日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在COVID-19疫情爆發(fā)前，證書(shū)頒發(fā)機(jī)構(gòu)的監(jiān)管已經(jīng)非常復(fù)雜且艱巨，而在疫情期間，社交距離要求、隔離和就地避難命令使得面對(duì)面的會(huì)面異常困難，導(dǎo)致無(wú)法驗(yàn)證數(shù)字證書(shū)。

員工經(jīng)過(guò)長(zhǎng)期磨合與沉淀，具備了協(xié)作精神，得以通過(guò)團(tuán)隊(duì)的力量開(kāi)發(fā)出優(yōu)質(zhì)的產(chǎn)品。創(chuàng)新互聯(lián)公司堅(jiān)持“專(zhuān)注、創(chuàng)新、易用”的產(chǎn)品理念，因?yàn)椤皩?zhuān)注所以專(zhuān)業(yè)、創(chuàng)新互聯(lián)網(wǎng)站所以易用所以簡(jiǎn)單”。公司專(zhuān)注于為企業(yè)提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、微信公眾號(hào)開(kāi)發(fā)、電商網(wǎng)站開(kāi)發(fā)，微信小程序，軟件按需制作網(wǎng)站等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。

例如，主要Web瀏覽器需要證書(shū)頒發(fā)機(jī)構(gòu)(CA)進(jìn)行年度審核，該審核由第三方公司到現(xiàn)場(chǎng)執(zhí)行。更重要的是，CA會(huì)執(zhí)行密鑰儀式，密鑰儀式通常用于生成數(shù)字證書(shū)的公鑰和私鑰，甚至用于吊銷(xiāo)或銷(xiāo)毀受損的證書(shū)。

大多數(shù)密鑰儀式不僅需要審計(jì)員，而且還需要公證人、法定代表人、正式見(jiàn)證人和密鑰儀式“主人”以及來(lái)自CA本身的管理人員。這些儀式只能由經(jīng)過(guò)授權(quán)的人員在安全設(shè)施中進(jìn)行;訪(fǎng)問(wèn)這些設(shè)施通常需要多層身份驗(yàn)證，包括智能卡和生物識(shí)別掃描。未能進(jìn)行審核或延遲密鑰生成儀式可能造成毀滅性后果，這不僅影響有問(wèn)題的CA，而且還影響依賴(lài)于該CA證書(shū)的每個(gè)HTTPS網(wǎng)站、代碼簽名的應(yīng)用程序和經(jīng)過(guò)身份驗(yàn)證的數(shù)字文檔。

Sectigo(前身為Comodo)公司SSL首席技術(shù)官Nick France說(shuō)：“我們必須進(jìn)行審核，而且我們必須將密鑰材料安全地保存在數(shù)據(jù)中心中，這要求人們親自前往現(xiàn)場(chǎng)。”

在最佳情況下，此類(lèi)活動(dòng)需要經(jīng)歷精心的規(guī)劃和艱苦的過(guò)程。據(jù)總部位于英國(guó)的GlobalSign公司首席信息安全官Arvid Vermote稱(chēng)，冠狀病毒大流行使本來(lái)已經(jīng)很復(fù)雜的審計(jì)和密鑰管理操作更具挑戰(zhàn)性，特別是在網(wǎng)絡(luò)釣魚(yú)攻擊的證書(shū)濫用日益增加之際。

一些世界最大的CA機(jī)構(gòu)表示，在當(dāng)前情況下，他們?nèi)栽谔幚砻荑€管理活動(dòng)。但是目前尚不清楚這種情況能持續(xù)多久，尤其是當(dāng)情況惡化時(shí)，這對(duì)網(wǎng)絡(luò)安全的基石意味著什么。

密鑰儀式挑戰(zhàn)

大多數(shù)CA具有廣泛的業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃，以確保根密鑰得到保護(hù)，并在必要時(shí)進(jìn)行生成和吊銷(xiāo)。但是他們承認(rèn)，他們沒(méi)有為COVID-19做好充分準(zhǔn)備。

Vermote說(shuō)，幾年前，GlobalSign解決了圍繞根密鑰的安全性和可用性的風(fēng)險(xiǎn)。該公司在三個(gè)不同的洲設(shè)有分支機(jī)構(gòu)，這些分支機(jī)構(gòu)擁有活躍的成對(duì)的根密鑰，可在其他一個(gè)或兩個(gè)分支機(jī)構(gòu)因自然災(zāi)害、地緣政治破壞或其他災(zāi)難性事件而無(wú)法訪(fǎng)問(wèn)時(shí)管理密鑰。

Vermote說(shuō)：“我們最初解決了這些問(wèn)題，我們認(rèn)為這足以確保彈性?！?/p>

但是，當(dāng)冠狀病毒全球大流行影響GlobalSign的所有三個(gè)分支機(jī)構(gòu)時(shí)，這種情況發(fā)生了變化。GlobalSign和其他CA已被認(rèn)為是其運(yùn)營(yíng)所在的絕大多數(shù)國(guó)家和地區(qū)中必不可少的業(yè)務(wù)，這使工作人員可以旅行和訪(fǎng)問(wèn)數(shù)據(jù)中心以進(jìn)行關(guān)鍵的密鑰管理儀式。

但是由于這些活動(dòng)在大流行期間涉及大量工作和風(fēng)險(xiǎn)，因此，CA已嘗試調(diào)整其做法和時(shí)間表。例如，大型CA DigiCert表示，他們推遲了一些非關(guān)鍵密鑰管理活動(dòng)，以?xún)?yōu)先考慮其員工的安全，并“鼓勵(lì)保持社交距離，直到這種流行病平息”。

該公司發(fā)言人說(shuō)，DigiCert正在與客戶(hù)聯(lián)系，以預(yù)計(jì)需求并相應(yīng)地進(jìn)行安排，并且不會(huì)預(yù)見(jiàn)重大影響。

有些密鑰儀式比其他儀式更容易實(shí)現(xiàn)。例如，F(xiàn)rance表示，Sectigo定期為下屬或“子CA”執(zhí)行密鑰簽名儀式?！拔覀兊暮芏嗪献骰锇槎加凶覥A，從我們的根證書(shū)授權(quán)品牌給他們。我們維護(hù)并運(yùn)行該子CA –這是貼牌做法，并且，因?yàn)樗麄兊淖C書(shū)是從根證書(shū)簽名，所以我們需要進(jìn)入數(shù)據(jù)中心并執(zhí)行儀式?！?/p>

雖然密鑰簽名儀式的發(fā)生頻率比密鑰生成儀式的發(fā)生頻率高，但是它們并不需要那么多的參與者;建議讓審核員參與，但不強(qiáng)求。France說(shuō)，幸運(yùn)的是，Sectigo去年年底和今年大流行之前曾舉行過(guò)密鑰生成儀式。

他說(shuō)：“我們并不是很擔(dān)心，因?yàn)橹辽賹?duì)于我們來(lái)說(shuō)，那些密鑰生成儀式一次生成了大量密鑰。但是我們確實(shí)需要基于這些密鑰創(chuàng)建證書(shū)，這確實(shí)需要訪(fǎng)問(wèn)這些數(shù)據(jù)中心內(nèi)多層安全的機(jī)架，以離線(xiàn)簽名設(shè)備。”

有些組織沒(méi)有延遲密鑰管理儀式，他們選擇了不同的方法?；ヂ?lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA)管理著全球IP地址和DNS根區(qū)域分配，他們計(jì)劃于4月23日在美國(guó)舉行DNSSEC根簽名儀式。他們沒(méi)有推遲該活動(dòng)，ICANN(負(fù)責(zé)監(jiān)管IANA)決定在一個(gè)儀式中簽署9個(gè)月的證書(shū)，而不是每隔90天進(jìn)行簽名。

但互聯(lián)網(wǎng)協(xié)會(huì)互聯(lián)網(wǎng)技術(shù)、政策和倡導(dǎo)負(fù)責(zé)人Olaf Kolkman認(rèn)為，這種做法有利有弊。

他說(shuō)：“每個(gè)季度對(duì)密鑰進(jìn)行簽名的原因是為了降低風(fēng)險(xiǎn)。如果其中一個(gè)區(qū)域簽名密鑰遭到攻擊，則你至少只有有限的暴露時(shí)間(為期90天)?！?/p>

Kolkman曾在IANA擔(dān)任加密官員，并曾參加過(guò)DNSEC根簽名儀式，他指出，提前簽名密鑰會(huì)延長(zhǎng)攻擊窗口—當(dāng)這些密鑰被盜或者被暴露時(shí)。網(wǎng)絡(luò)罪犯可以使用密鑰對(duì)惡意軟件進(jìn)行代碼簽名，民族國(guó)家行為者可以將其用于精心設(shè)計(jì)的網(wǎng)絡(luò)間諜活動(dòng)-或更糟糕的是，攻擊會(huì)破壞互聯(lián)網(wǎng)本身。

他說(shuō)：“你可能會(huì)看到電影里的場(chǎng)景?！?/p>

另外，在大流行期間舉行密鑰儀式會(huì)帶來(lái)更多直接的健康問(wèn)題。

ICANN的IANA服務(wù)副總裁Kim Davies表示，該組織試圖盡量減少參加儀式的現(xiàn)場(chǎng)參加者的數(shù)量。周四的活動(dòng)將有7人在現(xiàn)場(chǎng)，而過(guò)去的儀式(例如2016年DNSSEC密鑰轉(zhuǎn)換)現(xiàn)場(chǎng)有超過(guò)20人。

他說(shuō)：“我們最終選擇了一種方法，我們嘗試使所有人盡可能地參與，但是以遠(yuǎn)程方式進(jìn)行?！彼a(bǔ)充說(shuō)，ICANN為遠(yuǎn)程參與者建立了安全的視頻會(huì)議渠道。

Davies說(shuō)，盡管ICANN數(shù)據(jù)中心的禮堂可容納30人，但安全籠或安全室卻不是這樣，這些區(qū)域是密鑰材料存放的位置，位于硬件安全模塊(HSM)中，通常為6英尺x 12英尺。該儀式每次需要三個(gè)人在安全室里。

根據(jù)Davies的說(shuō)法，ICANN于1月份采取了早期行動(dòng)，并為員工購(gòu)買(mǎi)了個(gè)人保護(hù)設(shè)備(PPE)。他說(shuō)：“當(dāng)然，我們是否需要為儀式穿全身的防護(hù)服，還需要進(jìn)行討論，但我們最終認(rèn)為這是沒(méi)有必要的。”

‘路演’

并非所有密鑰管理儀式都可以延遲或提前數(shù)周或數(shù)月計(jì)劃。證書(shū)頒發(fā)機(jī)構(gòu)有時(shí)會(huì)出現(xiàn)緊急情況，需要撤消甚至銷(xiāo)毀根密鑰。在這種情況下，儀式必須進(jìn)行。

GlobalSign最近遇到了這種情況。該公司發(fā)現(xiàn)存在合規(guī)性問(wèn)題，需要銷(xiāo)毀可能受到破壞的密鑰，這迫使Vermote和其他員工在本月初進(jìn)行了“路演”。

Vermote說(shuō)：“通常，在規(guī)劃全局密鑰管理時(shí)，你會(huì)考慮密鑰的生成和證書(shū)的吊銷(xiāo)。但是你不會(huì)考慮銷(xiāo)毀密鑰?！?/p>

對(duì)于密鑰生成或簽署證書(shū)吊銷(xiāo)列表(CRL)，你只需要前往一個(gè)密鑰管理位置。但是對(duì)于密鑰銷(xiāo)毀，準(zhǔn)則規(guī)定你需要銷(xiāo)毀你所擁有的所有密鑰副本，這可能需要前往多個(gè)數(shù)據(jù)中心。

Vermote說(shuō)：“上個(gè)月我們面臨的挑戰(zhàn)是，我們必須銷(xiāo)毀我們所有全球地點(diǎn)的所有這些密鑰的副本，而這些地點(diǎn)都處于鎖定或半鎖定命令之下，這相當(dāng)有趣。”

他說(shuō)，該過(guò)程是一個(gè)挑戰(zhàn)，因?yàn)镚lobalSign需要五到六個(gè)受信任的個(gè)人才能訪(fǎng)問(wèn)所有位置的根密鑰。這涉及大量的旅行和暴露于冠狀病毒的風(fēng)險(xiǎn)。而且，Vermote說(shuō)，這些人通常是該公司中高管，包括他本人。如果其中之一受到感染，則將破壞密鑰管理的業(yè)務(wù)連續(xù)性計(jì)劃，并使其他GlobalSign員工面臨風(fēng)險(xiǎn)。

但是GlobalSign不能簡(jiǎn)單地用有問(wèn)題的私鑰撤銷(xiāo)證書(shū)。

Vermote說(shuō)：“由于它們被用于為文檔加上時(shí)間戳，因此，如果你真的將其撤消，則所有證書(shū)都將失效。就我們而言，這意味著用GlobalSign證書(shū)簽名的數(shù)百萬(wàn)PDF文檔將被視為無(wú)效，我們當(dāng)然不希望看到這種情況。”

因此，Vermote和GlobalSign在所有地點(diǎn)進(jìn)行了路演，以審查密鑰管理活動(dòng)并在官方審核員在場(chǎng)的情況下銷(xiāo)毀密鑰。這包括存儲(chǔ)活躍密鑰對(duì)的三個(gè)主要位置(帶有“被動(dòng)”副本作為備份存儲(chǔ)的位置不需要密鑰儀式)。

本月初，Vermote必須訪(fǎng)問(wèn)GlobalSign存儲(chǔ)活躍密鑰對(duì)的三個(gè)位置之一，因?yàn)樗侵付ǖ拿荑€管理者，同時(shí)他還是該歐洲位置的儀式主持。Vermote一大早就帶著GlobalSign的一位同事，開(kāi)車(chē)穿越多個(gè)國(guó)家到達(dá)該設(shè)施，期間他們經(jīng)過(guò)多個(gè)警察站點(diǎn)和邊境巡邏檢查站，接受行李箱搜索、旅行批準(zhǔn)審查，甚至還有關(guān)于社交距離的指令。

他說(shuō)：“有人告訴我們，我的同事離我太近了，我不得不讓他坐在汽車(chē)的后座。同時(shí)，我們必須在另一個(gè)辦事處停下來(lái)，以取回存儲(chǔ)在保險(xiǎn)箱中的密鑰，這些密鑰是解鎖密鑰材料必需的材料?！?/p>

當(dāng)他們到達(dá)目的地時(shí)，此過(guò)程比正常情況更為復(fù)雜，因?yàn)樗邢嚓P(guān)人員必須穿戴大量的個(gè)人防護(hù)設(shè)備，并使用自己的個(gè)人鍵盤(pán)，同時(shí)保持彼此之間的安全距離。

這個(gè)過(guò)程，Vermote共花費(fèi)18個(gè)小時(shí)。但是他指出，密鑰銷(xiāo)毀的情況“非常罕見(jiàn)”，GlobalSign相信，只要情況不惡化，他們都可以“正?！边M(jìn)行密鑰生成、撤銷(xiāo)甚至銷(xiāo)毀活動(dòng)。

審核延遲和不確定性

審核并不像密鑰管理儀式那么關(guān)鍵，但是它們?nèi)匀皇亲C書(shū)頒發(fā)機(jī)構(gòu)安全性的重要組成部分。審核失敗或不完整會(huì)對(duì)證書(shū)頒發(fā)機(jī)構(gòu)造成嚴(yán)重后果;我們?cè)?jīng)看到賽門(mén)鐵克CA業(yè)務(wù)松懈的審核，導(dǎo)致谷歌、Mozilla和其他網(wǎng)絡(luò)瀏覽器在2018年棄用了數(shù)千個(gè)該公司的證書(shū)(賽門(mén)鐵克于2017年將該業(yè)務(wù)出售給DigiCert)。

審核程序分為兩種類(lèi)型：WebTrust程序，由加拿大特許專(zhuān)業(yè)會(huì)計(jì)師和美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)運(yùn)行;以及ETSI程序，由歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)運(yùn)行。但是，有關(guān)審計(jì)的最終決策權(quán)屬于主要的瀏覽器公司-即微軟、谷歌、Mozilla和Apple。

幸運(yùn)的是，某些證書(shū)頒發(fā)機(jī)構(gòu)(例如DigiCert)已于今年年初在限制生效之前完成了WebTrust和ETSI審核。

但是其他組織卻沒(méi)有那么幸運(yùn)。Vermote在2月19日的mozilla.dev.security.policy論壇中提到對(duì)審核過(guò)程的擔(dān)憂(yōu)。在CA代表與Mozilla和Google的官員進(jìn)行了一些討論之后，該瀏覽器制造商更新了有關(guān)審核延遲的指南。

Mozilla發(fā)言人說(shuō)：“目前，我們尚未看到COVID-19疫情造成任何實(shí)質(zhì)性影響。我們知道審核可能會(huì)延遲，因?yàn)閷徍藛T無(wú)法到現(xiàn)場(chǎng)，所以我們?cè)诖朔矫嫣峁┲笇?dǎo)?！?/p>

該公司表示：“當(dāng)CA意識(shí)到不可抗力將延遲他們的審核時(shí)，Mozilla希望CA能夠及時(shí)披露該問(wèn)題，提供定期信息更新，并保持與Mozilla根存儲(chǔ)策略的所有其他方面的合規(guī)性?！?/p>

到目前為止，這些瀏覽器制造商尚未報(bào)告由大流行引起的任何問(wèn)題。

有關(guān)審計(jì)和策略執(zhí)行，CA和瀏覽器公司似乎達(dá)成一致;Sectigo高級(jí)研究員Tim Callan表示，他會(huì)感到驚訝的情況是，如果谷歌、Mozilla和微軟沒(méi)有為CA提供靈活性，以盡力交流和提供透明度。

Callan說(shuō)：“他們有合法的必要知道CA在正確地完成其工作，審計(jì)是其中的關(guān)鍵部分。與此同時(shí)，他們也有合法的必要認(rèn)識(shí)到，如果出于健康和法律原因，無(wú)法讓W(xué)ebTrust審核員來(lái)到現(xiàn)場(chǎng)，那也只能這樣。”

然而，沒(méi)有人知道這種大流行會(huì)持續(xù)多久，這種靈活性可能會(huì)延續(xù)多久。France表示，Sectigo已經(jīng)討論了“虛擬”審核的想法，其中第三方使用安全的視頻會(huì)議渠道，例如ICANN來(lái)監(jiān)視和審查CA的設(shè)施。

盡管該方法在技術(shù)上可能可行，但最終還是要取決于瀏覽器的根程序。

France說(shuō)：“這個(gè)問(wèn)題，我們尚無(wú)答案，而且我甚至認(rèn)為各審計(jì)師本身對(duì)此也沒(méi)有好的答案，因?yàn)檫@種情況史無(wú)前例?！?/p>

主要CA表示，COVID-19大流行證明了其連續(xù)性計(jì)劃是有效的，并且已做好充分準(zhǔn)備以度過(guò)難關(guān)。Cullan說(shuō)：“我認(rèn)為所有主要CA都完成了這項(xiàng)工作，這是因?yàn)槲覀儧](méi)有看到有關(guān)重大停機(jī)的任何消息，這很重要?！?/p>

但是，Cullun說(shuō)，如果要延續(xù)到一年或更長(zhǎng)時(shí)間，則CA、Web瀏覽器和審計(jì)師將需要就改變某些做法和期望進(jìn)行討論。

這種情況可能引發(fā)有關(guān)CA監(jiān)管的長(zhǎng)期政策變更的討論。Vermote說(shuō)：“我認(rèn)為有機(jī)會(huì)向標(biāo)準(zhǔn)中添加更多內(nèi)容，以確?？梢员苊膺@些事情?！?/p>

但是也許專(zhuān)家們最迫切需要解決的問(wèn)題是，所有CA是否都具有強(qiáng)大的連續(xù)性和災(zāi)難恢復(fù)計(jì)劃。有些組織可能沒(méi)有快速有效地應(yīng)對(duì)緊急情況的基礎(chǔ)架構(gòu)或人員。

雖然GlobalSign和Sectigo都表示，他們正在大流行期間采取更為保守的方式與組織合作，但其實(shí)數(shù)字證書(shū)生態(tài)系統(tǒng)已經(jīng)非常龐大。

Vermote說(shuō)：“還有很多較小的區(qū)域性CA，而且我想知道這些CA是否可以在24小時(shí)之內(nèi)進(jìn)行緊急撤銷(xiāo)，這對(duì)于密鑰受攻擊的情況非常必要，并且對(duì)于互聯(lián)網(wǎng)安全至關(guān)重要?！?/p>
網(wǎng)站標(biāo)題：COVID-19使關(guān)鍵證書(shū)頒發(fā)機(jī)構(gòu)流程面臨挑戰(zhàn)
轉(zhuǎn)載源于：http://m.5511xx.com/article/cocidcp.html