心臟出血漏洞沒(méi)那么簡(jiǎn)單：全球網(wǎng)速受影響

目前許多糟糕的事情已經(jīng)因?yàn)樾呐K出血漏洞而出現(xiàn)了。其中一個(gè)幾乎影響所有人的問(wèn)題就是我們需要撤銷現(xiàn)有的SSL證書并且重新部署。如此大量的證書撤銷給我們?nèi)粘＞W(wǎng)絡(luò)速度帶來(lái)了巨大影響。心臟出血漏洞也再次證明了他的威力及副作用。

Netcraft 是一個(gè)全球性研究網(wǎng)站和網(wǎng)站證書的機(jī)構(gòu)。他們認(rèn)為證書重置數(shù)量將高達(dá)80000，并且這只是開(kāi)始。并且大型的SSL提供商正在準(zhǔn)備大批量的替換用戶的證書。

SSL/TSL證書被用來(lái)在網(wǎng)絡(luò)上證明身份。他們通常用在有較高安全要求的網(wǎng)站上。許多的VPN客戶端和服務(wù)器依賴SSL作為身份驗(yàn)證的方法。

當(dāng)一個(gè)證書變得不可信并且被撤銷了之后，一個(gè)獨(dú)特的證明證書的數(shù)據(jù)會(huì)被加到一個(gè)叫做CRL（證書吊銷列表）的文件中。每個(gè)證書都包含一個(gè)區(qū)域給特定的CRL來(lái)檢查是否被吊銷。

這就造成了兩個(gè)問(wèn)題： CRL可以變得很大，造成了服務(wù)器和客戶端性能上的問(wèn)題。而且事實(shí)上很多的客戶或客戶端并不是很擅長(zhǎng)檢查撤銷。比如谷歌瀏覽器就不會(huì)檢查證書撤銷。在宏觀上說(shuō)可以造成許多不同的問(wèn)題。

下圖是來(lái)自Internet Storm Center的數(shù)據(jù)，顯示了CRL大量的增長(zhǎng)。與此同時(shí)，Netcraft證實(shí)，如果所有的證書都受到了心臟出血漏洞的影響，將會(huì)讓CRL增長(zhǎng)35%。

因?yàn)镃RL的數(shù)量有限，一個(gè)新的OCSP協(xié)議在幾年前被開(kāi)發(fā)出來(lái)，讓一個(gè)用戶可以去檢查每一個(gè)證書的可信性。在通常的情況下，證書檢查都是一次一個(gè)，這個(gè)新的協(xié)議可以節(jié)省很大的帶寬。與此同時(shí)，大量的檢查會(huì)促進(jìn)OCSP協(xié)議發(fā)展?；鸷鼮g覽器不再支持CRL協(xié)議，而是完全依靠OCSP協(xié)議完成。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。