Безопасное обновление сертификатов центра сертификации
Сертификаты центра сертификации обычно связаны с приложением, с которым они используются, но как вы можете автоматически обновлять их безопасно?
В PHP рекомендуется использовать https://curl.haxx.se/ca/cacert.pem вместе с cURL, что безопасно, если вы предварительно связали его, но этот URL не поддерживает HTTPS, поэтому Для атаки среднего уровня вполне возможно подделать разные сертификаты.
1 ответ
Это связано с проблемой безопасной доставки кода, и поэтому я подозреваю, что решение этой проблемы также решит эту проблему.
Практическое решение на сегодня
Прислать людей из Mozilla к GPG, подписать certdata.txt, проверить подписи на вашем конце, а затем использовать тот же сценарий Perl, который использует команда Curl для создания вашего собственного файла.pem. Вырежьте посредника.
Гипотетическое решение на завтра
Примечание: если люди в curl.haxx.se не могу настроить HTTPS, я не знаю, сколько повезло бы сообществу, чтобы убедить его настроить этот процесс аутентификации.
- Безопасность транспортного уровня должна быть обязательной.
- Цифровые подписи ( GnuPG, minisign и т. Д.) Должны быть использованы.
- Подписи и их временные метки должны рекламироваться в блокчейне (например, в биткойнах) или в такой системе, как прозрачность сертификатов Google.
Это предотвратит вмешательство кого-либо в ваше общение с curl.haxx.se, также предотвращая взлом curl.haxx.se от предоставления списка отравленных сертификатов конечным пользователям. Рекламируя сертификаты и временные метки в децентрализованной бухгалтерской книге и предоставляя некоторый механизм проверки на стороне клиента, целевые атаки перестают быть осуществимыми.
Это не остановит людей на curl.haxx.se от превращения зла.