不,并非如此。有些人说SSL被破解了,但目前没有更安全的系统。X.509公钥基础设备(PKI)是PKI多年演变和改良的结果。而且,PKI仍然在改进。因为它支持SSL协议,许多实力雄厚的企业希望它变得更完善,比如说Google公司就在聘请员工来完善PKI。
我们再具体一点。关于X.509公钥基础设施人们最关注的问题是该系统的CA太多了。数百个CA意味着每个CA都能发放所有用户都接受的证书。如何阻止一家CA发放伪造的证书给冒名顶替者呢?
目前发放证书的行为无迹可寻,因此这是一个现实的问题。Google正在开发一种叫做“证书透明度”的解决方案:http://www.certificate-transparency.org/
它是一种可公开查阅的、不可伪造的所有已发放证书的检查日志。事实上,它的工作机制有点像比特币的块环链。每份证书可以包括一个验证链接,链接到公开日志 的某个条目。一旦某个CA开始使用这个系统,如果某个证书由该CA签署,但不包括验证链接,那么它就被视为无效,被拒绝。这意味着CA 不再能私下发放证书。通过查看检查日志,你就能查到一家CA是否以你的名字(或是与你相似的名字)发放了证书(这是一种反钓鱼诈骗的方法)……