您现在所在位置:主页 > DDOS防御 >

DDOS高防服务_宝可梦剑盾游戏下载_免费测试

更新时间:2021-06-12

DDOS高防服务_宝可梦剑盾游戏下载_免费测试

我们的行业正朝着对证书透明性(CT)的普遍支持迈进,这是近年来对Web PKI系统和SSL证书的信任和安全性的最大改进之一。本月晚些时候,ddoscc攻击防御,当googlechrome开始要求所有新的公开可信SSL证书时,CT将有效地成为整个行业的强制要求。已经有数以亿计的证书直接由证书颁发机构(CA)和第三方网络爬虫程序登录到CT。这是CT系统安全改进和实际测试的重要第一步,该系统相对较新,仍在成熟。在谷歌工作的工程师设计了CT,并于2013年将其标准化为IETF RFC。从那时起,谷歌的Chrome团队一直致力于成为第一个全面实施CT的浏览器,而该项目将在短短几天内向前迈进一大步。证书透明性是一个复杂的系统,它涉及到存储已颁发证书的公共可用日志,并充当这些证书的可加密可验证记录。许多日志用于处理Web PKI的总和,随着CT生态系统的成熟,预计还会创建更多日志。维护CT日志的挑战之一是支持Web PKI的不断增长的规模。随着越来越多的网站采用SSL,证书生命周期越来越短(最终以天来衡量,而不是以年为单位),我们可能会看到每年可信证书的总数达到10亿个。随着Chrome的新要求(其他主流浏览器也会随之出现),所有这些证书都需要被记录下来。对这些日志来说,这是一个令人难以置信的压力,它们必须满足严格的性能要求,并间接地为数亿用户服务。对于那些对证书透明性如何在后端工作的人来说,这篇文章将讨论运行CT日志所涉及的一些操作挑战,并解释时态分片(temporal sharding)——一种应对日益增长的Web PKI的新策略。首先,我们将为那些不熟悉该系统的人提供一些关于证书透明性的背景知识。数码相机(&C)在很大程度上,CT是一个整体上增强Web PKI安全性的系统,而不需要网站运营商的努力。CA有责任正确地记录他们的证书,许多CA已经为即将到来的Chrome截止日期做了一年多的准备。DigiCert多年来一直是CT的支持者。事实上,我们是第一个开始运行CT日志的CA,今年早些时候,我们在行业截止日期之前开始记录所有新证书。如果您是我们的客户之一,这意味着您的证书已经符合此要求,您无需采取任何措施。关于证书透明度的一些背景知识证书透明,顾名思义,通过允许生态系统知道CAs正在颁发什么证书,从而为Web PKI带来了更多的透明度。自2015年谷歌Chrome开始要求其提供电动汽车证书以来,证书透明性得到了广泛应用。然而,在本月底(2018年4月),所有新发布的公开可信SSL证书必须被记录,才能被Google Chrome接受。这是采用CT的一个重要步骤,因为它有效地要求记录所有证书,ddos防御入门,如果你想被世界上最流行的浏览器信任的话。从实际角度来看,这涉及到发行过程中的另一个步骤。CAs现在将把证书提交给公共数据库,即日志,研究人员和网站运营商可以查看这些数据库,以检测证书是否被错误颁发。当证书在证书透明日志中公开可用时,我们将该证书称为"已记录"在CT出现之前,研究人员和一些主要的提供商试图通过类似于搜索引擎的抓取和爬网来实现CT的目标,并记录他们找到的每个证书。这在某种程度上是可行的,ddos攻击高防御服务器,但总是不如直接从源获取数据准确;这需要ca记录其新证书,这正是CT所做的。当完全部署时,CT可以为所有存在的可信证书提供完美的透明性,这对于安全研究人员来说是一个前所未有的资源。为什么我们需要CT?Web-PKI生态系统中的一些安全故障表明了对证书透明性的需要。2011年,cc攻击防御工具,荷兰CA DigiNotar遭到破坏,攻击者能够欺诈性地为高调网站颁发可信SSL证书,包括谷歌以及脸谱.从那时起,如果CT存在的话,其他错误和故障可以更快地被发现,并得到更好的理解。CT最大的价值之一是它全面提高了Web PKI的健康和安全性。最灾难性的情况,例如CA被破坏,更温和的问题,如CA违反编码标准,都可以用CT检测、调查和解决。证书透明性使检测CA的违规和泄露变得非常容易,而且,在发生大规模错误颁发的罕见情况下,CT可以通过允许找到所有不正确的证书来确定问题的范围。CT在恶意场景下工作,CA故意违反行业标准或遭到黑客攻击。这是因为恶意参与者必须记录证书,如果他们想让浏览器信任这些证书,因此他们的欺诈证书在大多数攻击中都是有用的。始终可以不记录证书,但这样它就不受信任(工作方式与自签名证书相同),这在欺骗或中间人攻击中几乎没有任何用处。证书透明性还将为各个网站运营商提供一个选项,让他们可以监控其域中存在哪些证书。这在两种主要情况下是有用的:了解欺诈性颁发的证书(可能是由于CA的错误颁发,或者是由于Web服务器或DNS等网站的部分基础设施受损所致),并确保他们的组织证书策略得到遵守。例如,您可以定期进行审核,以确保组织中的各个部门都是从您首选的供应商那里订购的。CT日志操作CT日志是在线公开的已颁发证书的数据库。它们的目的是作为已颁发证书的可审核和不可修改的记录。当颁发证书时,它会被记录下来,并且日志以一个称为"SCT"的文件的形式提供包含证书的"证据"。希望实施CT日志记录的浏览器(以及将来的其他软件)将在初始SSL握手期间接收SCT,并在证书评估过程中对其进行验证。日志可以由任何想要承担此项工作的组织来操作。目前,主要的日志只有少数几家公司运营:Google、DigiCert、Comodo和Cloudflare。操作日志并不容易。原则上,操作CT日志和操作CA有很多相似之处。您必须满足某些操作标准,经过初始审核期,然后才能被浏览器"信任"。此外,广东高防cdn,运行CT日志需要满足高可用性要求,类似于操作云服务。如果一个日志违反了这些要求,浏览器可能不信任它们,不再接受它们。这可能会对该日志中的证书产生严重后果,因为它们可能不再满足CT要求,并且证书本身可能变得不可信(实际上,有一些方法可以通过冗余记录来减轻这对单个证书的影响)。由于这种风险,日志操作员希望使用他们所能获得的所有最佳实践来简化日志操作,并在发生故障时减轻损害。一些早期的日志已经相当大,可以存储3亿个证书。随着日志的增长,会发生两件事:操作成本越来越高,失败的影响也会越来越大。如何应对不断增长的日志带来的挑战:时间切分日志操作员面临的一个挑战是日志规模。谷歌的策略是假设Chrome的日志将无限期地接受。但是,当日志增长到数亿个证书时,这可能会带来操作上的挑战。随着日志的增长,对其执行维护并保持其平稳运行变得更加困难。它还增加了日志失败的影响。时态分片通过允许日志将可接受证书的范围限制为证书中表示为两个日期("notBefore"和"notAfter")的日期范围,这两个日期组成了证书的有效期。可以选择任何日期范围,但所有当前分片的日志都选择了一年的段。这与以前的做法不同,以前的做法只允许日志根据几个条件控制它可以接受哪些证书:如果它已过期或被吊销,以及颁发它的根证书是什么。大多数主要日志都接受来自任何受信任根的证书,这使得它们对生态系统最有用,但如果太多CA或第三方开始向它们提交证书,它们也会面临变得非常大的风险。使用临时分片,如果证书在指定的日期之后过期,日志可以拒绝它。这些意见将被该系列的下一个日志接受。在这种情况下,实际上会有多个日志,而不是运行一个日志。例如,2018年、2019年和2020年各一个日志。这些日志中的每一个都被称为物理日志,并作为一个组组成一个逻辑日志。Google运行五个物理日志,这些日志组成逻辑"氩"日志。在此方法之前,启动第二个日志并不一定有助于日志操作员解决其缩放问题。这是因为他们的第二个日志可以用第一个日志中已经包含的相同证书填充(由于Chrome策略不允许