技术回溯
好用的新技术出现后,往往会取代旧技术,之后可能作为 过时技术,被存档在历史书、课本和纪录片里。但有时候,新技术会出现了无法修复的问题,于是不得不将旧技术作为补充,甚至完全回溯到旧技术。
证书吊销列表(CRL)是检查证书吊销状态的的机制,主要被浏览器用作检查网站 数字签名。不过之后被在线证书状态协议(OCSP)取代,因为资源占用更小,看起来似乎也更安全。
但在 2020 年,macOS 的 OCSP 被认为具有隐私风险,因为 OCSP 使用 HTTP 明文与哈希交换信息,那么中间人可以注意到用户在什么时候打开了某个软件。之后虽然出现了 OCSP 装订技术,用藏木于林来增加隐私,但这增加了复杂性,还是不能完美解决问题。
既然 OCSP 的吊销证书机制不够好用,那么便退回到 CRL,并配套使用有效期短的证书。只要证书快速吊销(最短 6 天),那么证书泄漏所造成的风险也就变小,也就不需要具有实时查询功能的 OCSP,只要使用 CRL 便足够安全了。
最大最知名的免费证书机构 Let's Encrypt,已在上个月 关闭 OCSP 服务。这个稍微比 CRL 先进一些的技术,在活跃十多年后,还是被旧技术代替了。(至少在浏览器领域)
类似的情况也挺常见,比如担心 GPS 的可靠性,所以美国海军,恢复 了天文导航和六分仪使用的训练。全触屏,没有实体按键的手机(Meizu Zero)与汽车被认为不够实用,所以目前大多产品还是有保留实体按键。以及动态网站在过去几乎完全取代了静态网站,但因为 SEO、性能与安全问题,静态网站生成器又开始变得流行了。
#技术
好用的新技术出现后,往往会取代旧技术,之后可能作为 过时技术,被存档在历史书、课本和纪录片里。但有时候,新技术会出现了无法修复的问题,于是不得不将旧技术作为补充,甚至完全回溯到旧技术。
证书吊销列表(CRL)是检查证书吊销状态的的机制,主要被浏览器用作检查网站 数字签名。不过之后被在线证书状态协议(OCSP)取代,因为资源占用更小,看起来似乎也更安全。
但在 2020 年,macOS 的 OCSP 被认为具有隐私风险,因为 OCSP 使用 HTTP 明文与哈希交换信息,那么中间人可以注意到用户在什么时候打开了某个软件。之后虽然出现了 OCSP 装订技术,用藏木于林来增加隐私,但这增加了复杂性,还是不能完美解决问题。
既然 OCSP 的吊销证书机制不够好用,那么便退回到 CRL,并配套使用有效期短的证书。只要证书快速吊销(最短 6 天),那么证书泄漏所造成的风险也就变小,也就不需要具有实时查询功能的 OCSP,只要使用 CRL 便足够安全了。
最大最知名的免费证书机构 Let's Encrypt,已在上个月 关闭 OCSP 服务。这个稍微比 CRL 先进一些的技术,在活跃十多年后,还是被旧技术代替了。(至少在浏览器领域)
类似的情况也挺常见,比如担心 GPS 的可靠性,所以美国海军,恢复 了天文导航和六分仪使用的训练。全触屏,没有实体按键的手机(Meizu Zero)与汽车被认为不够实用,所以目前大多产品还是有保留实体按键。以及动态网站在过去几乎完全取代了静态网站,但因为 SEO、性能与安全问题,静态网站生成器又开始变得流行了。
#技术
