关于CA的神话
多年来,人们对CA和SSL基础设施产生了误解。以下是与SSL和CA相关的常见神话列表,最初由证书颁发机构安全理事会(CASC)发布。GlobalSign和CASC的其他成员将一起澄清相关记录,消除行业的神话。
神话一:CA不受监管
事实:CA在被浏览器根存储区接受之前,会受到各种制衡,包括通过WebTrust或ETSI进行的第三方合格审计以及领先浏览器制定的严格标准。同样,CA/浏览器论坛的基线要求和网络安全指南为证书颁发和CA控制建立了全球标准,不久将纳入第三方审计标准。浏览器可以自由使用这些要求从根存储中排除不兼容的CA。
神话二:CAs不提供价值
事实:近二十年来,CA在发布数字证书之前,通过使用严格的方法验证组织的证书请求,发挥了在线信任守护者的关键作用。验证方法可能包括验证域名所有权、商业登记、申请人代表其组织申请证书的授权以及其他法律文件。CA花费大量资金来保护其数据中心和内部运营,培训其员工证书验证和颁发的最佳实践,并使用定期漏洞和渗透测试以及年度第三方审计实施行业控制。自签名证书(在没有任何CA身份验证的情况下颁发的证书)允许对网站进行加密,但不能保证网站的身份。
神话三:CA颁发的所有类型的证书都是相同的
事实:CA发布各种类型证书的针对.处理不同目的功能的。不同类型的证书包括确保网站交易安全的SSL证书、保护应用程序免受篡改和恶意软件的代码签名证书、对电子邮件交换进行身份验证的S/MIME证书,以及企业pki设置中使用的客户端身份验证证书。
CA还提供具有不同类型验证的SSL证书。根据证书,CA可以验证以下内容:
- 向申请证书的实体注册域(DV)。
- 该组织是法人注册的实体,申请证书的人有权代表该组织(OV)。
- 组织拥有经过验证的电话号码、合法的业务地址和经过验证的申请人(EV)。
- EV和OV证书都在证书的组织字段中包含关于证书持有人的标识信息。
神话四:CA是独立的、无响应的,不会接受SSL协议中需要的更改
事实:这是那些积极反对CA和倡导替代模式的人长期存在的一种常见误解。CASC成员共同参与了数十个行业标准制定机构、教育团体和研究组织,并定期协助起草提案和采用标准。CASC成员积极与浏览器、信赖方和其他利益相关方合作,通过实际、深思熟虑的措施和协作研究来加强互联网安全。大部分对话都在公共环境中进行,如CA/浏览器论坛讨论。
神话五:SSL已经无法修复,我们必须找到一个新的替代系统来验证在线身份
事实:SSL协议已经证明自己非常强大,SSL证书仍然是世界上最可靠和可扩展的加密系统。有关重大安全事件的报告归因于实体一级缺乏适当的内部安全控制,而不是全系统的故障。CASC成员致力于收紧全球标准,以减少未来此类事件的发生。虽然由于不断演变的威胁,没有一种安全解决方案是100%可靠的,但最好的解决方案是专注于对当前系统进行实用、可扩展的增强,而不是试图用未经验证和有限的技术取代公共信任的CA。
神话六:SSL是一个过时的系统,有太多漏洞无法长期运行
事实:近二十年来,公共信任CA的证书一直是互联网安全的支柱,是保护互联网交易的最可靠和可扩展的方法。CA继续与浏览器和其他方合作,以增强SSL协议,并启用其他功能,以继续应对不断变化的威胁并保护所有用户。
神话七:有600多个CA——SSL是一项商品业务,所以CA太多了,无法及时处理
事实:尽管全球范围内可能存在数百个中间证书,但Mozilla的根存储仅列出了65个专有持有人或受信任的根证书,并且所有签发的SSL证书中99%以上来自全球七大提供商的根证书。这些领先公司中的每一家都是WebTrust,由经认证的第三方会计师事务所审计,并遵守CA/浏览器论坛和其他机构通过的标准。每个CA都对其客户和浏览器根存储运营商负责。由于这些负责CA的引领,SSL行业始终可以应对不断演变的威胁。CA发展的最新例子包括不推荐使用内部主机名、部署SHA-2和2048位证书以及增强的安全指南。CA的发展能力将在未来许多年内创造一个安全的互联网。
神话八:证书吊销是不必要的或者是又损害的,因为这可能会导致浏览器潜在性能问题。
事实:证书吊销在SSL生态系统中起着关键作用,它是确定证书是否值得信任的主要身份验证工具。每天,数十亿个证书状态请求被发送到世界各地的撤销响应服务器。这些服务器通知浏览器证书是否不再有效。这通过确保浏览器拥有关于全球威胁和问题的最新信息来保护用户。CASC成员正在与浏览器和其他各方合作,进一步改进现有方法,开发新的吊销系统,有效平衡性能和安全性,为所有互联网用户提供可信体验。
神话九:CA没有创新和做出必要改变的动力
事实:CA最有动力实施所需的更改,并共同努力增强SSL系统。CA的声誉对其生存至关重要。因此,CASC成员非常努力地发展行业,并对自己的系统及其服务的客户保持积极有效的安全态势。最近通过的强制性标准包括以下(目前正在讨论其他标准):
- 基线要求
- 网络安全指南
- EV代码签名和对EV SSL标准的增强
这是GlobalSIgn所属的证书颁发机构安全理事会的重新发布内容。https://casecurity.org/myths/