Ballot SC081v3: กำหนดตารางลดระยะเวลาความถูกต้องและการนำข้อมูลกลับมาใช้ — ก้าวสำคัญเพื่อความปลอดภัยของระบบใบรับรองดิจิทัล | DATATAN.NET
  1. หน้าแรก
  2. บล็อก
  3. DATATAN.NET บล็อก
  4. Ballot SC081v3: กำหนดตารางลดระยะเวลาความถูกต้องและการนำข้อมูลกลับมาใช้ — ก้าวสำคัญเพื่อความปลอดภัยของระบบใบรับรองดิจิทัล

Ballot SC081v3: กำหนดตารางลดระยะเวลาความถูกต้องและการนำข้อมูลกลับมาใช้ — ก้าวสำคัญเพื่อความปลอดภัยของระบบใบรับรองดิจิทัล

         เมื่อวันที่ 11 เมษายน 2025 สมาคม CA/Browser Forum ซึ่งเป็นองค์กรที่กำหนดมาตรฐานระบบใบรับรองดิจิทัล (Public Key Infrastructure – PKI) ได้ประกาศผลการลงมติ Ballot SC081v3 ที่เสนอให้มีการ ปรับลดระยะเวลาความถูกต้องของใบรับรอง TLS/SSL และระยะเวลาการนำข้อมูลเพื่อการตรวจสอบกลับมาใช้ใหม่ (data reuse period) อย่างเป็นระบบในระยะหลายปีข้างหน้า ซึ่งถือเป็นหนึ่งในแนวทางสำคัญของการพัฒนาระบบความปลอดภัยบนอินเทอร์เน็ตในวงกว้าง

การลดระยะเวลาที่สำคัญ

ตามเนื้อหาของ Ballot SC081v3 มีข้อเสนอหลักสองส่วนที่น่าสนใจดังนี้:

  1. ลดระยะเวลาการนำข้อมูลตรวจสอบกลับมาใช้ใหม่ (Data Reuse Periods)
    สำหรับข้อมูลตรวจสอบทั่วไป (non-SAN) จะลดจาก 825 วัน เหลือ 398 วัน
    สำหรับข้อมูลตรวจสอบแบบ SAN (Subject Alternative Names) จะลดจาก 398 วัน เหลือ 10 วัน
    การเปลี่ยนแปลงนี้ส่งผลให้ CA ต้องตรวจสอบหรือยืนยันข้อมูลที่เกี่ยวข้องกับโดเมนและเซิร์ฟเวอร์บ่อยขึ้น เพื่อให้แน่ใจว่าข้อมูลที่ใช้ในการออกใบรับรองยังเป็นปัจจุบันอยู่จริง

  2. ลดระยะเวลาความถูกต้องสูงสุดของใบรับรองสาธารณะ (Certificate Validity Period)
    ตั้งแต่ ปัจจุบัน มาก่อนจะค่อย ๆ ลด
    คาดว่าจะเริ่มลดตั้งแต่ มีนาคม 2026
    และทยอยลดลงจนถึงระดับ 47 วัน ภายใน มีนาคม 2029
    ในช่วงแรกของการปรับ องค์กรและผู้ให้บริการใบรับรองจะต้องออกแบบกระบวนการจัดการใบรับรองให้สอดคล้องกับรอบอายุที่สั้นลงอย่างมาก

ทำไมต้องลดเวลาเหล่านี้?

ระบบใบรับรอง TLS/SSL เป็นหัวใจสำคัญของความปลอดภัยบนอินเทอร์เน็ต เพราะเป็นตัวยืนยันตัวตนและเข้ารหัสข้อมูลระหว่างเว็บไซต์กับผู้ใช้งาน การลด อายุของใบรับรอง และ ระยะเวลานำข้อมูลกลับมาใช้ มีประโยชน์ดังนี้:

  • ลดความเสี่ยงจากข้อมูลผิดพลาดหรือไม่อัปเดต
    เมื่อเวลาผ่านไป ข้อมูลเกี่ยวกับโดเมนหรือเจ้าของอาจเปลี่ยนไป ดังนั้นใบรับรองที่มีอายุยาวนานอาจไม่สะท้อนสถานะจริงของระบบอีกต่อไป
  • ช่วยลดผลกระทบจากการออกใบรับรองผิดพลาด
    เมื่อข้อมูลตรวจสอบต้องทำบ่อยขึ้น โอกาสที่ข้อมูลผิดพลาดจะถูกค้นพบและแก้ไขก่อนส่งผลกระทบจริงก็เพิ่มขึ้น
  • สนับสนุนการใช้ระบบอัตโนมัติและ DevOps
    ระยะเวลาที่สั้นลงกระตุ้นให้ธุรกิจและผู้ให้บริการนำระบบจัดการใบรับรองแบบอัตโนมัติมาใช้ เพื่อให้สามารถหมุนเวียนใบรับรองได้อย่างรวดเร็วและปลอดภัย
  • เสริมความปลอดภัยในระยะยาว
    ด้วยรอบอายุที่สั้นลง ความเสี่ยงจากใบรับรองที่อาจเสียหายหรือถูกโจมตีลดลง เพราะอายุการใช้งานที่สั้นลงช่วยให้ระบบสามารถตอบสนองต่อภัยคุกคามใหม่ ๆ ได้เร็วกว่าเดิม

การสนับสนุนจากอุตสาหกรรม

ผลการลงมติแสดงให้เห็นว่ามีการ สนับสนุนอย่างแข็งแกร่งจากทั้งผู้ให้บริการใบรับรองและผู้บริโภคใบรับรอง (เช่น เบราว์เซอร์และระบบปฏิบัติการ) โดยมีสมาชิกสำคัญอย่าง:

ผู้ให้บริการใบรับรอง (Certificate Issuers) เช่น Amazon, DigiCert, GlobalSign, GoDaddy, Sectigo และอื่น ๆ ที่โหวตเห็นชอบกว่า 25 ราย ไม่มีโหวตคัดค้าน
ผู้บริโภคใบรับรอง (Certificate Consumers) ได้แก่ Apple, Google, Microsoft, Mozilla ที่โหวตเห็นชอบทั้งหมด

กำหนดการโดยสรุป

| ปี              | Maximum Validity     | Data Reuse Period (ตัวอย่าง) |
| --------------| ------------------------- | -------------------------------- |
| 2025–2026 | ~398 วัน                 | Non-SAN: 825 → 398 วัน     |
| 2027         | ย่อเหลือ ~100–200 วัน | SAN: เหลือ ~10 วัน              |
| 2029         | ถึงระดับ ~47 วัน | –     |                                    |

หมายเหตุ: ตัวเลขเหล่านี้เป็นทิศทางการปรับที่ได้รับความเห็นชอบและจะทยอยนำไปใช้จริงตามระยะเวลาที่กำหนด

สรุป
Ballot SC081v3 เป็นหนึ่งในมาตรการเชิงรุกของวงการ Web PKI ที่มุ่งยกระดับความปลอดภัยของระบบใบรับรองดิจิทัล โดยลดช่วงเวลาที่ใบรับรองและข้อมูลตรวจสอบถูกใช้งานเพื่อให้สอดคล้องกับความเปลี่ยนแปลงของระบบโลกออนไลน์ เร็วขึ้น ลดความเสี่ยง และสนับสนุนการจัดการด้วยระบบอัตโนมัติ ซึ่งจะมีผลอย่างชัดเจนตั้งแต่ปี 2026 เป็นต้นไป

แหล่งอ้างอิง: https://cabforum.org/2025/04/11/ballot-sc081v3-introduce-schedule-of-reducing-validity-and-data-reuse-periods/

Thai