超级会员免费看
探索TLS证书演变与IDS加速中的TLS预过滤技术
1. PKI生态系统中TLS证书的现状
在网络安全领域,公钥基础设施(PKI)生态系统中的TLS证书起着至关重要的作用。近年来,TLS证书的有效性有了持续的提升,这在很大程度上归功于证书颁发机构(CA)。这些CA在证书管理方面的改进,使得更多证书在有效期内保持有效。
然而,支持自动证书管理环境(ACME)的CA也给整个生态系统带来了风险。PKI生态系统的特性决定了,一旦最不安全的CA被攻破,任何域名都可能被伪造。而且,针对这些CA所采用的域名验证机制,存在已知的攻击手段。
在证书颁发方面,我们还观察到一个令人担忧的趋势:颁发者的集中化程度显著增加。这很可能是由于Let’s Encrypt和cPanel的流行导致的。仅10个密钥就直接签署了80%的有效证书,这意味着如果这些密钥被攻破,随着这些密钥签署的证书被撤销或从信任存储中移除,绝大多数有效证书将变得无效。与根证书使用的密钥相比,这些密钥更容易被攻破,因为根证书密钥很少被保存在内存中用于签署其他证书,而这些密钥则持续保存在内存中。
2. IDS面临的挑战与TLS预过滤的提出
网络入侵检测系统(IDS)和入侵预防系统(IPS)在保障网络安全方面发挥着关键作用。但由于其计算复杂度高,部署困难且成本高昂。很多时候,IDS在高速网络链路上无法处理所有网络流量,会出现不受控制的数据包丢失情况。
为了实现高速数据包处理,可以使用多个CPU核心或进行适当的加速。但加速必须保证检测质量,并且要灵活应对不断出现的安全威胁。在入侵检测/预防系统中,一种常见的加速方法是绕过传输层安全(TLS)协议的加密数据包,因为IDS/IPS无法在加
订阅专栏 解锁全文
扫一扫
11
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
