那些遇到过的问题

SSL的替代品

Hen*_*nry 8 security ssl https cryptography

因此,在过去几年中,似乎SSL已经从安全社区中受到了相当大的打击.虽然技术原因超出了我的理解范围,但我理解这些概念并理解SSL随着新的弱点而变得越来越不安全.

我向你们提出的问题是:如果SSL"被打破",是否有可以取代它的技术?有更安全的替代方案吗?

任何想法都表示赞赏!:)

(ps,我不是特别谈论HTTPS - 我的意思是任何SSL技术)

roo*_*ook 12

SSL 没有被破坏.该协议设计为健壮的,可以在特定的密码套件中找到问题,并且补丁就像使用新的一行配置更改一样简单.有像SSLStrip这样的攻击以及防止它的方法,比如HTTP STS.

最大的问题是人们不经常使用HTTPS.这导致像OWASP a9这样的问题,可以被像firesheep这样的工具利用.

  • 而另一个"最大问题"是程序员通过信任所有服务器证书来彻底打破PKI模型以使其运行. (11认同)
  • 我不明白.你究竟有什么不同意的? (4认同)

jos*_*ain 7

我不同意之前关于SSL没有被破坏的回应 - 最近的一个主要问题是CA(证书颁发机构)受到了损害.SSL旨在使用受信任的第三方 - 永远.如果任何受信任的人受到损害,他们就拥有城堡的钥匙.

我们已经看到一些像CA这样的名字,比如Comodo和DigiNotar受到了损害.NIST发布了一份关于如何应对CA妥协ITL公告,这已经成为一个大问题.所以我认为虽然SSL/TLS的某些实现在技术上仍然合理,但"破损"部分是与"信任"源有关的设计问题.

  • SSL/TLS本身实际上并不依赖于PKIX(通常的CA模型); 因此,它没有被打破.与任何安全解决方案一样,非SSL安全解决方案(例如消息级安全性)或自制替代方案也必须具有信任方面.困难在于信任模型,它实际上独立于SSL/TLS,并且遗憾的是,它主要是非技术问题.归咎于SSL/TLS并试图替换它完全忽略了这一点. (2认同)

归档时间:

查看次数:

9888 次

最近记录:

11 年,8 月 前
相关归档
如何使用OpenSSL创建自签名证书 1169
我们可以为RSA提供多个带有一个私钥的公钥吗? 32
HTTP到HTTPS Nginx有太多重定向 11
保护部署在"恶意"环境中的系统 8
Solr的细粒度安全性 6
HTTP Content-Security-Policy 标头对于 Struts 中的 script-src 无法正常工作 6
如何使用Flask HTTP Auth为Web服务实现"不正确的用户名/密码"提示? 5
如何在 Apache HttpClient 5.1 中跟踪 POST 重定向 5
如何更改默认的RpcRequestBuilder? 3
Django:安全中间件正在崩溃网站 3
难疑归档
如何水平居中<div>? 4116
撤消尚未推送的Git合并 3695
如何动态合并两个JavaScript对象的属性? 2338
npm install的--save选项是什么? 1779
如何仅从SQL Server DateTime数据类型返回日期 1692
PowerShell说"在这个系统上禁用了脚本的执行." 1545
喜欢构成而不是继承? 1538
如何完全删除使用init创建的git存储库? 1358
何时使用struct? 1347
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115