超级会员免费看
网络安全与公钥基础设施(PKI)技术解析
1. 证书撤销状态检查
在网络安全中,证书的撤销状态检查至关重要。通常可以使用在线证书状态协议(OCSP)来检查证书撤销状态,而无需获取所有已撤销证书的完整列表。证书中常常将证书撤销列表(CRL)和 OCSP 的统一资源标识符(URI)作为扩展包含在内,这样验证方就无需提前知晓它们的位置。
不过,在实际应用中,许多 SSL 客户端要么根本不检查证书撤销状态,要么即使远程方的证书已被撤销,仍允许建立连接(可能会给出警告)。这种宽松行为的主要原因有两个:一是获取当前撤销信息会带来额外开销;二是为了确保连接的顺畅性。虽然增量 CRL(仅包含与前一版本 CRL 差异的 CRL)和本地缓存能在一定程度上缓解问题,但主要证书颁发机构(CA)的 CRL 通常非常庞大,需要在建立 SSL 连接之前下载,这会增加用户可感知的延迟。OCSP 虽然改善了这种情况,但仍需要连接到不同的服务器,同样会增加延迟。
此外,由于 CA 基础设施中的网络或配置问题,撤销信息可能根本无法获取。对于大型 CA 而言,撤销数据库故障可能会导致大量安全网站无法正常工作,这将直接给网站运营商带来经济损失。而且,用户通常不喜欢遇到连接错误,当遇到撤销错误时,大多数用户会选择使用另一个不那么严格、能正常工作的 SSL 客户端。
2. JSSE 简介
JSSE(Java Secure Socket Extension)API 位于 javax.net 和 javax.net.ssl 包中,提供了以下功能的类:
- SSL 客户端和服务器套接字
- 用于生成和处理 S
订阅专栏 解锁全文
扫一扫
1912
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
