2011年4月5日星期二

如何改进SSL证书安全性 zz

Google安全博客讨论了最近CA认证机构Comodo遭黑客入侵的事件,提出了两种改进SSL证书安全性的方法。第一种方法是Google Certificate Catalog,Google爬虫在索引互联网的同时会记录所有的SSL证书,Google Certificate Catalog就是这些证书的数据库。如果一个证书没有出现在Google的数据库内,即使有正确的CA签名,它极有可能是伪造的。Google正考虑在Chrome浏览器中加入Google Certificate Catalog数据库支持功能,其它浏览器未来可能跟进。第二种方法是互联网工程任务组(IETF)正在讨论的DANE,DANE代表基于DNS的域名实体认证,允许域名商发布SSL证书信息,利用DNS记录鉴定特定证书是否有效。这两种方法都是依靠DNS记录,但DNS可能会被污染,安全性值得质疑,Google认为加密保护DNS数据的DNSSEC协议可以解决安全问题。

标签: ,


// 发贴者:放牛娃的春天 @ 四月 05, 2011
评论: 发表评论

订阅 博文评论 [Atom]





<< 主页

This page is powered by Blogger. Isn't yours?

订阅 博文 [Atom]