朋友间的信任：安全连接与中间人攻击

Logan Lembke //

生活在信息时代真是太棒了，不是吗？只需访问互联网，你就能了解1666年9月2日伦敦发生了什么，知道你远在异地的朋友在做什么，甚至只用信用卡号、姓名和地址就能买到一双新的自制毛绒拖鞋。

虽然你可能不在乎谁知道你是个英国历史迷，或者你有点沉迷Facebook，但你可能想保密你偶尔从http://grandmasgiftshop.com购买温暖、舒适、可爱的拖鞋这件事。即便如此，你肯定不希望别人知道你的信用卡信息和其他个人信息。

作为优秀的IT专家，你迅速给Grandma’s Gift Shop的店主发了封邮件，建议她启用HTTPS，因为你知道TLS实现了公钥加密，可以保护你的购买——和你的拖鞋——安全。

接下来，你收到店主的邮件，通知你她的孙子正在立即启用HTTPS。“太棒了！”，你想，然后开心地度过了一天。

一周后，你访问该网站，立即看到一个类似这样的通知：

你自满地但略带恼怒地接受了这个你意识到是自签名证书的东西。尽管如此，你还是继续你的业务，订购了一双你最喜爱的暖脚拖鞋，知道你的购买是安全加密的。毕竟，你难道不信任一位整天制作温暖舒适拖鞋的老奶奶吗？

一年后，你完全毁掉了你最喜欢的拖鞋，它们被你房子外面的泥弄脏了。别担心，Grandma’s Gift Shop还在营业！你迅速决定值得升级，开心地买了一双新拖鞋。

你不知道的是，互联网上某个不怀好意的人现在知道你订单的一切，并开始告诉大家你买了什么！更糟糕的是，他们掌握了你的信用卡信息、姓名和地址！

在接下来的一周里，你开始注意到信用卡账户上有几笔奇怪的消费，而你沉迷网络的朋友开始嘲笑你最喜欢的鞋类。你立即取消了信用卡，并承认了对拖鞋的痴迷。

你遭遇了中间人攻击！还记得一年前你接受的那个自签名证书吗？可能不记得了。一个黑客创建了一个模仿Grandma’s Gift Shop的证书，跳入你的连接中间，当你的计算机以为它在与受信任的服务器通信时，它实际上是在与黑客的计算机交谈。所以，即使你的通信是完美加密的，信息也被黑客轻松解密。

这引出了两个主要问题：

1. 我们如何用TLS防止中间人攻击？
2. 为什么我们对自签名证书如此自满？

第一个问题的答案已经被反复讨论过，你可能知道答案。

跟我一起说：不要使用自签名证书。

签名证书提供了一种建立信任链的机制。通过信任几个关键证书，并依赖它们的所有者正确建立与他人的信任，你知道你可以信任链末端的证书。但是什么允许这种信任链存在？数字签名。

数字签名在证书之间建立单向关系，最重要的是，黑客无法在没有完全访问创建它们的证书的情况下模仿数字签名。

幸运的是，在获取签名证书方面有几种选择。

第一个选择是传统路线：购买受信任的证书颁发机构。这些证书颁发机构在全球大多数计算机上默认受信任，并与你合作以设置你的基础设施。受信任的证书颁发机构如Digicert为TLS证书提供签名，只要你提供你的姓名、地址、组织名称、网址、一些其他信息……以及一大笔钱。目前，Digicert对签名证书收费140美元/年。虽然任何成熟的组织肯定可以承担这笔费用，并且应该支付这项服务，但小型企业和Grandma’s Gift Shop只能受苦。

或者，释放你内心的免费软件嬉皮士，访问letsencrypt.org。Let’s Encrypt提供免费的签名证书，这些证书被几乎所有现代网络浏览器和操作系统信任。虽然从Let’s Encrypt获取证书的过程在技术上很复杂，但这是值得的。你不仅能够与客户建立安全、受信任的连接，而且在此过程中你还会学到很多关于公钥基础设施（PKI）的知识。

当涉及到内部服务时，几年前我会建议为你的小型企业或家庭网络设置一个自签名的根证书。从那里，你可以签署部署在服务器上的证书。这种设置提供了防止中间人攻击的保护，只要潜在的黑客无法访问你的内部根证书。然而，随着Let’s Encrypt的引入，今天没有理由签署自己的根证书。

然而，在内部服务方面有一个主要的例外。为了从Let’s Encrypt或大多数其他证书颁发机构获得签名证书，你必须有一个在线的网络存在。（DNS在验证你的在线身份方面起着关键作用）。

虽然签名证书完全在大多数IT专业人士的能力范围内，但自签名证书仍在世界各地的办公室中使用。但为什么？主要有两个原因：金钱和时间。现在，随着Let’s Encrypt的最新出现，这个列表已经缩短到只有时间。作为IT行业专业人士，我们有责任为自己以及我们的用户留出时间学习公钥基础设施，并安全地全面实施它。

然而，我们不仅应该努力了解PKI，还需要不断教导新来者关于PKI的知识。现在是你发挥作用的时候了。教育你的同事、用户、朋友和家人。花时间给Grandma’s Gift Shop发邮件。帮助他们了解公钥基础设施，为他们设置签名证书，并建立那个信任链。只有这样，你才能安全地订购你的温暖、舒适——且安全——的拖鞋。

有用链接：

• https://www.digicert.com/
• https://letsencrypt.org/how-it-works/
• https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394
• https://www.sslshopper.com/article-when-are-self-signed-certificates-acceptable.html

准备好了解更多吗？ 通过Antisyphon的实惠课程提升你的技能！ 随你支付培训 提供直播/虚拟和点播服务