刚开始接触网络建设的朋友,会使用宝塔面板来快速方便建站,那就应该会看到过 Let's Encrypt提供的 SSL证书。其是一家得到 Mozilla Firefox 和 Google Chrome 支持的自动化证书颁发机构。
Let's Encrypt介绍
Let's Encrypt 由互联网安全研究小组(缩写 ISRG)提供服务。主要赞助商包括电子前哨基金会、Mozilla 基金会、Akamai 以及思科。2015 年 4 月 9 日,ISRG 与 Linux 基金会宣布合作。
用以实现新的数字证书认证机构的协议被称为自动证书管理环境(ACME)。GitHub 上有这一规范的草案,且提案的一个版本已作为一个 Internet 草案发布。
Let's Encrypt技术
2015 年 6 月,Let's Encrypt得到了一个存储在硬件安全模块中的离线的 RSA 根证书。这个由 IdenTrust 证书签发机构交叉签名的根证书,被用于签署两个证书。其中一个就是用于签发请求的证书,另一个则是保存在本地的证书,这个证书用于在上一个证书出问题时作备份证书之用。
因为 IdenTrust 的 CA 根证书当前已被预置于主流浏览器中,所以 Let's Encrypt签发的证书可以从项目开始时就被识别并接受,甚至在用户的浏览器中没有信任 ISRG 的根证书时也没问题。为了解决对 Windows XP 的兼容性,当前 Let’s Encrypt 已经获取了另外两个根证书,原来的证书作为备用。
Let's Encrypt倡议
近期因漏洞等原因 Let's Encrypt机构宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。
域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。
转载请注明链接地址:荐爱小站 » 因漏洞 Let’s Encrypt提新证书策略以抗网络攻击