TrustAsia ได้ดำเนินการเพิกถอนใบรับรอง SSL/TLS จำนวน 143 รายการ หลังจากที่ตรวจพบช่องโหว่ร้ายแรงในบริการ LiteSSL ACME ของตน ช่องโหว่นี้อนุญาตให้มีการนำข้อมูลการตรวจสอบโดเมน (domain validation data) กลับมาใช้ซ้ำอย่างไม่ถูกต้องในบัญชี ACME ที่แตกต่างกัน ซึ่งเป็นการละเมิดข้อกำหนดพื้นฐานของ CA/Browser Forum incident ดังกล่าวถูกรายงานเมื่อวันที่ 21 มกราคม 2026 และส่งผลกระทบต่อใบรับรองที่ออกหลังวันที่ 29 ธันวาคม 2025 โดย TrustAsia ได้ระงับบริการออกใบรับรองทันที แก้ไขโค้ด และเพิกถอนใบรับรองที่ได้รับผลกระทบทั้งหมด พร้อมทั้งบังคับให้ลูกค้าต้องทำการตรวจสอบซ้ำเพื่อความปลอดภัยของระบบ
Severity: สูง
System Impact:
- ใบรับรอง SSL/TLS
- บริการ LiteSSL ACME
- โปรโตคอล ACME
Technical Attack Steps:
- ตรวจพบช่องโหว่ในบริการ LiteSSL ACME ของ TrustAsia
- ช่องโหว่เกิดจากข้อผิดพลาดเชิงตรรกะในการจัดการ Authorization object
- ข้อมูล Authorization ถูกนำกลับมาใช้ซ้ำระหว่างบัญชี ACME ที่แตกต่างกัน
- การนำข้อมูลมาใช้ซ้ำนี้ทำให้สามารถเลี่ยงข้อกำหนดในการตรวจสอบโดเมนที่ไม่ซ้ำกันต่อบริบทของแต่ละบัญชี
- การกระทำดังกล่าวละเมิดข้อกำหนดพื้นฐานของ CA/Browser Forum (TLS BR Version 2.2.2), มาตรา 3.2.2.4 ที่ระบุให้ Certificate Authority ต้องตรวจสอบ Fully-Qualified Domain Name (FQDN) แต่ละรายการก่อนออกใบรับรอง
Recommendations:
Short Term:
- TrustAsia ได้ดำเนินการเพิกถอนใบรับรอง 143 รายการที่ได้รับผลกระทบทั้งหมดแล้ว
- TrustAsia ได้รีเซ็ตสถานะ Authorization ทั้งหมดในสภาพแวดล้อมการผลิตจาก VALID เป็น REVOKED ซึ่งบังคับให้ลูกค้าต้องทำการตรวจสอบซ้ำ
- ลูกค้าที่ได้รับผลกระทบควรตรวจสอบและทำการออกใบรับรองใหม่ หรือทำการตรวจสอบโดเมนซ้ำผ่านบริการ ACME ที่ได้รับการแก้ไขแล้ว
Long Term:
- ผู้ให้บริการออกใบรับรอง (CAs) ควรทบทวนและปรับปรุงกระบวนการตรวจสอบและออกใบรับรองอย่างสม่ำเสมอเพื่อป้องกันการนำข้อมูลการตรวจสอบกลับมาใช้ซ้ำโดยมิชอบ
- ลูกค้าควรตรวจสอบบันทึกความโปร่งใสของ CA (CA transparency logs) และใช้แนวปฏิบัติที่ดีที่สุดในการจัดการใบรับรองเพื่อความปลอดภัยที่ยั่งยืน
Source: https://cybersecuritynews.com/trustasia-revoked-143-certificates/
Share this content: