剛才有提到證書(shū)是由專業(yè)機(jī)構(gòu)頒發(fā)的��,不過(guò)����,
- 專業(yè)機(jī)構(gòu)就沒(méi)有壞人了嘛。
- 證書(shū)就不會(huì)被人偷嗎��。
- 專業(yè)機(jī)構(gòu)被騙了怎么辦�����。
事實(shí)上���,荷蘭專業(yè)機(jī)構(gòu)(DigiNotar)甚至被入侵過(guò)一次��, 丟了好幾百個(gè)證書(shū)���,你可以自行腦補(bǔ)一下有人潛入公安部自己辦了幾百個(gè)警官證是一個(gè)多么壯觀的場(chǎng)景。
于是�,IETF在2013年啟動(dòng)了一個(gè)叫做certificate-transparency的開(kāi)源項(xiàng)目����,把所有已知的合法證書(shū)做了一個(gè)白名單���,瀏覽器在驗(yàn)證證書(shū)的時(shí)候同時(shí)也會(huì)去查看這個(gè)證書(shū)是不是在白名單里面。 如果不在的話��,就會(huì)告知用戶這個(gè)證書(shū)找不到記錄���,于是�����,有可能是假或者是被盜的證書(shū)���。
但是,這里有一個(gè)致命的問(wèn)題:
到目前為止���,這個(gè)還只是一個(gè)試驗(yàn)性項(xiàng)目�,而這個(gè)世界上那么多的網(wǎng)站�����, 你白名單得過(guò)來(lái)嘛���。
(注意:已經(jīng)沒(méi)有警示標(biāo)志)
比如上圖所顯示的���,其實(shí)也沒(méi)有審核紀(jì)錄,不過(guò)警告的標(biāo)示去掉了����。說(shuō)明谷歌其實(shí)自己也知道目前白名單的覆蓋很差,一般找不到記錄�,并不會(huì)加上確切的警告標(biāo)示�。所以����,目前你可以忽略它。
關(guān)鍵在第二個(gè):
本網(wǎng)站采用較弱的安全配置(SHA-1簽名)���,所以你的連接可能不是私人的��。
這個(gè)就比較有意思了���。
還是那個(gè)警官證的問(wèn)題�。 要搞一個(gè)警官證除了去偷/騙/潛入公安部自己做一個(gè)真的以外, 你還可以做個(gè)假的嘛��。
對(duì)于數(shù)字證書(shū)來(lái)說(shuō)�����,最重要的鑒別真假的部分是數(shù)字簽名,而鑒于數(shù)字證書(shū)一般不小�,不可能對(duì)每個(gè)字節(jié)都簽一次名����,一般來(lái)說(shuō)是對(duì)數(shù)字證書(shū)的一個(gè)哈希值進(jìn)行簽名。
如果你不知道哈希值是什么��,我給你打個(gè)比方�����。如果你是一個(gè)數(shù)字證書(shū)���, 那你的照片就是你的哈希值。
它包含下面2個(gè)條件:
- 通過(guò)合適的手段,可以從你產(chǎn)生你的照片���, 但是沒(méi)法從照片產(chǎn)生你 ��。意思是�����,先有你����,才能有照片�����。
- 只有你可以精確的產(chǎn)生你的照片�����,別人都不行�。你就是唯一的�����,你的特征是別人沒(méi)有的����。
小編推薦閱讀
