国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　CANN(互聯(lián)網(wǎng)名稱與數(shù)字地址分派機(jī)構(gòu))發(fā)布了一個安然通知布告，夸大年夜SSL(加密套接字和談層)證書對不合格擴(kuò)大的內(nèi)部域名的首要性。甚么是一個不合格擴(kuò)大的域名呢?它會帶來哪些風(fēng)險?為甚么ICANN覺得SSL證書可以防御這個風(fēng)險呢?

　　DNS(域名系統(tǒng))是用于定名連接到Internet的計較機(jī)、辦事器和肆意其它資本的系統(tǒng)。好比www.mycompany.com這個主機(jī)名是由三個DNS標(biāo)簽構(gòu)成的：“www”是本地主機(jī)名，“mycompany”是二級域名，“.com”是頂級域名。當(dāng)一個主機(jī)名的所有標(biāo)簽都是明白指定，并且起碼有一個公共路由的IP地址與其相聯(lián)系關(guān)系時，這個主機(jī)名就是完全合格的域名。主機(jī)名“www.mycompany.com”可以經(jīng)由過程本地主機(jī)文件或一個DNS解析法度翻譯成一個IP地址。

　　組織凡是會用一些不合格的域名，如“郵件”、“維基”、“互換”等詞，在他們的本地收集上來辨認(rèn)機(jī)械，如許用戶經(jīng)由過程輸進(jìn)組織內(nèi)部資本的簡短名稱便可以搜刮到該組織。這些人類可辨認(rèn)的本地主機(jī)名相對IP地址來講也更等閑記憶和辨認(rèn)。假定這些主機(jī)沒有一個公網(wǎng)IP地址，他們就被視為沒有合格的域名。

　　電子前沿基金會(EFF)發(fā)現(xiàn)，CA(證書授權(quán)中間)為數(shù)以千計的用于在本地企業(yè)收集中辨認(rèn)機(jī)械的常見不合格域名簽發(fā)了合法證書。如許就造成了一個安然標(biāo)題問題，因為公開可托的CA頒布的數(shù)字證書是意味著該主機(jī)名可以獨一辨認(rèn)全部因特網(wǎng)中的一個資本，而這些不合格的域名不是獨一的，任何人都可能獲得一個認(rèn)證https://mail或https://wiki的證書。

　　假定一個報復(fù)打擊者獲得了不合格域名“郵件”的證書，那么這個證書便可以在瀏覽器或把持系統(tǒng)信賴存儲中鏈接到一個CA中間，報復(fù)打擊者可以將這個證書利用在對一個叫“郵件”的內(nèi)部收集中的肆意郵件辦事器的中間人報復(fù)打擊中，這個證書就是一個完美的身份捏造。報復(fù)打擊者和辦事器的連接看起來是很正常的，并且證書查抄會顯示報復(fù)打擊者的證書是由一個公開可托的CA或私家企業(yè)范圍的CA所發(fā)行。

　　因為各類CA中間一樣為內(nèi)部域名簽發(fā)了一些不合格的擴(kuò)大名，這個標(biāo)題問題就變得更糟了。例如，“.corp”的域名擴(kuò)大已用于良多私家企業(yè)收集內(nèi)部，可是“.corp”這個擴(kuò)大名今朝正被考慮將來作為一個gTLD(通用頂級域名)。假定新的gTLD開端運作，那么之前為“.corp”所頒布的證書還有其它新的gTLD便可以從真實的域名重定向到一個用戶。

　　為體味決這個標(biāo)題問題，CA/B論壇，一個證書授權(quán)中間和Web瀏覽器出產(chǎn)商組織,要求他們的CA成員不再向2015年11月1日之前到期的內(nèi)部辦事器名字頒布近似新的證書。2016年10月1號，所有CA中間預(yù)期將撤消剩下的仍在有效期的所有這類內(nèi)部辦事器域名證書，永久停用此類證書。可是直到2016年10月，新的gTLD仍存在暗藏縫隙。

　　企業(yè)治理員可以經(jīng)由過程不利用不合格證書拜候內(nèi)部資本來沖擊中間人報復(fù)打擊帶來的風(fēng)險。例如，一個郵件辦事器只能經(jīng)由過程完全合格域名https://mail. mycompany.com/來拜候，而不克不及經(jīng)由過程https://mail/.來拜候。企業(yè)發(fā)行證書應(yīng)當(dāng)利用它們本身私家的CA中間，如微軟證書辦事器，不該該為不合格域名和私家的，不成路由的IP地址簽發(fā)證書，并應(yīng)當(dāng)撤消現(xiàn)有的這類不合格證書。