Google 在愚人節在 Google Online Security Blog 上發表的方法:「Improving SSL certificate security」,試著提供一些資源幫助解決 SSL certification 目前遇到的問題...
前陣子 Comodo 的下游被破台後 (還不只一家),有不少人又開始在探討現有 SSL certification 所用的 PKI 架構 (公開金鑰基礎建設),也就是 CA (數位證書認證中心) 的問題。
Google 給的方法是拿 SSL certification 的 SHA1 hex string,加上 .certs.googlednstest.com
組合成一個 domain 名稱,接著拿這個 domain 去查 TXT record,Google 會傳回三個數字讓你判斷這個 SSL certification 的可靠度。
這三個數字分別是:
- Google 的網頁機器人第一次看到這個 SSL certification 的天數。
- Google 的網頁機器人最近一次看到這個 SSL certification 的天數。
- Google 的網頁機器人看過的次數。
雖然文章裡面沒提,不過以數字推算,這邊的「天數」應該是指 1970 年 1 月 1 日到現在的天數...
使用 DNS 查詢的好處在於 DNS 有 cache (Google 把 TTL 設為 86400),而資料的正確性可以靠正在推廣的 DNSSEC 建立。
接下來應該會有人實做 extension 測試了,過一陣子再回頭來看看發展。
話說 Comodo 事件發生的時候, 我也想過 DNSSEC 會不會也因為類似的 CA 問題跟著爛掉.