Let's Encrypt​​​​​​​ 倡议新证书策略,提高抗网络攻击能力

oschina
 oschina
发布于 2020年02月21日
收藏 16

Let’s Encrypt 是一家得到 Mozilla Firefox 和 Google Chrome 支持的自动化证书颁发机构。该机构近日宣布了一项新措施,从而进一步保护用户免受网络攻击的侵害。这项新功能被称为多角度域认证(multi-perspective domain validation),可帮助证书颁发机构(CA)证明申请人对他们想要获得证书的域具有掌控权。

域验证并不是什么新问题,但在验证过程中还存在很多的漏洞,这意味着网络攻击者可以诱使 CA 机构错误地颁发证书。而通过多角度域认证,网络攻击者需要同时破坏三个不同的网络路径,这不仅大大提高了安全系数,而且在互联网拓扑社区中也能更快发现网络攻击行为。

在新闻稿中,Let’s Encrypt 特别感谢了普林斯顿大学的几位研究人员在多角度域验证方面的帮助,并表示将继续与研究人员合作,以改善设计和实施的有效性。

稿源:cnBeta

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Let's Encrypt​​​​​​​ 倡议新证书策略,提高抗网络攻击能力
加载中

精彩评论

SpringBoot中文社区
SpringBoot中文社区
一直用验证DNS的方法来申请证书。好像只有验证DNS这种方式才能申请到通配符的域名证书。
https://springboot.io/t/topic/1242
不懂技术的程序员
不懂技术的程序员
本地用啥https,自己签发就行了
Feng_Yu
Feng_Yu
let's encrypt颁发的是可信证书,当然localhost没法用,甚至ip也不能用。本地和局域网建议mkcert,可以看我的blog: https://blog.dteam.top/posts/2019-04/%E6%9C%AC%E5%9C%B0https%E5%BF%AB%E9%80%9F%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88mkcert.html

最新评论(28

SpringBoot中文社区
SpringBoot中文社区
一直用验证DNS的方法来申请证书。好像只有验证DNS这种方式才能申请到通配符的域名证书。
https://springboot.io/t/topic/1242
haitaosoft
haitaosoft
家庭宽带,端口不能用80/443,它就不支持了。。。。。不考虑、照顾中国国情
Love4Taylor
Love4Taylor
DNS 验证了解一下?
haitaosoft
haitaosoft
家庭宽带,只有一个2天一变的外部IP。想用 home.myhost.cn 对应它。
腾讯云、阿里云的vps,外部ip固定,也可以用80/443端口,但不能用域名访问,用http://ip是可以。。。想用 tx.myhost.cn 和 al.myhost.cn 对应它们。
可以用dns方式申请 *.myhost.cn 的证书复制给这3个地方用吗?
_Anonymous_
_Anonymous_
不就是泛域名嘛,DNS验证方式支持这一做,百度必应谷歌随便搜索“Lets encrypt DNS 验证泛域名”就能找到你想要的。然后域名对应IP方面,DDNS就可以了。DNS方式比起HTTP方式灵活得多。
haitaosoft
haitaosoft
除了泛域名,还有2个IP地址。
刚刚在一个vps上申请时,直接说另一个vps的IP不给用?
我是想在所有机器上都用同样的一份证书。难道就为了2个IP而不得不申请2份?
haitaosoft
haitaosoft
不是 IP非本机 的原因。而是不支持IP:
The Let's Encrypt certificate authority will not issue certificates for a bare IP address.
_Anonymous_
_Anonymous_
端口不能用80和443,那就换DNS验证。它支持DNS验证。
haitaosoft
haitaosoft
哦,还要加上2个IP:*.myhost.cn,txIP,alIP 的证书。
https://al.myhost.cn https://tx*.myhost.cn 都还是不给访问的。
只能 https://alIP https://txIP 才行。
开源中国合格公民
开源中国合格公民
localhost 是不是不能注册?是不是必须真的域名,且可以访问才可以
不懂技术的程序员
开源中国合格公民
开源中国合格公民
那就没得玩了,谢啦!
不懂技术的程序员
不懂技术的程序员
本地用啥https,自己签发就行了
Feng_Yu
Feng_Yu
let's encrypt颁发的是可信证书,当然localhost没法用,甚至ip也不能用。本地和局域网建议mkcert,可以看我的blog: https://blog.dteam.top/posts/2019-04/%E6%9C%AC%E5%9C%B0https%E5%BF%AB%E9%80%9F%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88mkcert.html
开源中国合格公民
开源中国合格公民
嗯,谢谢
TGVvbmFyZA
TGVvbmFyZA
PKI有推薦嗎?
Feng_Yu
Feng_Yu
并没有,我这边用到PKI的场景不多。印象中openssl自带有实现和支持,配合nginx就可以实现,没怎么细细研究。以前搞过一次,玩完就忘了,就再也没用到过
久永
久永
请问 mkcert 局域网能用吗?IP能用吗?
如果不能用,那么怎样才能使用 本地网和本地IP也用起来。
Feng_Yu
Feng_Yu
能用,看我的文章,写了,还有局域网测试,都不看文章的吗?
久永
久永
这不是书到用时才方恨少嘛!
惭愧惭愧!
ACANX
ACANX
很好用,完美的解决了我的开发需求
久永
久永
现在才看到。。。建议你以后发按照我的格式更醒目:

《本地https快速解决方案——mkcert - DTeam 团队日志》
https://blog.dteam.top/posts/2019-04/%E6%9C%AC%E5%9C%B0https%E5%BF%AB%E9%80%9F%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88mkcert.html

不然大多数人看到评论里的一段“乱码”的信息会在进入大脑高级皮层前被低级皮层自动过滤掉,嘎嘎😆
TGVvbmFyZA
TGVvbmFyZA
本地簽發我之前玩過一次,OpenSSL教程聽多了,多看幾個就會了。(為啥要用localhost,沒名字嗎?
开源中国合格公民
开源中国合格公民
给测试用,我们开发需要给测试搭tomcat,又没有真的域名,代码里面又有转跳,上次谷歌浏览器就因为本地签发的证书的问题,直接把转跳给取消了。
颜文
颜文
配置本地的host的强制指向,就可以了
L
Lonelyleaf
其实应该是可以的,le可以签wildcard证书,而域名解析到127.0.0.1是完全没问题的。我试过域名解析到本地,但https确实还没试过。
L
Lonelyleaf
补充下,验证方式用的dns验证(阿里云的api+dns txt记录)。不过没用用le的原生api,用的acme这个工具https://github.com/acmesh-official/acme.sh
返回顶部
顶部