谷歌浏览器Chrome将停止SSL的撤销检查,取而用Chrome自己维护的、可自动更新的被撤销证书列表检查来替代SSL的撤销检查。不过,由于Google还需要跟CA(认证中心)协调自动同步等问题,Chrome的这项变更预计还需几个月的时间才能生效。
知识普及:什么是SSL撤销检查(SSL revocation check)
据维基百科的解释,SSL 安全套接层(Secure Sockets Layer,)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持,目前已成为互联网上保密通讯的工业标准,现行Web浏览器亦普遍将Http和SSL相结合,从而实现安全通信。此协议和其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
SSL撤销检查的短板:
SSL撤销检查并不能保证最终用户的安全,因为Chrome和其他大多数的浏览器一样,即使无法确认证书是否被篡改,也仍然会建立网络连接。此种状况一般被称为软失败(soft-fail revocation check):即撤销检查遭遇网络问题,比如说CA服务器暂时宕掉了等。
SSL对于软失败的处理策略是忽略!正是这种忽略,有能力假冒受信网站的攻击者当然也会有能力屏蔽掉那些说证书不再合法的警告,伪装成(CA)服务器暂时宕掉的假象。
“因此撤销检查软失败就好比是撞车的时候安全带断了,” Google的研究人员Langley写道:“哪怕它99%的时间能正常工作也没用,因为它只在你不需要的时候工作正常。”
“在线撤销检查的好处难觅,代价却很明显:慢,且危害隐私”,Langley说。因为检查平均耗时为300毫秒,意味着页面加载要1秒钟,很多网站都不愿使用SSL。同时,这些服务还使得认证中心能够收集到用户的IP地址及其访问过的网站。