2019年4月1日 作者:CONOR REYNOLDS
DigiCert执行官
只要有足够的计算能力在[物联网]设备上支持证书,那么就应该给物联网设备配备证书”
在一次会议上,DigiCert执行官John Merrill曾被介绍为拯救过互联网的公司的执行官。他低调地表示,这种说法让人“压力有点大”,不过他当然希望自己所管理的公司能因为恢复公众对网络的信任而被铭记。
数字证书巨头DigiCert每天为多达260亿次网络连接提供保护,其客户包括Paypal和Verizon;DigiCert还创造了多项行业,包括成为推出独立证书透明度日志服务器的公司、为Tor浏览器提供TLS的公司等等。
然而,让他赢得救世主赞誉的事件发生在2017年,当时谷歌发出警告称,其Chrome浏览器将不再信任来自赛门铁克的SSL证书,赛门铁克是DigiCert的行业竞争对手。就证书颁发机构的行业形势而言,Merrill将这一情况称为“摔下了跑步机”。
(这类证书有助于让人们在互联网世界中感到放心,使其确信他们可以信任连接对象。从本质上说,这类证书是用于验证公司线上身份的加密密钥,并能实现从web服务器到浏览器的安全连接;如果没有这类证书,浏览器中的挂锁标记就会沦为装饰物。)
DigiCert执行官表示,当时Chrome对赛门铁克证书的不信任比许多人意识到的更岌岌可危
在计算机商业评论的英国办事处发言时,DigiCert执行官表示,信任的丧失可能会成为互联网的“灾难性事件”。
他不知道当时使用赛门铁克证书的金融交易占比多少,但这一比例相当高:“现在我们的占比可能已经很过了90%。所以我认为几乎所有的银行以及100%的欧盟银行以前都使用赛门铁克。”
想象一下,如果突然之间银行和电子商务网站无法再向浏览器进行身份验证;那么用户如何知晓哪些网站是安全的,可以向其提交信用卡详细信息,或确保用户所发送的所有数据都将被加密?
其结果将较可怕:“互联网上的商业与金融交易将陷于停滞,”Merrill指出。
DigiCert执行官:我们开展了无比艰巨的项目
赛门铁克的问题始于谷歌工程师于2017年1月给mozilla.dev.security.policy新闻组的公开发帖,强调赛门铁克公司的公钥基础设施(PKI)部门提供了“可疑的”网站身份验证证书,并称有数百万个证书不符合该行业CA/浏览器论坛的基准要求。
当时赛门铁克对此表示较愤怒,对这些说法进行了反击,但后来终于意识到自己在进行一场失败的战斗。该公司终不再负责该问题,并选择在2017年8月以9.5亿美元的价格将其公钥基础设施业务出售给了DigiCert。
“我们有良好的声誉,我们有不错的人才和不错的技术。他们决定将这部分业务出售给我们,”Merrill评论道。
正如DigiCert执行官所述,作为9.5亿美元的对价,“我们接手了一个无比艰巨的项目……我们进行了一次仔细检查并基本上免费替换了所有这些证书。这对我们来说是一个很好的机会,但是直到2017年12月赛门铁克才停止颁发证书,因此这是一项艰巨的任务。”
“我们于2017年11月1日收购了赛门铁克,我们只有30天的时间来对赛门铁克的系统进行变更并将其指向我们自己的系统。这大概是一个需要6到12个月才能完成的项目。我们只用了一个月就做完了。”
“首套赛门铁克证书于2018年3月,之后于2018年10月,或将在一年后不受信任,范围内不受信任的赛门铁克证书总计很过500万个而且在每个地方都有。因此我们基本上用了一年时间来进行系统变更并替换了数百万个证书。”
“作为一家公司而言这是个很好的机会,但这个机会是我们赢来的。”
“我不能肯定这是否引来了过多的关注;但我对此也较感激,因为如果事情没有得到妥善解决,公众会对其后果感到较紧张不安!”
不断变化的标准与欧盟
执行官先生更注重展望未来。他表示,该行业是“跑步机式的业务”;如果一家公司不能一直进步或者一直向前跑,那么这家公司很快就会摔倒;而且适应当地法规或区域性法规也是一种挑战。
例如,各国或欧盟等贸易体可以出台自己的证书协议,欧盟在创建eIDAS时就是这么做的;欧盟关于电子交易信任服务的法规于2016年年中生效,并引发了一系列与此相关的监管变化。
修订后的支付服务指令(PSD2)为CA世界带来了新的挑战(本地内容规则与数据单位要求)与机遇,并为近期DigiCert的一项重大收购提供了灵感
eIDAS与Quo Vadis
DigiCert于今年1月17日完成了对Quo Vadis集团的收购,转让方是瑞士网络安全企业WISeKey。
推动收购的原因之一是eIDAS对欧洲业务的要求——以及PSD2所提供的机会。
自2019年6月起,PSD2要求在欧盟开展业务的银行和金融服务公司使用“合格的”网站证书来加强身份保证。QuoVadis的欧洲业务提供了这种资格,而且DigiCert表示,此次交易契合公司愿景,即“提供分布广、强大的基于PKI的解决方案及本地支持。”
与此同时,DigiCert还在帮助QuoVadis将PKI服务迁移到荷兰与瑞士的数据单位,从而为客户提供经过增强的隐私和数据保护服务。
正如Merrill所言:“我们不是一家挣数据钱的公司。我们公司之所以能挣钱,是因为我们实现了信任。所以我们不想与那些兜售隐私和信任的人作斗争;我们想要实现隐私和信任。”
证书:未来有多大?
在实现信任方面,证书行业经历过艰难的历程,暗网中有大量合法证书供应,或是通过非法手段获取合法证书然后将其用于供应链漏洞利用。是否像有些人开始争论的那样,该行业的必要性正在不断降低?
Merrill表示,对于数字证书的需求将一直存在:“通过使用数字证书进行的可信任的身份验证是一种经过时间检验的方法,而且随着越来越多的系统和设备连接到互联网,这种方法将继续提供强大的加密与身份服务……”
“[随着公司的数字化]建立各类策略与程序以合理地管理证书避免证书过期及保护其密钥变得至关重要。公司必须确保其分发的软件由较受信任的一方进行签名,好是使用自己的密钥进行签名,而且不要盲目分发由不的第三方进行签名的软件。”
他表示,实际上物联网设备的普及使这一点变得更为重要。
“要知道,只要有足够的计算能力在[物联网]设备上支持证书,那么就应该给物联网设备配备证书;有很多这样做的案例,会让您大吃一惊。”
“我们为无人机、心脏起搏器及类似的设备安装证书;密钥材料足够小,以使密钥尺寸足够小,可以放置在很多设备上。”
抗量子证书
我们的采访时间不多了,但是要讨论的内容还有很多,尤其是能抗量子暴力破解加密的面向未来的证书。
“我们一直在与微软以及其他几家公司合作,以创建抗量子计算机的算法;在美国,国家标准研究院正在进行量子计算算法的测评。微软已经在开展工作……所以实际上我们已经推出了几个[应用程序],而且我们已经创建了抗量子证书;推断出一定水平量子比特(cubit)的量子计算机——可以较快速地破解RSA算法。”
他补充道:“需要增加一些计算能力才能达到那样的效率……因此这就像是跑步机,我们一直努力在跑步机上保持奔跑状态。但是对于银行而言,它们正在为未来10年的基础设施进行投入,因此量子安全风险是其重大的担忧之一。现在我们正在开展这些工作,以便大家可以测试它在现有流程中的工作方式;对于许多人来说,这就像是让拖拉机转向。”
执行官先生很热情地介绍了DigiCert实验室的研发团队正在开展的工作,包括在图片中嵌入二维码的能力,以解决“假新闻”环境中篡改图片的问题(“您在看图的时候看不到,但是计算机能看到,因此您能够确定图片是否被修改”),以及“经过签名的交换证书”,以便与谷歌验证新闻报道的可信度,但是评论开始经常出现“这仍然是非公开信息”,公共关系有些不安等,而且遗憾的是,我们的采访时间也结束了。
(文章来自digicert官方)