SHA-1, Secure Hash Algorithm 1, เป็นการเข้ารหัสที่นิยมใช้ ซึ่งถูกออกแบบมาในปี 1995 โดย NSA นับเป็นการใช้งานมานานเกือบ 20 ปี นักวิจัย จาก Google และ CWI ได้ประกาศออกมาว่า สามารถดำเนินการความเสียหายของข้อมูล โดยเทคนิคของ Collision Attack นับว่าเป็น Algorithm ที่มีการใช้กันมาอย่างยาวนาน กว่าจะมีข่าวออกมาในปลายปี 2559 และต้นปี 2560 ถึงเวลาแล้วที่เราทำการอำลา SHA1 ที่เราใช้มานานจนเป็นมาตรฐานในปัจจุบัน
ข้อแนะนำ เพื่อความปลอดภัยของเวปไซด์ ให้ดำเนินกการเปลี่ยน SSL Certificate ที่ใช้ SHA-1 ไม่ว่าจะเป็นเวปไซด์ เมล์ ฯลฯ ส่วนของ Microsoft ได้ประกาศ ยกเลิกการ support SHA-1 มาสักพักใหญ่แล้ว จะหลงเหลือก็แต่เครื่องที่ใช้ โปรแกรมที่ End of Life เท่านั้น
วิธีการตรวจสอบ วิธีการตรวจสอบที่ง่าย ก็คือ ทดสอบ SSL Certificate โดยใช้บริการของ https://www.ssllabs.com/ssltest/ ซึ่งจะดำเนินการตรวจสอบ certificate บนเวปไซด์ว่า
มีเครื่องมืออีกเวปนึง ที่อยากจะแนะนำให้รู้จัก คือเวปของ https://shaaaaaaaaaaaaa.com/ ถึงแม้นว่า ตัวอักษร a จะมีมากสักหน่อย แต่ถ้าได้ลองใช้แล้วจะรู้สึกว่าไม่ผิดหวัง วิธีการใช้ก็ไม่ยาก แค่ใส่ชื่อโดเมน หรือเวปไซด์ ลงไป ระบบจะดำเนินการทดสอบและแจ้งว่า เวปไซด์ยังคงใช้ SHA-1 อยู่หรือเปล่า ซึ่งน่าจะง่ายกว่าใช้เครื่องมือเต็มของ www.ssllabs.com
ถ้ายังคงใช้งาน SHA-1 ถึงเวลาแล้วที่ต้องอำลา และ upgrade ขึ้นมาเป็นตัวอื่น แต่ถ้าหากว่ายังไม่เคยใช้เลย ก็คงต้องหา certificate ตัวใหม่ที่ไม่ใช่ SHA-1 มาใช้งานนะครับ
Recent Comments