小说排行榜完结版,大主宰之灵路天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

開放證書授權(quán)系統(tǒng)是否值得一試?

互聯(lián)網(wǎng)安全研究小組(The Internet Security Research Group)正試圖推出“免費(fèi)、自動(dòng)和開放的證書授權(quán)系統(tǒng)”，被稱為Let’s Encrypt，并且，目前可用的證書都處于有限的測試版。那么，它的工作原理是什么，它是否與付費(fèi)證書頒發(fā)機(jī)構(gòu)同樣安全?使用時(shí)應(yīng)該注意哪些事項(xiàng)呢?

創(chuàng)新互聯(lián)專注于古浪企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站開發(fā),成都商城網(wǎng)站開發(fā)。古浪網(wǎng)站建設(shè)公司,為古浪等地區(qū)提供建站服務(wù)。全流程按需定制，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

Michael Cobb：數(shù)字證書是互聯(lián)網(wǎng)安全通信的核心，讓用戶或設(shè)備可以驗(yàn)證他們正在與誰通信，并確保這些通信的安全性。很多企業(yè)網(wǎng)站在使用數(shù)字證書，但對(duì)于規(guī)模較小的網(wǎng)站，通常很難安裝和更新證書，并且往往不便宜。為了解決這個(gè)問題以及讓HTTPS更加普及，新的證書頒發(fā)系統(tǒng)Let’s Encrypt將開始通過自動(dòng)的簡單的過程對(duì)任何擁有Web域名的人發(fā)放免費(fèi)的X.509證書。

Let’s Encrypt是互聯(lián)網(wǎng)安全研究小組(ISRG)提供的開放的證書授權(quán)服務(wù)(CA)服務(wù)。ISRG是由Mozilla基金會(huì)、思科、Akamai、電子前沿基金會(huì)和IdenTrust等支持的公益組織;Linux基金會(huì)則提供人員配備和管理工作。

雖然大多數(shù)CA會(huì)提供指導(dǎo)來幫助大家安裝證書，但對(duì)于經(jīng)驗(yàn)不足的管理員而言，這仍然是復(fù)雜和緊張的工作。而Let’s Encrypt證書管理客戶端運(yùn)行在管理員自己的Web服務(wù)器，并會(huì)自動(dòng)化證書頒發(fā)和安裝過程，讓沒有相關(guān)技能、預(yù)算或時(shí)間來安裝Web服務(wù)器證書的人可以配置其服務(wù)器以使用HTTPS，并自動(dòng)化管理證書更新。其中用于自動(dòng)化發(fā)布的協(xié)議被稱為Automated Certificate Management Environment，這仍然是正在進(jìn)展中的工作，規(guī)格草案已經(jīng)提供在GitHub，其中一個(gè)版本已經(jīng)發(fā)布為Internet Draft Link。

Let’s Encrypt使用兩步驟過程來在Web服務(wù)器設(shè)置證書。首先，代理向CA證明Web服務(wù)器控制域名，Let’s Encrypt CA會(huì)進(jìn)行驗(yàn)證，例如配置DNS記錄或HTTP資源，而該代理必須使用其私鑰簽名來證明它控制密鑰對(duì)。在CA驗(yàn)證成功后，由公鑰確定的該代理會(huì)被授權(quán)為為該域名執(zhí)行證書管理任務(wù)。只要代理有授權(quán)密鑰對(duì)，請(qǐng)求、更新和撤銷證書只需要使用授權(quán)密鑰要對(duì)簽名證書管理信息。例如，若想要撤銷證書，代理需要使用授權(quán)密鑰對(duì)簽署撤銷請(qǐng)求，在CA驗(yàn)證該請(qǐng)求后，它會(huì)發(fā)布撤銷信息到CRL和OCSP正常撤銷渠道。

Let's Encrypt會(huì)發(fā)布DV(域名驗(yàn)證)證書，這意味著該域名的唯一所有權(quán)得以驗(yàn)證。擴(kuò)展驗(yàn)證(EV)SSL證書(激活現(xiàn)代瀏覽器中的掛鎖和綠色地址欄)要求CA執(zhí)行額外的檢查來確定合法身份，以及該網(wǎng)站所有者的運(yùn)作和物理存在。正因?yàn)榇耍珽V證書比DV證書更昂貴，高達(dá)1000美元以上。對(duì)于大型企業(yè)，這并不是巨大的數(shù)額，但這個(gè)成本會(huì)不斷增加，因?yàn)槠髽I(yè)可能需要數(shù)百個(gè)證書。

對(duì)數(shù)字證書的信任需要CA具有強(qiáng)大的安全的基礎(chǔ)設(shè)施和證書頒發(fā)程序，可最大限度地減少欺詐證書頒發(fā)的可能性?？杀氖?，有些CA在這兩方面都無法滿足。例如，Comodo和DigiNotar等CA遭受攻擊和破壞，讓攻擊者可以數(shù)字模擬Facebook、Twitter、Skype、Google和CIA等網(wǎng)站。還有些CA則有著糟糕的做法;ANSSI(發(fā)過網(wǎng)絡(luò)安全機(jī)構(gòu))的中間CA證書被用來生成假證書以執(zhí)行中間人攻擊，同時(shí)，中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心旗下的中間證書頒發(fā)機(jī)構(gòu)MCS Holding為很多谷歌域名頒發(fā)未經(jīng)授權(quán)數(shù)字證書。

基于這種狀況，在不需要EV證書的情況下，Let’s Encrypt應(yīng)該是企業(yè)考慮使用的證書頒發(fā)服務(wù)的不錯(cuò)選擇。簡單的證書管理是其一大優(yōu)勢，這可以讓企業(yè)更頻繁地轉(zhuǎn)換證書。有些管理員可能不想使用非營利組織的證書，托管服務(wù)提供商可能不愿意將非營利證書整合到其針對(duì)小型企業(yè)的產(chǎn)品。然而，免費(fèi)的CA肯定會(huì)受到歡迎，特別是如果它可以避免其他CA存在的錯(cuò)誤頒發(fā)證書等問題，并且，DV證書比沒有證書要好--在身份驗(yàn)證過程是最低要求的情況下。

請(qǐng)注意：CA需要申請(qǐng)將其根證書安裝在主流Web瀏覽器中，這個(gè)過程可能需要長達(dá)三年時(shí)間。Let’s Encrypt證書將被所有主流瀏覽器接受，在申請(qǐng)過程完成之前，ISRG的根級(jí)證書將由IdenTrust交叉簽名，IdenTrust是智能手機(jī)政府ID卡供應(yīng)商HID Global擁有的CA。

所有ISRG密鑰目前都是RSA密鑰，但在今年晚些時(shí)候?qū)?huì)生成基于Elliptic Curve Digital Signature Algorithm密鑰。Let’s Encrypt預(yù)計(jì)將會(huì)在12月3日進(jìn)入公測階段。

當(dāng)前標(biāo)題：開放證書授權(quán)系統(tǒng)是否值得一試?
轉(zhuǎn)載源于：http://m.fisionsoft.com.cn/article/cccjpcd.html

新聞中心

其他資訊