----------------------
当人与人之间的信任崩塌后, 最后只能靠计算机重新构建信任网络.
----------------------
不知道什么时候开始, 大多数人下意识认为 HTTPS 就等于 "可信", 可能是浏览器的那个上锁的图标, 也可能是各种软件里面喜欢用 "可信" 等同于 "加密", 不过那时也不会有人愿意解释也不会有人听为什么 SSL 证书只能做到加密. 到了 HTTPS 在攻击, 防御和渗透中成为常客, 普通用户也经常被 HTTPS 网站钓鱼攻击的时刻, 越来越多人意识到即使 "信任" HTTPS 代表的加密应该被理解为对中心化 CA 机构的信任, 但这种责任转嫁很显然这些证书机构也不想承担, 毕竟他们也在审计这块大费周章也没有改变什么, 这样只会让 SSL 证书的价格越来越高, 诞生越来越高等级的证书, 比如 OV 和 EV 证书, 那么这些 OV 和 EV 证书就能代表 "可信" 吗? 对用户来说, 信任一家商业公司都已经变得越来越困难, 更不用说要在 OV 和 EV 证书里还要信任 n+1 的机构数量.
即使说过 SSL 证书不代表信任只代表传输加密, 宣传工作也进行了很多年, Google 也决定在 Chrome 里把那把用户首先看到的锁换成别的或是藏在二级页面. 但没有什么效果, 因为对 HTTPS 的信任危机已经演变成了对中心化的信任危机, 证书不仅要依赖中心化机构签发, 还要被操作系统 "默认" 信任. 于是连带着对域名系统的不信任的 DNSSEC 后, 对 SSL 证书不信任的 DANE 也出现了. 它们俩代表着人们发现问题并提出解决办法的行动力, 但太早期了, 先进的理念还要被市场验证, 这可能要花很长时间. #note
via CXPLAY's Memos
当人与人之间的信任崩塌后, 最后只能靠计算机重新构建信任网络.
----------------------
不知道什么时候开始, 大多数人下意识认为 HTTPS 就等于 "可信", 可能是浏览器的那个上锁的图标, 也可能是各种软件里面喜欢用 "可信" 等同于 "加密", 不过那时也不会有人愿意解释也不会有人听为什么 SSL 证书只能做到加密. 到了 HTTPS 在攻击, 防御和渗透中成为常客, 普通用户也经常被 HTTPS 网站钓鱼攻击的时刻, 越来越多人意识到即使 "信任" HTTPS 代表的加密应该被理解为对中心化 CA 机构的信任, 但这种责任转嫁很显然这些证书机构也不想承担, 毕竟他们也在审计这块大费周章也没有改变什么, 这样只会让 SSL 证书的价格越来越高, 诞生越来越高等级的证书, 比如 OV 和 EV 证书, 那么这些 OV 和 EV 证书就能代表 "可信" 吗? 对用户来说, 信任一家商业公司都已经变得越来越困难, 更不用说要在 OV 和 EV 证书里还要信任 n+1 的机构数量.
即使说过 SSL 证书不代表信任只代表传输加密, 宣传工作也进行了很多年, Google 也决定在 Chrome 里把那把用户首先看到的锁换成别的或是藏在二级页面. 但没有什么效果, 因为对 HTTPS 的信任危机已经演变成了对中心化的信任危机, 证书不仅要依赖中心化机构签发, 还要被操作系统 "默认" 信任. 于是连带着对域名系统的不信任的 DNSSEC 后, 对 SSL 证书不信任的 DANE 也出现了. 它们俩代表着人们发现问题并提出解决办法的行动力, 但太早期了, 先进的理念还要被市场验证, 这可能要花很长时间. #note
via CXPLAY's Memos
