SSL协议:我们到底应该相信谁?

日期: 2011-08-25 来源:TechTarget中国

  正如今年早些时候可信赖的第三方Comodo遭到安全攻击显示的那样,第三方也是不可靠的。现在,研究人员正在为SSL开发新的不易被攻破的信任模式。

  卡耐基梅隆大学的一个团队提出一个名为“Perspectives”(视角)。专门研究隐私、匿名和计算机安全的实验室研究员Moxie Marlinspike提出了名为“Convergence”(融合)。

  他们提出的方案有些类似,把SSL保护的web服务身份识别从浏览器和凭证认证中心转移到一个称作公证人的新实体中。

  过去,当一个浏览器要与一台服务器建立一个SSL进程,它要求那台服务器拥有SSL证书。浏览器通过检查那台服务器是否拥有浏览器信任的最高凭证管理中心签署的证书来验证那个证书的身份。实际上浏览器也许直接依靠最高凭证管理中心担保的其它凭证认证中心。

  这就产生了一个从最高凭证管理中心到他们信任认证中心的信任链。

  如果这个信任链中的任何一个环节遭到破坏,攻击者就能为网站获取假冒的证书。这些非法的证书用于欺骗浏览器信任它们,为中间人攻击建立浏览器至服务器间的通讯。

  上述就是Comodo公司被攻破的情况。在那次攻击中,它的一个可信赖的合作伙伴发布了9个电话证书。

  采用“Perspectives”和“Convergence”方案,而不是依靠与浏览器一起发布的凭证认证中心和最高凭证管理中心,信任放在一个公证人身上,公证人周期性检查和记录Web服务器展示什么证书的服务器。

  当一个浏览器收到一台服务器发来的证书时,它不要求证实这个证书是与一个最高凭证管理中心有关联。相反,它询问一个公证人这个证书与这台服务器过去一段时间定期发布的证书是否匹配。如果匹配,那就表明它是那个网站的合法证书。

  卡耐基梅隆大学计算机科学系副教授、”Perspectives”项目负责人大卫·安德逊(David Andersen)称,这种信任模式不依赖于小的凭证认证中心。他说,不要把鸡蛋都放在一个篮子里。我们管理所有的“Perspectives”公证人。因此,你最终会信任我们。

  安德逊希望在全面部署的架构中,谷歌、微软、雅虎和Verizon等大公司以及小公司和个人会建立公证人。公证人可以共享他们收集的数据。只要他们认同,那个网站就是好的。你可以信任这个累计的结果。用户可得到一个证书身份的统计和概率性验证。

  Marlinspike称,这个架构为最终用户提供了信任的灵活性,就是在任何时候把他最初对一个网站的信任转播给其他人。根据当前的系统,这个预先确定的信任锁定在浏览器和凭证认证中心,不允许撤销。

  Marlinspike的“Convergence”架构创建一个公证人转播,不让任何一个公证人知道谁在要求验证一个指定证书的身份以及这个证书将发给什么网站。

  这个转播功能的隐私水平很好。公证人B只能看到公证人A,因此,它看不到什么客户在询问什么网站。同样,公证人A只能看到客户提出请求,而看不到他在询问什么网站。

  安德逊称,目前,“Perspectives”只为3万用户提供服务。大多数用户在互联网上进行SSL证书检查。要取代当前的SSL身份识别系统需要一个拥有数百台公证人服务器的全球网络连接到DNS服务器网络。但是,它们只能执行简单的任务,并且服务器数量不够。

  Axway公司CTO和SSL的创建者之一塔希尔·盖莫尔(Taher Elgamal)承认,身份识别是SSL应用中的一个弱点。在创建SSL的时候,身份识别并不是主要的重点。但是,公证人系统是独家代理可信任的第三方凭证认证中心的一个改进方法。

  盖莫尔称,信任要做得好,有些事情需要改变。我需要建立一个社区,说这些是不是可以信赖。因为公证人模式需要全球部署基础设施,实际执行是一个重大的项目。这个项目的规模非常大,是16年后才能完成的。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 专家探讨安全VPN部署的必备因素

    不同的供应商产品都提供了不同的特定功能。所有VPN产品都允许对使用的加密密码套件进行配置。

  • 黑客攻破SSL加密数据的6种方法

    最近几年出现了许多专门攻击SSL的攻击。虽然这个技术实际上还是安全的,但是攻击者总一直在寻找漏洞绕过安全协议和标准。

  • SSL加速三问三答

    为什么需要为HTTPS和其他加密流量使用加速工具?WAN优化设备如何能够加速SSL流量?部署SSL加速需要考虑哪些其他因素?

  • 淡季不淡 侠诺VPN紧抓企业心

    侠诺SSL VPN目前在各地的销量仍旧稳步增长,正是优质的产品与品牌,才让用户的消费行为变成了应变性消费,让需求无处不在,也让产品销售淡季不淡。