TLS/SSL证书认证机构体系是一场骗局

ZDNet安全频道原创翻译 转载请注明作者以及出处

基于传统公钥基础设施实施的ＴＬＳ／ＳＳＬ体系是一场骗局。

------------------------------------------------------------------------------------------

    传输层安全协议也就是TLS，已经被证明是可以提高网上交易的安全性。如果你的银行没有采用TLS来对网站上的帐户进行管理的话，它的选择可能是错误的。

　　现在使用的TLS原来被叫做SSL或安全套接字层协议。它是一种加密协议，用于保护在网络上的HTTP连接，使得信息可以安全进行交换。对于网络金融交易来说，这样非常重要，它也应用于重要帐户的登陆保护，以便防止偷听者通过网络流量获得用户名和密码，并劫持帐户。

　　TLS也被用来(有人可能会说这属于“滥用”)在网络流量的类型日益多样化的环境中提供加密连接。作为功能强大的加密协议，即使不属于HTTP的网络流量，它也可以确保其安全。实际上，除了HTTP以外，它还可以支持包括FTP、NNTP、SMTP和XMPP在内任何类型的应用层协议。

　　为了避免服务器受到中间人类型的网络攻击，一些服务提供商为服务器提供验证功能。这些服务提供商被称作认证机构(简称“CAs”)，提供给客户系统带外服务器证书以便进行核查，防范中间人类型的网络攻击。该系统利用公钥基础设施也就是PKI作为登记和核查制度的基础。

　　不幸的是，对于基于TLS的验证证书实施(或“验证”，认证机构是这么称呼它的)来说，PKI是不必要的。基于PKI的验证系统显示，有可能核查的范围比服务器验证的还广泛。基于PKI的认证机构采用的商业模式会导致很多服务器从来没有注册过，尽管它们可能和其它的服务器一样可靠，安全和加密的交易只能在购买了认证机构的骗局中的成千上万用户的日常在线活动中循环。

　　简单的说这就是一个信任的游戏，说服大家让他们认为相信的目标是错误的，这样，骗子就可以获取他或她的钱了。这种骗局的关键是对目标的信任，并利用这种信任来进行反驳。在这种情况下，存在两个目标：浏览器用户和需要使用加密连接访问他们服务器的用户。问题的关键在于我们必须信任认证机构，因为只有它们才能利用TLS保护我们。这种特定骗局真正的美妙之处在于没有人需要说谎，因为处于对权威人士的认可和信任，大部分人都不会产生怀疑。换句话说，我们代表他们自己欺骗自己。

　　为了建立更可持续的(和更广泛有效的)系统，就象Perspectives之类的公证制度，我们需要让大家都认识到这种骗局的本质。在必要的条件下，你应该立即在火狐浏览器中安装Perspectives扩展插件，并在需要TLS加密进行网络传输的时间使用。这样做不仅将有助于减少对目前世界范围内的认证机关的依赖，还可以让你有机会发现TLS服务器证书是否因为没有交纳所需款项而被认证机关忽视。