刚才有提到证书是由专业机构颁发的,不过,
- 专业机构就没有坏人了嘛。
- 证书就不会被人偷吗。
- 专业机构被骗了怎么办。
事实上,荷兰专业机构(DigiNotar)甚至被入侵过一次, 丢了好几百个证书,你可以自行脑补一下有人潜入公安部自己办了几百个警官证是一个多么壮观的场景。
于是,IETF在2013年启动了一个叫做certificate-transparency的开源项目,把所有已知的合法证书做了一个白名单,浏览器在验证证书的时候同时也会去查看这个证书是不是在白名单里面。 如果不在的话,就会告知用户这个证书找不到记录,于是,有可能是假或者是被盗的证书。
但是,这里有一个致命的问题:
到目前为止,这个还只是一个试验性项目,而这个世界上那么多的网站, 你白名单得过来嘛。
(注意:已经没有警示标志)
比如上图所显示的,其实也没有审核纪录,不过警告的标示去掉了。说明谷歌其实自己也知道目前白名单的覆盖很差,一般找不到记录,并不会加上确切的警告标示。所以,目前你可以忽略它。
关键在第二个:
本网站采用较弱的安全配置(SHA-1签名),所以你的连接可能不是私人的。
这个就比较有意思了。
还是那个警官证的问题。 要搞一个警官证除了去偷/骗/潜入公安部自己做一个真的以外, 你还可以做个假的嘛。
对于数字证书来说,最重要的鉴别真假的部分是数字签名,而鉴于数字证书一般不小,不可能对每个字节都签一次名,一般来说是对数字证书的一个哈希值进行签名。
如果你不知道哈希值是什么,我给你打个比方。如果你是一个数字证书, 那你的照片就是你的哈希值。
它包含下面2个条件:
- 通过合适的手段,可以从你产生你的照片, 但是没法从照片产生你 。意思是,先有你,才能有照片。
小编推荐阅读
- 只有你可以精确的产生你的照片,别人都不行。你就是唯一的,你的特征是别人没有的。