来自 应用 2021-07-18 17:00 的文章

国内高防cdn_浪琴高防手表价格图片_限时优惠

国内高防cdn_浪琴高防手表价格图片_限时优惠

如果标题还不够线索的话,这篇博客是关于最近关于EV SSL价值的争论,这场争论已经让信息安全行业刮起了风暴。我觉得是时候让GlobalSign拿出两分钱来捍卫我们作为EV SSL证书提供商的地位了。除非你一直生活在一个盒子里,否则你知道一些研究人员已经发表了关于电动汽车价值的文章。Scott Helme发表了一篇文章,展示了URL栏中的公司名称有时会引起混淆,这是在James Burton证明他可以使用一家他在英国成立的假公司从Symantec获得证书之后发布的。他建议黑客可以从黑暗的网络上获取证书,并利用这些证书建立一个假公司,然后购买一个假域名和一个EV SSL来保护这个域名。研究人员伊恩·卡罗尔(IanCarroll)进行了一个稍有不同的实验,注册了一家假公司,但以一家已经存在的公司的名义,进行了条纹。他在另一个国家注册了公司,申请了改为https://stripe.ian.sh真实的https://stripe.com和显示在Safari中,两个站点的URL栏看起来完全相同。这些文章在业界掀起了一波关于EV SSL价值的争论。我一直在密切关注这段对话,但不得不说,很难不生气。对困扰这个行业多年的错误信息感到愤怒,对我们都要为此负责感到愤怒。我想我们都已经失去了EV SSL的真正含义。认证机构可能会因为错误地营销EV SSL并使其听起来像是EV证书可以单枪匹马地打击网络钓鱼并神奇地增加你的销售额,但安全研究人员和专业DV支持者也可能被指责忘记了EV在保护互联网方面的价值。浏览器也有错,因为他们没有给EV一个合适的用户界面;这是普通消费者能够正确理解和识别的东西。我希望在这个博客中看到evssl的一些主要问题,我将引用Google上Mozilla Dev安全策略组的话。EV SSL的用途EV SSL可以用于网络钓鱼吗?是的,正如我们从上面的研究中看到的。但对于一个黑客来说,要想通过购买假身份、注册假企业、支付优质证书以及等待3-5天的EV SSL订单验证才能开始进行犯罪活动,他们必须非常坚决。尤其是当他们已经知道他们可以在几秒钟内得到一个免费的DV,这给了他们一个大多数消费者都可能信任的挂锁。这就是EV SSL的意义所在。当CA/Browser(CA/B)论坛制定了EV指南时,他们特别指出,EV SSL证书的目的是:a) 确定控制网站和b) 启用与网站的加密通信。更具体地说,关于"a"点,它说电动汽车是为了:"[p]向互联网浏览器的用户提供合理保证,即用户正在访问的网站由企业价值证书中指明的特定法人实体控制,该法人实体的名称、营业地址、注册地或注册辖区、注册号或其他消歧信息。"这里最主要的是合理的保证。我们不能保证或100%知道您所使用的网站是合法的业务(而且电动汽车证书不能保证该业务的活动),但我们可以向您展示他们是谁。所以你可能会问,这有什么意义?隐私与身份自从互联网存在以来,信息安全界一直在努力解决两个安全问题。隐私–我们如何确保第三方无法读取Bob和Alice之间的私人通信?身份——爱丽丝如何确保鲍勃和她真正交流?这些与互联网存在之前的问题非常相似。邮政投递使用信封和蜡质标记来防止它们被打开,但是有人仍然可以打开你的邮件,伪造你的个性化蜡质徽章来执行老式的"中间人"或网络钓鱼攻击。事实上,没有保证,只有缓解。但缓解措施仍然很重要。这让我回到以前业界关于DV被用于网络钓鱼的争论,这最终是一个身份问题——访问者无法分辨谁在运营网站,他们在与谁交流。2017年3月20日,SSL商店的Vincent Lynch发布了一个博客,其中显示了1000个证书,其中包含"PayPal"一词。超过99%用于钓鱼网站。虽然像Let's Encrypt这样的公司因其为市场提供了一种简单有效的获取免费DV证书的方式而受到赞扬,但这也带来了额外的负担,即成为数百万钓鱼网站的推动者,这些网站现在可以滥用绿色锁,以看起来更值得信赖。此外,最近在一些浏览器用户界面中为所有使用SSL的网站添加了"安全"标签,因此即使是钓鱼网站也会被标记为"安全",因为它使用的是DV证书。这里的问题是隐私和身份的结合——挂锁、HTTPS,在某些情况下,浏览器中显示的"安全"标签只是为了保证隐私(与站点的连接是加密的),但是站点访问者在看到这些安全指标时会假定一定程度的合法性斯科特·赫尔姆在他的文章中说得很好:"安全"指示器表示浏览器已连接到一个服务器,该服务器为我们所连接的域名提供了有效证书,ddos防御服务,该证书由浏览器信任的CA颁发,并且已建立加密连接。就这样。地址栏中所有绿色的HTTPS意味着。问题是,许多人认为它的意义远不止于此,关闭ddos防御,它还为网站提供了某种可信度。似乎有些方法可以让网站背后的身份对访问者透明,这对解决这一困惑有很大帮助,ddos攻击与防御技术的内容,比如说"你的提交文件被加密了,你在和你认为自己是谁的人交流"。对我来说,这些经过验证的身份信息才是EV的真正价值所在,而且在我看来,它为什么会留在这里。如上所述,EV的目的之一是识别控制网站的法人实体。该信息已在证书中;这只是一个让访问者更容易消费的问题。如何呈现这些信息是另一个问题——我并不是说现在如何做才是最好的方法,也不是说不能改进——但我认为,与其很快就完全否定EV,相反,我们应该讨论如何充分利用其严格的身份验证过程,并潜在地改进如何向访问者显示这些信息……这就引出了关于浏览器用户界面的下一点。        有关网络钓鱼中使用DV的其他相关文章:https://textslashplain.com/2017/01/16/certified-malice/https://www.scmagazineuk.com/fraudsters-exploit-weak-ssl-certificate-security-to-set-up-数百-of-phishing-sites/article/535243/http://searchsecurity.techtarget.com/news/450415470/DV-certificates-used-but-policing-may-not-be-possible浏览器用户界面从IanCarrol的研究中直接截取截图,你可以看到evssl看起来很不一样,这取决于你在看什么浏览器。1Safari–完全隐藏URL!!这对试图发现网络钓鱼网站的用户不好。2Chrome——此时,Chrome会在挂锁后用绿色显示EV公司名称。要查看有关证书背后的公司的更多详细信息,您必须单击几下鼠标并深入了解证书的详细信息。在Mozilla讨论组中,Ryan Sleevi提到Chrome甚至可能会从其浏览器中删除这一特殊特性:正如您所知,Chrome仍然在评估EV拥有特殊用户界面的价值,正如在过去的CA/Browser论坛会议上所讨论的[1][2]。这并不是说EV对整个生态系统的价值,而是在区分这些证书或提供专用UI的浏览器中的价值。三。与Chrome不同,Firefox允许你在两次鼠标点击中查看公司所在的城市和州。但正如伊恩正确指出的那样,用户在检查这些信息是否匹配之前,必须知道他们订购的公司总部在哪里。奇怪的是,谷歌的代表们建议完全取消电动汽车用户界面,而标准化电动汽车用户界面似乎是解决与其价值相关的问题的一个巨大飞跃。当然,并不是每个人都会费心去检查他们购买的网站的国家和州,但要有更好的意识,也许我们会在访问像PayPal这样的主要网站时。完全取消EV治疗,你就会面临这样一种情况:没有一个互联网用户能够对一个网站的合法性做出判断。只有在有人被骗后,网站才会进入网络钓鱼过滤器。我更喜欢这样一个世界:浏览器识别清晰,互联网用户被教育要注意什么,这样就少了人上当受骗,ddos防御设置参数,每个人都是根据自己的判断做出决定的。电动汽车验证一些人认为电动汽车验证是问题的一部分。根据指南,证书颁发机构(CA)必须验证:申请人的合法存在或身份,100g高防cdn作用,申请人的实际存在,申请人的实际存在。申请人必须向其管辖范围内的注册机构或注册机构提交申请,才有资格成为私人组织。在许多情况下,这意味着有一个注册号。但正如我们所看到的,申请和注册一家企业非常容易。政府实体没有对申请人进行检查,但是他们会检查什么?所以这就是第二个和第二个