว่า “email to DNS TXT” ซึ่งปกติแล้วเจ้าของโดเมนจะประกาศอีเมลของตนเองไว้ใน DNS (ในรูปแบบของ TXT record) เพื่อให้ระบบ SSL ตรวจสอบได้ว่าอีเมลนั้นเป็นของเจ้าของโดเมนจริง ๆ

แต่ความผิดพลาดครั้งนี้คือ SSL.com กลับออกใบรับรองของโดเมนในอีเมลแทน แทนที่จะเป็นโดเมนที่ประกาศอีเมลไว้ โดยยกตัวอย่าง คือ หากมีการประกาศอีเมล [email protected] ใน DNS ของเว็บไซต์หนึ่ง แต่ทาง SSL.com กลับออกใบรับรองให้ gmail.com แทน ทั้งที่ gmail.com ไม่ได้ร้องขออะไรเลย

หมายความว่า ใครก็ตามที่มีอีเมลฟรี เช่น Gmail หรือ Yahoo ก็อาจออกใบรับรองปลอมในนามของโดเมนเหล่านั้นได้ และอาจถูกนำไปใช้ในการแฮก หรือหลอกลวงผู้ใช้งาน โดยเฉพาะการดักฟังการสื่อสาร หรือการปลอมเว็บไซต์เพื่อขโมยข้อมูลผู้ใช้นั่นเอง นอกจากนี้ เจ้าของเว็บไซต์ก็ควรระวังอยู่เสมอ เช่น เมื่อใบรับรอง SSL หมดอายุ ควรรีบต่อทันที เพื่อปกป้องข้อมูลของผู้ใช้งานให้ปลอดภัย

โดยหลังช่องโหว่นี้ถูกเปิดเผยทาง SSL.com ได้ดำเนินการปิดระบบยืนยันแบบ email to DNS TXT ทันที และไม่มีการประกาศแจ้งรายละเอียดใด ๆ เพิ่มเติม

แม้ SSL.com จะแก้ไขปัญหาได้อย่างรวดเร็ว แต่เรื่องนี้สะท้อนว่า แม้ระบบที่ถูกออกแบบมาเพื่อ “รักษาความปลอดภัย” เอง ก็ยังมีจุดอ่อนที่ไม่ควรมองข้าม การเข้าใจระบบเบื้องหลังแม้เพียงเล็กน้อย และไม่เชื่ออะไรง่าย ๆ อาจช่วยลดความเสียหายจากภัยทางไซเบอร์ืได้ของผู้ใช้ได้มากขึ้น