您现在所在位置:主页 > DDOS防御 >

防ddos_美国高防主机_方法

更新时间:2021-06-12

防ddos_美国高防主机_方法

在我们对DigiCert高级PKI架构师DarinAndrew的第一次采访中,我们学会了在做出关于PKI体系结构的决策时,要牢记未来5-10年。我们甚至了解到顶级企业使用PKI来加强网络安全的三种方式。现在,我们向Darin询问公共和私有PKI之间的区别,哪一个最适合于不同的用例,以及一些顶级企业是如何成功地构建规模化的PKI的。我们从第一步开始讨论根证书的用途。什么是根证书?DA公司:公钥基础设施(PKI)通过签名过程将身份绑定到公钥。该签名由根执行(或使用链接到根的中间层)。这就是如何识别证书是否有效,以及是否要信任它。如果您拥有签署证书的根的公钥,那么您可以知道绑定到公钥的标识是有效的,并且可以信任。这是因为证书是由根颁发的。什么是公共根? DA公司:对证书进行签名所使用的技术是相同的,无论是使用私有根还是公共根进行签名。我们不会改变密码或签名。我们只是简单地说,一个公开信任的根已经分发到浏览器、操作系统、手机等。浏览器,比如Chrome和Firefox,都有根存储库,在那里他们保存着他们信任的根目录列表。私有根目录不同于公共根目录,因为私有根目录还没有分发到主要浏览器和操作系统的信任库中。私有根目录由公司或CA创建,不会包含在Google和Mozilla浏览器信任库中的列表中。它是一个私有的根目录,因为它受到公司想要在内部分发这个根目录的任何系统的信任。他们可以将这个根目录分发到他们的服务器上,或者选择一些服务器、电话、台式机和笔记本电脑。它们可以从该私有根目录中颁发证书,该证书将由它们将该根目录传递到的任何系统信任,以检查证书是否有效。因为公共根和私有根背后的技术是相同的,证书看起来是一样的,并且可以使用相同的签名哈希算法对证书进行签名,下一个问题是,什么时候使用私有根而不是公共根?什么时候应该使用公共根目录而不是私有根目录?DA公司:私有根目录对于内部操作很有用。但是,当您谈论面向公共的网页时,您需要一个由公共根颁发的证书。想想你的网站。当用户访问你的网站时,他们的浏览器拥有根目录吗?对于私有根目录,答案取决于是否从组织管理的计算机访问它。如果您已将私有根目录分发到该设备,则浏览器可以拥有私有根目录。如果证书是由已添加到浏览器信任存储区的私有根颁发的,则浏览器在连接到网页时将信任该证书。但是如果这是一个世界上任何人都可以访问的公共网页,会发生什么呢?除非您已将私有根目录分发到用于访问该页的每个设备(这是不可能的),否则用户将收到一条警告消息,指出颁发证书的根不受信任。这些天来,浏览器发出了严重的警告信息。要么用户无法访问该页面,要么他们将被迫更改设置以建立连接。那可不是个好地方。私有/公共根场景会如何影响电子邮件签名之类的事情?DA公司:如果您要向自己公司内的某个人发送电子邮件,那么您可以使用从私有根目录下颁发的有效证书对电子邮件进行签名。接收者检查签名,看到它是由已经在他们的计算机上的私有根颁发的,然后他们说,ddos防御软件S高防行吗,"这个证书是有效的。"但是,当你把这封邮件发给另一个没有你私人根的组织的人时会发生什么?他们会看到一条消息说签名无效。例如,这在Outlook中自动发生。Outlook检查颁发证书的根目录是否在操作系统的根存储区中。当它发现签名无效时,Outlook会显示一条消息,说明签名无效。在电子邮件中使用私有根目录没有多大意义。你签署电子邮件的原因是向另一端的人保证,他们可以相信邮件是从你那里发来的,没有被修改过。但是,当您向另一个组织发送电子邮件时(这是电子邮件的性质),如果您使用的是私有根目录,服务器白名单防御ddos,cdn高防应急中心,则会产生不可信的消息。你现在已经破坏了签署电子邮件的目的。这是一个实例,您需要从公共根目录颁发的公共受信任证书。简而言之,cdn和cc哪种更应该防御,私有根目录将帮助您保护内部操作。但是,当您与组织外部的实体共享信息(如签署电子邮件)时,您需要一个公共根目录,并将其分发给浏览器和操作系统。那么,在什么情况下私有根是有用的呢?DA公司:内部服务的身份验证是私有根的强大用例。例如,专用根目录用于验证虚拟专用网络(VPN)、内部Wi-Fi、wiki页面或其他支持多因素身份验证的服务的连接。在所有这些情况下,您可以控制检查证书有效性的服务器实例,这样私有根目录将非常有效。您的内部操作团队可以指定您自己的私有根目录作为证书的颁发者,当检查有效性时,它可以看到它是由您自己的私有根目录颁发的。与公共根相比,使用私有根有其好处。如果它是您组织的专用专用根目录,则只有您的团队可以从该根目录颁发证书。其他人不能从该私有根目录颁发证书。从私有根目录颁发的证书对于证书配置文件和证书中指定的主题具有更大的灵活性。从根本上讲,私有身份验证的好处。如果您有一个专用于您的专用根目录,ddos防御ip,那么您可以更好地控制颁发过程、证书配置文件和证书中指定的主题。因为你有更多的控制权,你就更确定你是唯一一个有权签发证书的人。大多数企业都有公共或私人PKI吗?DA公司:对于企业来说,使用二者的混合体是最常见的。例如,一家公司可能使用公共CA为其面向公众的网站颁发证书。然后,为了验证与内部服务(如VPN或wiki)的连接,同一家公司可能会设置一个私有根,在那里他们可以颁发证书。假设我决定建立一个混合PKI解决方案下一步是什么?DA公司:下一步,您需要决定是为您的私有PKI使用托管解决方案,还是构建自己的内部CA。通常,人们认为公共PKI是托管的,而私有PKI不是托管的,事实并非如此。公共和私有PKI都可以托管。问题是你是否有一个内部的CA或者使用一个托管的CA作为你的私有PKI。在我们对Darin的下一次采访中,我们将深入讨论是使用托管还是内部CA解决方案。就目前而言,以下是您在公共和私有PKI之间进行决策的要点:如何构建可扩展的PKI:公共vs.私有[SME访谈]最后修改时间:2017年10月10日,作者:Darin Andrew