SSL证书(域验证)过程能被取消吗？

Question

努布问题警报。

我理解SSL证书有助于减少MITM攻击，但我认为这个过程设计得非常糟糕。

基本上，客户端需要验证它是否在与特定域的ip对话。这可以用这种方式实现。可能有一个DNS记录包含服务器的公钥。然后，客户端可以使用公钥进行验证和ssl过程。

这将消除以下情况：

• 无证书
• 没有证书颁发机构
• 浏览器不需要信任CA
• 我不需要支付和等待我的证书。

我有遗漏什么吗？

Answer 1

我不需要支付和等待我的证书。

你现在不需要这么做。您可以在短时间内获得免费证书，并从让我们加密获得完全自动化的证书。

浏览器不需要信任CA

虽然浏览器不需要直接信任提案中的公共CA (本质上是丹恩)，但浏览器仍然需要某种安全的方法来检索公钥。这不能用普通DNS来完成，因为它没有提供防止欺骗和修改传输中的密钥的保护。不过，这些保护是由DNSSec提供的。但是DNSSec再次涉及某种信任层次结构:本地DNS解析器必须能够以某种方式验证DNS服务器的响应--这再次使用基于本地存储和可信密钥的信任链来完成。

信任关系不能凭空出现。已经存在一些初始信任，可以作为构建信任链的锚。这对于CA系统中使用的PKI是正确的，对于DNSSec也是如此，就像PGP中的信任网络模型一样。在“现实生活”中也是如此:一个人不应该仅仅因为别人这么说就相信别人。

Answer 2

TLS的目的意味着它是以一种特定的方式来提供机密性、完整性和相互认证的特性。

您可能不喜欢它，但是您建议的缺点是使用协议的一部分。

我们也非常欢迎您发明一个更好的解决方案，没有什么可说的，这不能用另一种更好的方式来完成。但这不是你建议的那样。