ลองคิดว่า ถ้าคุณกำลังเข้าใช้งานเว็บไซต์ที่หน้าตาเหมือน Gmail ทุกอย่าง แต่จริง ๆ แล้วเบื้องหลังเว็บไซต์นี้ คือถูกปลอมแปลงขึ้นมา แต่ดันมีใบรับรอง SSL ถูกต้องจาก SSL.com ซะอย่างนั้น แบบนี้ต่อให้เป็นผู้ใช้งานที่ระวังก็อาจถูกกลลวงมิจฉาชีพได้ง่าย ๆ
ล่าสุด มีข่าวช็อกวงการเว็บ เมื่อพบว่า SSL.com หนึ่งในผู้ให้บริการใบรับรอง SSL รายใหญ่ของโลก กลับมีบั๊กบนระบบ ที่อาจเปิดทางให้ “แฮกเกอร์” ออกใบรับรอง SSL ให้โดเมนใดก็ได้ แม้ไม่ใช่เจ้าของก็ตาม สร้างความกังวลให้กับผู้ใช้อย่างมาก
เพราะอะไรบั๊กนี้ถึงน่ากังวล และทำลายความเชื่อมั่นขององค์กรระดับโลก ?
เรื่องนี้เริ่มต้นจาก ผู้ใช้งานรายหนึ่ง ที่ใช้ชื่อบัญชีว่า “Sec Reporter” บนแพลตฟอร์ม Bugzilla ของ Mozilla ได้พบช่องโหว่อันตรายในระบบของ SSL.com จากการใช้กระบวนการยืนยันตัวตนเจ้าของโดเมน ผ่านวิธีที่เรียกว่า “email to DNS TXT” ซึ่งปกติแล้วเจ้าของโดเมนจะประกาศอีเมลของตนเองไว้ใน DNS (ในรูปแบบของ TXT record) เพื่อให้ระบบ SSL ตรวจสอบได้ว่าอีเมลนั้นเป็นของเจ้าของโดเมนจริง ๆ
แต่ความผิดพลาดครั้งนี้คือ SSL.com กลับออกใบรับรองของโดเมนในอีเมลแทน แทนที่จะเป็นโดเมนที่ประกาศอีเมลไว้ โดยยกตัวอย่าง คือ หากมีการประกาศอีเมล [email protected] ใน DNS ของเว็บไซต์หนึ่ง แต่ทาง SSL.com กลับออกใบรับรองให้ gmail.com แทน ทั้งที่ gmail.com ไม่ได้ร้องขออะไรเลย
หมายความว่า ใครก็ตามที่มีอีเมลฟรี เช่น Gmail หรือ Yahoo ก็อาจออกใบรับรองปลอมในนามของโดเมนเหล่านั้นได้ และอาจถูกนำไปใช้ในการแฮก หรือหลอกลวงผู้ใช้งาน โดยเฉพาะการดักฟังการสื่อสาร หรือการปลอมเว็บไซต์เพื่อขโมยข้อมูลผู้ใช้นั่นเอง นอกจากนี้ เจ้าของเว็บไซต์ก็ควรระวังอยู่เสมอ เช่น เมื่อใบรับรอง SSL หมดอายุ ควรรีบต่อทันที เพื่อปกป้องข้อมูลของผู้ใช้งานให้ปลอดภัย
โดยหลังช่องโหว่นี้ถูกเปิดเผยทาง SSL.com ได้ดำเนินการปิดระบบยืนยันแบบ email to DNS TXT ทันที และไม่มีการประกาศแจ้งรายละเอียดใด ๆ เพิ่มเติม
แม้ SSL.com จะแก้ไขปัญหาได้อย่างรวดเร็ว แต่เรื่องนี้สะท้อนว่า แม้ระบบที่ถูกออกแบบมาเพื่อ “รักษาความปลอดภัย” เอง ก็ยังมีจุดอ่อนที่ไม่ควรมองข้าม การเข้าใจระบบเบื้องหลังแม้เพียงเล็กน้อย และไม่เชื่ออะไรง่าย ๆ อาจช่วยลดความเสียหายจากภัยทางไซเบอร์ืได้ของผู้ใช้ได้มากขึ้น
ล่าสุด มีข่าวช็อกวงการเว็บ เมื่อพบว่า SSL.com หนึ่งในผู้ให้บริการใบรับรอง SSL รายใหญ่ของโลก กลับมีบั๊กบนระบบ ที่อาจเปิดทางให้ “แฮกเกอร์” ออกใบรับรอง SSL ให้โดเมนใดก็ได้ แม้ไม่ใช่เจ้าของก็ตาม สร้างความกังวลให้กับผู้ใช้อย่างมาก
เพราะอะไรบั๊กนี้ถึงน่ากังวล และทำลายความเชื่อมั่นขององค์กรระดับโลก ?
เรื่องนี้เริ่มต้นจาก ผู้ใช้งานรายหนึ่ง ที่ใช้ชื่อบัญชีว่า “Sec Reporter” บนแพลตฟอร์ม Bugzilla ของ Mozilla ได้พบช่องโหว่อันตรายในระบบของ SSL.com จากการใช้กระบวนการยืนยันตัวตนเจ้าของโดเมน ผ่านวิธีที่เรียกว่า “email to DNS TXT” ซึ่งปกติแล้วเจ้าของโดเมนจะประกาศอีเมลของตนเองไว้ใน DNS (ในรูปแบบของ TXT record) เพื่อให้ระบบ SSL ตรวจสอบได้ว่าอีเมลนั้นเป็นของเจ้าของโดเมนจริง ๆ
แต่ความผิดพลาดครั้งนี้คือ SSL.com กลับออกใบรับรองของโดเมนในอีเมลแทน แทนที่จะเป็นโดเมนที่ประกาศอีเมลไว้ โดยยกตัวอย่าง คือ หากมีการประกาศอีเมล [email protected] ใน DNS ของเว็บไซต์หนึ่ง แต่ทาง SSL.com กลับออกใบรับรองให้ gmail.com แทน ทั้งที่ gmail.com ไม่ได้ร้องขออะไรเลย
หมายความว่า ใครก็ตามที่มีอีเมลฟรี เช่น Gmail หรือ Yahoo ก็อาจออกใบรับรองปลอมในนามของโดเมนเหล่านั้นได้ และอาจถูกนำไปใช้ในการแฮก หรือหลอกลวงผู้ใช้งาน โดยเฉพาะการดักฟังการสื่อสาร หรือการปลอมเว็บไซต์เพื่อขโมยข้อมูลผู้ใช้นั่นเอง นอกจากนี้ เจ้าของเว็บไซต์ก็ควรระวังอยู่เสมอ เช่น เมื่อใบรับรอง SSL หมดอายุ ควรรีบต่อทันที เพื่อปกป้องข้อมูลของผู้ใช้งานให้ปลอดภัย
โดยหลังช่องโหว่นี้ถูกเปิดเผยทาง SSL.com ได้ดำเนินการปิดระบบยืนยันแบบ email to DNS TXT ทันที และไม่มีการประกาศแจ้งรายละเอียดใด ๆ เพิ่มเติม
แม้ SSL.com จะแก้ไขปัญหาได้อย่างรวดเร็ว แต่เรื่องนี้สะท้อนว่า แม้ระบบที่ถูกออกแบบมาเพื่อ “รักษาความปลอดภัย” เอง ก็ยังมีจุดอ่อนที่ไม่ควรมองข้าม การเข้าใจระบบเบื้องหลังแม้เพียงเล็กน้อย และไม่เชื่ออะไรง่าย ๆ อาจช่วยลดความเสียหายจากภัยทางไซเบอร์ืได้ของผู้ใช้ได้มากขึ้น
ข่าวที่เกี่ยวข้อง
ต่างประเทศธุรกิจไอที
Magnific มาแล้ว! (การรีแบรนด์ครั้งใหญ่จาก Freepik) พร้อมแนะนำฟีเจอร์ที่ สาย AI ห้ามพลาด
Freepik เปลี่ยนชื่อเป็น Magnific อย่างเป็นทางการในเดือนเมษายน 2569 พร้อมเปิดตัวเป็น AI creative platform เต็มรูปแบบ ครอบคลุมทั้งภาพ วิดีโอ เสียง และ 3D มาดูว่ามีฟีเจอร์อะไรใหม่บ้าง และทำไมถึงต้องเปลี่ยนชื่อ
18 ชั่วโมงที่แล้วต่างประเทศธุรกิจไอที
Magnific มาแล้ว! (การรีแบรนด์ครั้งใหญ่จาก Freepik) พร้อมแนะนำฟีเจอร์ที่ สาย AI ห้ามพลาด
18 ชั่วโมงที่แล้ว
ต่างประเทศธุรกิจไอที
รู้จัก NotebookLM สอนใช้ AI สรุปข้อมูล พร้อมเคล็ดลับที่ควรรู้! [อัปเดต 2026]
5 วันที่แล้ว
ต่างประเทศธุรกิจไอที
ทำไม Elon Musk ถึงฟ้อง OpenAI อุดมการณ์กินไม่ได้ แต่เงินแสนล้านมันหอมหวาน?
5 วันที่แล้ว