Безопасное обновление сертификатов центра сертификации
Сертификаты центра сертификации обычно связаны с приложением, с которым они используются, но как вы можете автоматически обновлять их безопасно?
В PHP рекомендуется использовать https://curl.haxx.se/ca/cacert.pem
наряду с cURL, который безопасен, если вы предварительно связали его, но этот URL не поддерживает HTTPS, поэтому атака среднего уровня может подделать разные сертификаты.
Решение
Это связано с проблема безопасной доставки кода, и поэтому я подозреваю, что решение этого также решило бы это.
Практическое решение на сегодня
Жуки на Mozilla, чтобы подписать GPG certdata.txt, проверьте подписи на своем конце, а затем используйте тот же Perl-скрипт, который команда Curl использует для создания своего собственного .pem-файла. Вырежьте посредника.
Гипотетическое решение на завтра
Заметка: Если люди в curl.haxx.se не могу настроить HTTPS, я не знаю, сколько повезло бы сообществу, чтобы убедить его настроить этот процесс аутентификации.
- Безопасность транспортного уровня должна быть обязательной.
- Цифровые подписи (GnuPG, minisign, и т. д.) должны быть использованы.
- Подписи и их временные метки должны рекламироваться в блокчейне (например, в биткойнах) или в системе, подобной Google. прозрачность сертификата.
Это предотвратит вмешательство кого-либо в ваше общение с curl.haxx.se, также предотвращая взлом curl.haxx.se от предоставления списка отравленных сертификатов конечным пользователям. Рекламируя сертификаты и временные метки в децентрализованной бухгалтерской книге и предоставляя некоторый механизм проверки на стороне клиента, целевые атаки перестают быть осуществимыми.
Это не остановит людей на curl.haxx.se от превращения зла.
Другие решения
Других решений пока нет …