亚洲精品一区二区天堂,国产精品青青在线观看爽香蕉 ,亚洲av无码一区二区三区性色

Let\'s Encrypt數(shù)字簽名
說到數(shù)字簽名就不能不對Let\'s Encrypt豎起大拇指，可以說它以一己之力為整個互聯(lián)網(wǎng)網(wǎng)站撐起了HTTPS的天。Let\'s Encrypt成立于2014年，是一家非盈利性的認證機構(gòu) ，目前為約2億個網(wǎng)站提供了數(shù)字證書認證，累積簽發(fā)了10億張的證書。

Let\'s Encrypt成功的關(guān)鍵取決于兩點：
它是免費的。Let\'s Encrypt之前，大多數(shù)證書頒發(fā)機構(gòu)向要獲得證書的網(wǎng)站管理員收取費用。
Let\'s Encrypt證書和商業(yè)證書的區(qū)別:

它是自動化的。如果遵循其標準化協(xié)議，則可以通過API請求，續(xù)訂甚至吊銷證書。與此形成對比的是其他證書機構(gòu)需要手動處理并需要一些時間來頒發(fā)證書。
如果網(wǎng)站管理員希望網(wǎng)站example-com（通過HTTPS）向用戶提供安全的連接，則可以向Let\'s Encrypt發(fā)出申請證書，并在證明自己擁有域example-com并頒發(fā)證書后，便可以使用該證書來與任何信任"Let\'s Encrypt"的瀏覽器協(xié)商安全連接。
這個實際流程如下：
1、Alice使用RSA公鑰在Let\'s Encrypt中注冊。
2、Alice要求Let\'s Encrypt證書example-com 。
3、Let\'s Encrypt讓Alice證明自己是example-com所有者，需要簽發(fā)一些數(shù)據(jù)并將其上傳到example-com/.well-known/acme-challenge/some_file 。
4、愛麗絲簽署并上傳簽名后，要求Let\'s Encrypt其進行檢查。
5、Let\'s Encrypt檢查是否可以訪問上的文件example-com ，如果它成功下載了簽名并且簽名有效，則Let\'s Encrypt向Alice頒發(fā)證書。
這個過程的流程圖如下：

數(shù)字證書劫持
那么，我們假設(shè)Alice并不會實際擁有example-com ，但是她通過中間劫持的方法實現(xiàn)了步驟5中進行加密。自從Let\'s Encrypt推出以來，這一直是個問題。事實上普林斯頓大學的一組研究人員在Bamboozling證書頒發(fā)機構(gòu)的BGP中證明了這一點：他們執(zhí)行了一個真實的BGP攻擊演示，以合乎道德的方式從頂級CA獲得虛假證書。為了評估PKI的脆弱性，研究人員收集了180萬個證書的數(shù)據(jù)集，發(fā)現(xiàn)這些數(shù)據(jù)集中絕大多數(shù)域都可以成功偽造證書。

該論文中，研究人員提出了兩種解決方案，以進行補救，或至少降低這些針對KPI攻擊的風險：
CA機構(gòu)從多個有利位置對域名進行驗證，以使其難以發(fā)起成功的攻擊；
CA機構(gòu)通過BGP監(jiān)視系統(tǒng) ，檢測可疑BGP路由并延遲證書驗證使網(wǎng)絡(luò)運營商有時間對BGP攻擊做出反應(yīng) 。
最近Let\'s Encrypt實現(xiàn)了第一個解決方案：多角度域驗證。該方法改變了上述流程的第5步：在新的策略下Let\'s Encrypt會從多個位置下載域名的證書驗證。
Let\'s Encrypt攻擊的工作原理
安德魯·艾耶（Andrew Ayer）在2015年發(fā)現(xiàn)了對Let\'s Encrypt的攻擊。在其中， Andrew提出了一種方法來控制已經(jīng)驗證了域的Let\'s Encrypt帳戶（例如example-com）
攻擊是這樣的：
Alice通過在example-com上的一些數(shù)據(jù)上載簽名（example-com/.well-known/acme-challenge/some_file）來注冊并完成域驗證。然后，成功地從Let\'s Encrypt獲得證書。