我很愚蠢,我不知道SSL的所有技术方面以及服务器/客户端的含义和实现。但是我从用户的角度理解它们足够好,可以每天使用SSL和加密。
我当时在想,对于我们的服务器证书,信任一些未知/已知的CA是多么愚蠢。从这些地方有许多不当行为,滥用,妥协和盗用证书/ ca密钥的情况。除了这些已知问题之外,我们还必须定期向这些人付款。
我想知道为什么我们不能像使用pgp密钥那样使用/处理Web服务器证书?因此,我签署了SSL证书并发送到中央服务器。然后,每个访问我的站点的用户都从某些中央服务器(例如pgp密钥服务器)检查有效性和密钥。
这是一个愚蠢的主意吗?如果是这样,那么比当前发行有效证书的系统更好的主意。我正在寻找一个比安全性更好的主意。自然,这不是解决现有问题的方法,而是由于当前有关NSA及其全球犯罪伙伴的最新消息,对于将来在互联网上捣乱的信任网的某些将来实施,将是一种假设的解决方案。
谢谢
主要是方便。纯PGP-一样,如果没有网络的信任只能是通过验证客户端和签名证书之间的信任路径。
使用PKI,它始于所有操作系统(通常是Web浏览器)内置的受信任根CA列表,该列表可用于验证遇到的所有服务器证书中的99%。
使用WoT,您的每个访问者只会看到服务器的证书是由一个“ yarun can”签名的,他们将需要知道已经验证您的人,或者找到一种方法来验证您自己的密钥。这仅勉强适用于电子邮件,其中连接很少,长期(例如朋友,同事)。它根本无法扩展到数百个网站,即使是那些确实拥有本地安全意识的极客,并且他们信任验证这些网站的访问者也是如此。
但是,如果他们不这样做怎么办?如果访问者不认识已经验证过您密钥的人怎么办?他们将必须找到一种直接验证您身份的方法。您和其他数十个网站管理员。也许您会发现一两个访客通过电话询问您的指纹。其他几千个根本不执行任何操作,只需单击“不受信任的服务器”警告。
最终结果:完全没有安全性。
而且,如果您现在正在考虑“让我们拥有默认信任的签名者/验证者的列表”……您只是在PGP之上实现了相同的信任授权PKI。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句