来自 资讯 2021-05-01 12:06 的文章

ddos防火墙_服务器高防多少钱_无限

最近有报道说,由于一个技术缺陷,一些证书颁发机构(CA)有可能为它们没有颁发和控制的证书创建有效的OCSP响应。这会给操作和维护这些证书的CA带来问题。虽然这是一个复杂的问题,但本博客将帮助您确定不同情况下的影响。在我们开始讨论细节之前,高防tcp防御cdn,让我们从上往下看一看。为什么存在授权响应者?委派的响应者代表其父代创建OCSP响应(即,创建响应的责任被委派给他们)。例如,如果要使用内容传递网络(CDN)来创建和传递OCSP响应,则可能不希望在多个数据中心中使用父项。什么是授权响应者?委派回应者是使用委派回应者凭证而不是父凭证的OCSP回应者。最初,ddos攻击与防御电子书,OCSP响应由证书的父级直接签名,而不是使用委托的响应程序。它们是如何工作的?OCSP响应程序证书(委派的响应程序证书)是只能代表其父级对OCSP响应进行签名的证书。您可以在CDN上使用该证书,而不是使用更有价值的父级证书。判断证书是否能够充当OCSP响应程序证书的方法是它是否具有OCSPSigning EKU。EKU链eku最初只存在于最终实体证书中。然而,有些人发现,通过将所有可能的最终实体证书的eku放在中间证书中,将中间层限制为只颁发某些类型的证书是有用的。这对于指定最终实体证书用例(例如,代码签名、电子邮件保护)的eku很有效,但是对于给证书本身提供新功能(例如OCSP签名)的eku来说就不那么好了。例如:颁发具有serverauth或clientauth EKU或两者都具有的证书的中间CA将同时具有serverauth和clientauth EKU。中间层具有最终实体证书的eku联合的所有组合。因此,一些CA软件坚持认为,如果证书包含EKU,则父证书也必须包含EKU。交通事故经常发生在十字路口在授权响应者街和EKU大道的交叉口发生了什么?将OCSP签名EKU放在委托响应程序的父对象上以满足EKU链接的要求,这是很有诱惑力的;但是,这使父对象具有作为其父对象的OCSP响应程序的技术能力。这是一个可能产生问题的错误。正确的做法是不要将OCSP签名EKU放在父对象上。具体如何做这取决于你的CA软件,可以需要一些黑客攻击,使软件不抱怨EKU链接。错误的证书基于技术和错误的背景,以下是错误证书的含义:任何有权访问具有OCSP签名EKU的中间证书的私钥的人都可以为该证书的任何同级创建有效的OCSP响应。当同一个组或组织同时操作两者时,不会产生安全影响,因为该组可以使用父级直接创建相同的OCSP响应。但是,ddos防御哪个好,如果同级节点由不同的组织拥有,那么一个组织可以为另一个组织创建有效的OCSP响应。这可以让他们让第三方相信另一方已经被撤销或未被撤销。请注意,唯一可以执行此操作的人是能够访问一个或多个受影响的中间证书颁发机构的私钥的人。在大多数情况下,这些私钥还能够颁发浏览器信任的新证书。因此,这些密钥保存在军事级别的硬件安全模块中,不太可能被外部各方泄露(如果是的话,存在的问题远比OCSP响应上可能伪造的签名大得多)。把它包起来在某些情况下,在中间CA上存在OCSPSigning EKU可能会造成不可预见的安全问题。大多数DigiCert证书层次结构都不受影响,因为DigiCert本身不使用委托的响应器;但是,我们的一些合作伙伴和客户使用了。有关这方面的最新信息,ddos防御文章,请参阅DigiCert MDSP帖子,ddos防御模拟,了解我们的行动计划。行动号召证书基础设施的操作员应在其层次结构中搜索包含OCSPSigning EKU的ica,仔细检查情况的严重性,并制定一个过渡到正确颁发的ica的计划。与授权OCSP应答器和EKU链的工作最近一次修改是:由Timothy Hollebeek于2020年7月8日修改