ca加密是什么情况
在2012年夏天,我和Eric Rescorla决定成立一个证书颁发机构(CA) 。 CA作为第三方来颁发数字证书,该证书为证书持有者认证公共密钥。 我们构想的免费,自动化和开放式CA(后来称为Let's Encrypt )已构建,就发行量而言,它现已成为世界上较大的CA之一。
开始一个新的CA需要做很多工作-这不是一个轻易做出的决定。 在本文中,我将解释为什么我们决定启动Let's Encrypt,以及为什么决定从头开始构建新的CA。
我们有充分的理由在2012年开始构建“让我们加密”。当时,互联网工程任务组(IETF)是致力于网络协议的标准机构,已经开始制定HTTP / 2规范 。 是否对HTTP / 2要求加密(通过TLS )的问题引起了激烈的争论。 我在Mozilla和许多其他同事的共同立场是,应该要求加密。
那时,甚至在斯诺登的启示扩大并加速了关于加密的作用和需求的讨论之前,对于加密来说,成为网络上的规则而不是例外的需求对我们来说是显而易见的。 Web上交互的日益复杂性及其在我们生活中的亲密角色,导致了这样一种情况,即用户无法合理地完全控制甚至无法知道他们正在传输的所有敏感数据和元数据。 这可能不会很快改变,这可能是现代Web为我们带来的好处值得付出的代价。 不过,至少,我们可以在传输人员数据时对其进行加密。 在这一点上,默认情况下所有内容都需要加密,因为试图猜测需要加密的内容以及何时加密太困难,并且这种策略会让人们一次又一次地失望。
有一个特别好的论据反对要求对HTTP / 2进行加密-通过TLS获取和管理加密所需的证书太困难且成本很高。 如果我们需要TLS,我们将排除许多潜在的HTTP / 2采用者。 同样,由于当时的证书几乎普遍花费不菲的金钱,因此要求TLS才能有效地使HTTP / 2发挥作用。
如果我要保持HTTP / 2应该要求TLS的立场,我觉得我必须愿意为解决这一批评做出贡献。 我不愿意放弃我的看法,即默认情况下新的Internet协议应该是安全的,因此考虑该问题成为当务之急。
HTTP / 2规范最终并不需要TLS,这在很大程度上是因为我刚才概述的证书问题没有合理的解决方案。 TLS确实已成为HTTP / 2的事实上的标准,因为Google和Mozilla实施需要它,但证书问题仍然存在。 与获取和管理它们相关的困难和成本将不利于HTTP / 2的采用,并且可能甚至更重要的是,阻止了许多人保护其HTTP / 1站点。
免费,快速,自动化
Eric和我相信,Web需要一种免费且完全自动化的方法来使任何人都能获得证书,理想情况下只需几秒钟。 我们希望该系统能够自动执行客户端上的所有管理,以便打开TLS不需要了解有关如何请求,付款,正确安装,配置或更新证书的任何详细信息。 我们的想法几乎没有一个完全是原创的,但并未被主流CA生态系统所采用。 至少不是全部都在同一产品中。 激励措施还不存在。
我们花了很多时间思考和讨论如何使这种系统成为现实。 到2012年夏末,我们得出结论,相对快速且持久地实现我们的目标的唯一方法是启动新的CA。 宣传和传福音,建立新的标准以及要求现有的CA采取不同的行动不可能在短期内导致重大变化。
构建“让我们加密”并非易事。 团队需要学习很多知识,因为我们从建立或运营CA的宝贵经验开始。 我们中的一些人花费了数小时甚至数月甚至数年的时间。 考虑到我们的时间表,工作的细致本质以及我们可能失败的许多方面,压力水平经常很高。 我们成功建立了我们打算建立的CA,这主要是因为任务促使合适的人员和合作伙伴在需要时加紧努力。
借助Let's Encrypt,我们拥有一个强大的平台,可帮助保护全球的网站和人员,尤其是那些由于财务,技术和教育方面的障碍而无法参加安全且尊重隐私的Web站点的人员。 建立新的CA是正确的选择。
ca加密是什么情况
扫一扫
2611
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
