问防范流氓证书

EN

那么，SSL依赖于这样一个事实:您“信任”颁发证书的方--当前的设置是，任何CA都可以为任何域颁发证书。有一些项目试图为SSL证书实现信任网基础结构，其中社区确认证书的真实性。但你还是得相信社会。

例如，有透视图项目。这是一个Firefox扩展，允许您选择一个“公证服务器”来检查提供给您的证书是否与其他用户看到的证书相同(这样就可以检测到中间人攻击)。

还有一个名为Convergence.io的全新项目，它是由莫西·马林斯派克开发的，它基于佩佩克蒂斯的思想，但允许细粒度的配置。目前，这是最好的，它似乎很快得到了关注。我建议安装Convergence.io。

有几种方法，我已经看到，可以用来帮助保护免受流氓证书。

Cert巡逻是一个火狐插件，当先前接受的证书更改时，它会通知用户。

收敛性更多地是传统CA系统的替代方案。

此外，谷歌硬编码他们的服务的合法证书进入铬，这可能有助于这一特定的情况，但不是一个更广泛的解决方案。

我所见过的另一个想法(但目前还没有实现)是在证书上有多个签名，例如让3 CA对给定的证书进行签名(尽管您认为这需要一些浏览器集成，这样它就可以接受同一域的一个签名证书，而不是一个签名证书)。这并不能真正解决根本原因，但可能有助于降低单个CA妥协的可能性，从而允许完全破坏SSL信任设置。

@JeffFerland写了这篇博客文章关于“解决证书颁发机构问题”的文章，除了回答@RoryMcCune在这里给出的答案之外，他和@nealmcb还就回答这个问题。的主题提供了出色的输入。