手机端下拉列表
400-002-9968

博客 > 谷歌计划摒弃URL,CA为此迎来千载难逢的机会

谷歌计划摒弃URL,CA为此迎来千载难逢的机会

  • 标签:
  • 谷歌
  • URL
  • CA
  • 数字证书

浏览量:4214次评论:0次

作者:Claire时间:2019-09-06 07:59:23

 


在帮助验证网站身份方面,谁的能力比CA还强?


谷歌想要完全摒弃URL,这是Wired日前的头条新闻。在谷歌Chrome诞生10周年并展望未来之际,其下一个目标将是资源定位符,或者URL。


大多数人只知道URL是网络地址。事实上,使用术语URL有点用词不当,因为在本文中,我们指的是一种特定类型的URL。通常,URL与网络结合使用,但它们也可以用于文件传输、电子邮件和数据库访问。



在技术层面上,URL是与IP地址联系在一起的。一般来说,人们都很熟悉IPv4地址,它们看起来是下面这个样子:


97.76.174.114.


但是记住,若要浏览每一个你想要访问的网站,你需要记住一串数字(或者在IPv6的情况下,一些更加复杂的东西),而这是非常困难的,只有那些能够精确记住的人才能做到。因此,1994年,万维网的发明者Tim Berners-Lee在RFC 1738协议中对URL进行了定义。从那以后,我们就开始使用它们来访问互联网。


因此,为什么谷歌想要摒弃URL,又是为什么这一举措对证书机构(CA)来说将是一个重要的机会?


让我们来逐一说明一下吧……


谷歌为什么想要摒弃URL?


普通互联网用户对网络安全了解的不是太多,也不知道在访问网站时应当注意什么。我们敏锐地意识到了这一点,因为每周有近5000个人阅读了我们的文章《虚假网站鉴别指南》。因此,让用户知道应当注意URL中的哪些方面是不会产生好的成果的。


事实上,对浏览器来说,仅显示URL就是一个问题,尤其是在它们的移动版中。


Eric Lawrence是前谷歌成员,现第二次就职于微软。他曾经写过一篇关于一个概念的文章,当试图理解浏览器的安全性时,该概念是非常有用的。它被称为死亡线。其基本思想是:浏览器只能控制窗口的顶部,在所谓的死亡线下的像素都不能信任。


“用户如果信任死亡线上的像素,那么他们就将是安全的,但是如果让他们相信死亡线下的像素是可以信任的,那么他们就会死亡。”


然而,Lawrence、浏览器社区整体以及谷歌(尤其是)已经意识到的事情之一是,一些攻击者数据确实成功地处在了死亡线之上。



网页的标题和图标(1)是由网站本身控制的。但是有问题的区域是地址栏。正如我们之前所说的,人们事实上不懂得URL。攻击者和网络犯罪分子强烈地意识到了这一点,因此便经常使用它来获取优势。



以下是一个URL的例子:


理想情况下,人们可以查看域名本身,并且对网站身份有一些认识。但是,正如我们之前提到的,事实是浏览器不能依赖它们的用户来辨别虚假和合法的URL。


网站身份仍然是一个主要问题:


“人们真的很难理解URL,”Chrome工程经理Adrienne Porter Felt告诉Wired,“它们是很难读懂的。人们很难知道它们中的哪一部分应当受到信任。通常,我不认为URL是表达网站身份的一个好方法。因此我们希望迁移到另一个地方,在那里所有人都能理解网络身份——他们知道当他们使用网站时是在与谁交谈,并且可以推断出是否可以信任他们。但这就意味着Chrome需要在显示URL方面做出重大改变。当我们在寻找正确的表达身份的方式时,我们希望挑战URL的表现方式,并对它进行质疑。”


谷歌不知道用什么来替代URL


当下,谷歌所面对的问题是,它并没有替代URL的方案。它知道需要做出改变,但并不知道这个改变是什么。


谷歌说它现在主要的关注点是识别人们使用URL的所有方式。


最终,理念将是用某种事物替代URL,而该事物不仅是对用户更友好的,而且也能提高安全性,提供经过验证的网站身份信息。


“我不知道它会是什么样,因为现在团队正在积极讨论它,”Chrome工程主管Parisa Tabriz表示,“但是我确认知道我们所提议的将会是十分具有争议性的。这是一个非常古老、开放和扩张的平台所面临的挑战之一。不论它的形式是什么,它都将是具有争议性的。但是重要的是我们有所行动,因为所有人都对URL感到不满意。它们很烂。”


这并不是谷歌第一次尝试这样做。早在2014年,它就短暂地尝试过用只能显示域名的“原始芯片”替换URL。但是因为用户反对,在还没有正式发布之前,它就停了下来。


之后,谷歌改变网络的举措变得更加顺利了,正如今年早些时候它推动强制使用HTTPS时所显示出来情形的一样。而且甚至在宣布其意图之前,谷歌就已经在更改URL了。它宣布,计划在发布Chrome 69时,逐步取消显示URL前面的“安全”指示。


 据Porter Felt表示,谷歌计划在今年秋天或是明年春天宣布其进一步摒弃URL的计划。


谷歌摒弃URL的计划对证书机构来说是一个千载难逢的机会


对URL的使用所做出的任何更改,其核心都在于断定网站身份的需要。这一点从来没有比现在更重要,因为网络钓鱼的数量达到了历史最高,同时一系列的恶意分子会利用了会工程来欺骗互联网用户。


也许没有哪个行业比颁发数字证书的认证机构更适合于帮助认证各种身份——终端实体ID、机器ID、网站ID和企业ID。


已经有一种方法可以将业务认证与SSL分离,其想法是将SSL/TLS的功能作为一种安全机制,但与身份验证方面存在冲突。这将是解决这个问题的绝佳机会。


CA已经建立了用于验证企业和其他实体的基础设施,帮助他们判断企业和网络身份。


让我们寻找一个可以增强安全性的URL,同时也可以帮助企业和组织以一种对互联网用户来说十分明显的方式来宣称他们的身份。


显然,并不是每个网站都需要广泛的认证,但是无数的企业和其他组织都可以充分地利用一种机制,来更明显地向客户或用户宣称他们的身份。



验证身份可能并不是大多数浏览器社区想要承担的责任。尽管微软、苹果和谷歌都有足够的资源来做这件事,但是把这类设备组装起来需要相当长的时间。这对这三家公司来说似乎都是不可能的。


不,身份验证需要外包,而CA行业就处于一个完美的位置,可以进入这个角色。


仍有许多工作要做。无论是否与SSL/TLS分离,都需要加强扩展验证。而且,我们需要找到一种显示信息的方法,以避免名称冲突或与你所使用的实体相混淆。但CA将意识到这会是一个千载难逢的机会,因为未来,身份将持续成为我们所做的每一件事的核心。


未来可能在呼唤我们,但现在是时候弄清楚我们是否准备好做出回答了。



我的评论

还未登录?点击登录

微信扫码沟通
微信扫码沟通

微信扫码沟通

售前咨询
合作
售后
return head