要讨论这个问题,首先我们需要把概念理清,我们经常提到的数字证书主要应用在两个环节,客户端证书和服务器证书。CA证书是指客户端证书,主要的作用是提供用户身份验证。安全链接层的SSL证书是服务器证书,主要的作用是提供加密和安全功能。这两者的区别即使是专业人士也经常会搞混,简单的说,CA解决的身份验证的问题,SSL解决的是通信加密的问题。本文的重点是说明为什么CA证书作为客户端的身份验证解决方案已经成为累赘。
首先,我们来分析CA证书的实现原理。CA证书的工作原理基于PKI认证模式,PKI(Public Key Infrastructure)即公共密钥体系,它是利用一对互相匹配的密钥进行加密、解密。一个公共密钥(公钥,public key)和一个私有密钥(私钥,private key)。其基本原则是:则一个密钥进行加密的信息内容,只能由与之配对的另一个密钥才能进行解密。公钥可以广泛地发给与自己有关的通信者,私钥则需要十分安全地存放起来。每个用户拥有一个仅为本人所掌握的私钥,用它进行解密和签名;同时拥有一个公钥用于发送信息加密,当发送一个保密信息时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地,即使被第三方截获,由于没有相应的私钥,也无法进行解密。这里要提一提第三方截获,我们目前的网络环境,要进行信息截获,是非常容易的事情,尤其是在公共wifi里,进行明码通信,没有任何秘密,因此,在公共wifi中上网,尤其是爱蹭网的朋友,一定要保持好的上网习惯,不然,一不小心就踩雷。我们了解了PKI的基本原理,再来看CA证书的运作模式,CA证书是由一个可信任的第三方认证机构-CA数字证书认证中心,颁发的一组包含用户身份信息(密钥)的数据结构,然后通过PKI的加密算法来保证CA证书执有者的身份安全。这个数据结构(CA证书)可以保存在你的本地电脑里,也可以保存在U盾(USB key)里,保存在本地电脑,一旦电脑中毒,你的证书文件就可能被人非法copy,从而导致私钥泄露。如果把证书文件保存在USB硬件里,通过pin码和智能芯片的硬件保护机制,就实现了更好的安全。最近这十年来,这种技术广泛用于金融、政府领域,尤其是网上银行,普遍采用了U盾解决方案。然后,这是最完美的解决方案吗?有没有更好的解决方案?
我们再来看看,CA证书存在哪些问题?
一、用户体验问题,CA证书的解决方案,是一个传统IT时代的解决方案,不是一个基于互联网思维的解决方案,CA证书,实际上,人为的制造了障碍,大大增加了用户的操作成本,它是以牺牲效率为代价,来解决的身份验证的问题,但是,实际上CA解决的只是“端”的认证,而不是一个真正意义上的“人”的认证。更重要的是,在移动互联网时代,大多数设备是不具备USB接口的,这个时候,当你要使用网上银行时,就非得带着一台笔记本电脑才行吗?还是让手机有一个通用的usb接口?显然,这都不是我们想要的,CA证书,在网上银行最初的推广实践中发挥了非常重要的作用,获得了管理者心理上的安全,但是在新的环境下,业内不得不思考,有没有用户体验更好的,没有障碍的解决方案。
二、成本的问题,CA证书的应用,已经形成了一个很大的产业,全国各省各地,都建有认证中心,维持一个认证中心需要花费很大的成本,然后是一些政府平台比如工商、税务平台就成为这些认证中心最佳的猎食对象,搞定一个省的厅级机关,就可以搞定几十万的企业客户,每个客户每年200-500万费用,算一算,这是多大一笔钱?更头痛的是,不同政府机关的推广,会使用不同的认证中心,一份企业数字证书,有可能还是不通用的,企业又要重复花钱。这个费用是一口价啊,对小微企业、个体户来说,多少也是一个负担。而且这是每年都要强制支付的费用哦,大家想像一下这个数钱的快感与权力寻租的场景吧。
三、安全的问题,CA证书真的安全吗?虽然它解决了身份验证的问题,但实际上它也增加了安全风险,最大的安全漏洞就是在这个“可信任”的认证服务器上,一些认证服务中心的技术力量根本就不过关,日常运维也达不到你想像中的安全级别,特别是一些政府系统单独建立的认证服务器,漏洞和筛子一样。认证服务器的安全都不能保证,你解决了身份认证又有什么意义?
最后,我们来看一看有没有更好的解决方案?
随着应用场景的变化,互联网生态环境的变化和新技术的创新,实际上,我们现在完全可以用更简单、用户体验更好、成本更低、安全体系更完善的解决方案来取代掉CA证书。
比如我们可以用短信认证、微信认证这样的移动端技术来解决身份认证的问题,我们也可以用设备的物理基因特征和人的生物基因特征来完成身份认证。然后我们使用SSL服务器证书来保证端与服务器之间的通信加密,对于金融或者政府平台,我们可以用第三方的信息保全技术来实现独立信息公正、证据链保存和司法存证。短信验证+SSL通信加密+司法存证就完全可以构建出一个消平连接障碍的安全信任体系。
独立第三方的司法存证还带来更多的好处。1、信息不可篡改,可以出具信息公证,增强信息公信力。2、完整的信息记录过程,形成证据链条,即可以作为事前证据进行锁定,也可以反证身份的有效性。3、司法证据认可,对黑客行为天然产生震慑力。
别再质疑,时代已经选择放弃CA证书,想像一下未来的场景,当一切都是实时连接的时候,我们真的还需要用这种古老和多此一举的方式来进行身份验证吗?
817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
