Let’s Encrypt构建基础架构以支持基于浏览器的证书撤销恢复

证书颁发机构Let's Encrypt已宣布计划建立一个平台,该平台将支持通过证书撤销列表(CRL)撤销数字证书。否认受损数字身份的CRL方法是多年前建立的,但在过去十年或更长时间中已基本淘汰,取而代之的是在线证书状态协议(OCSP),因为它对性能产生了沉重的影响。CRL是证书颁发机构(CA)在到期日期之前吊销的数字证书的综合列表,而OSCP使浏览器能够就特定证书的状态咨询CA的OCSP服务。

由于最近的浏览器安全更新,CRL方法最近再次变得流行——就像听黑胶唱片一样。

“通过为其用户收集和汇总CRL,浏览器正在使可靠的证书撤销成为现实,从而提高Web上的安全性和隐私性,”Let's Encrypt在一篇博客文章中解释道,它解释了它如何建立一个基础设施来更好地支持基于CRL的数字证书撤销。

证书将“S”(安全性)放入HTTPS。除非有一个可行的证书吊销系统,否则在攻击者窃取其网站的数字证书的情况下,网站所有者无法采取补救措施。

在没有撤销的情况下,被破坏的凭证将一直有效,直到它在其租约结束时自动到期——通常是在初始攻击后数年。

这种不良情况是Let's Encrypt正在寻求解决的撤销过程中的缺陷的直接结果。在浏览器软件的变化和Let's Encrypt的支持下,重新焕发活力的CRL方法承诺提供一种有效的机制,一旦其合法所有者意识到网络证书已被泄露或被盗——一个可悲的是并不少见的问题。

因此,数字证书吊销首先不是建立一个安全的网站,而是在网站被黑客入侵后再次确保其安全。

在要求Let's Encrypt评论它是否正在寻求鼓励其他CA或通过标准机构更广泛地采用这种方法,以及其他问题,目前还没有回复。

在Twitter线程中,网络安全专家Scott Helme分析了Let's Encrypt举措的优点和潜在缺点,以及基于浏览器的CRL方法固有的更广泛的优势和权衡。

发表评论

评论已关闭。

相关文章