为什么我们不能将SSL证书视为Pgp密钥,而不是信任CA?

亚润罐头

我很愚蠢,我不知道SSL的所有技术方面以及服务器/客户端的含义和实现。但是我从用户的角度理解它们足够好,可以每天使用SSL和加密。

我当时在想,对于我们的服务器证书,信任一些未知/已知的CA是多么愚蠢。从这些地方有许多不当行为,滥用,妥协和盗用证书/ ca密钥的情况。除了这些已知问题之外,我们还必须定期向这些人付款。

我想知道为什么我们不能像使用pgp密钥那样使用/处理Web服务器证书?因此,我签署了SSL证书并发送到中央服务器。然后,每个访问我的站点的用户都从某些中央服务器(例如pgp密钥服务器)检查有效性和密钥。

这是一个愚蠢的主意吗?如果是这样,那么比当前发行有效证书的系统更好的主意。我正在寻找一个比安全性更好的主意。自然,这不是解决现有问题的方法,而是由于当前有关NSA及其全球犯罪伙伴的最新消息,对于将来在互联网上捣乱的信任网的某些将来实施,将是一种假设的解决方案。

谢谢

用户名

主要是方便。纯PGP-一样,如果没有网络的信任只能通过验证客户端和签名证书之间的信任路径。

使用PKI,它始于所有操作系统(通常是Web浏览器)内置的受信任根CA列表,该列表可用于验证遇到的所有服务器证书中的99%。

使用WoT,您的每个访问者只会看到服务器的证书是由一个“ yarun can”签名的,他们将需要知道已经验证您的人,或者找到一种方法来验证您自己的密钥。这仅勉强适用于电子邮件,其中连接很少,长期(例如朋友,同事)。它根本无法扩展到数百个网站,即使是那些确实拥有本地安全意识的极客,并且他们信任验证这些网站的访问者也是如此

但是,如果他们不这样做怎么办?如果访问者不认识已经验证过您密钥的人怎么办?他们将必须找到一种直接验证您身份的方法。您和其他数十个网站管理员。也许您会发现一两个访客通过电话询问您的指纹。其他几千个根本不执行任何操作,只需单击“不受信任的服务器”警告。

最终结果:完全没有安全性。

而且,如果您现在正在考虑“让我们拥有默认信任的签名者/验证者的列表”……您只是在PGP之上实现了相同的信任授权PKI。

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

为什么我们不能只使用[] []而不是int [] []?

为什么我们不能将List <A>强制转换为List <B>

为什么我们不能将函数绑定到 :disabled 输入字段?

为什么我们不能将顶级类定义为私有类?

为什么我们不能将连续的rawValue设置为Option Set?

为什么我们使用()=> []而不是[]?

为什么我们不能/不能将OOP概念同样广泛地应用于内核编程?

为什么我们不能将字符串值分配给2d char数组?

为什么我们不能将两个推断变量作为匿名类彼此分配?

为什么在带有ehcache的春季我们不能将@Cacheable与静态方法一起使用?

为什么我们不能将2D整数数组初始化为指针?

为什么我们不能将 lambda 表达式直接分配给 Object 类型的引用变量?

为什么我们不能将带有其他参数的{}块传递给Ruby中的方法

为什么我们不能将int变量与c中的int返回类型函数进行比较?

为什么我们不能只使用数组而不是varargs?

尽管信任存储中存在SSL Root CA证书,但无法识别。为什么?

为什么我们在git中需要SSH密钥?

为什么我们不能扩展泛型?

为什么我们不能从逆变型再现

为什么我们不能打电话给setTimeout申请?

为什么我们不能(无效)10?

为什么我们不能访问信号量

为什么我们不能直接存储Unicode?

为什么我们不能立即调用函数声明?

为什么我们不能保存100%的网站?

为什么我们不能将地址存储在普通的 int 变量中?并通过分配我不希望它指向任何地方。

为什么我们使用WebDriver而不是Selenium IDE?

为什么我们使用 promise 而不是 if/then 语句?

为什么我们可能需要Monad而不是Monad