SSL证书发展历史:安全套接字层
网络服务器实现中存在的固有安全缺陷在互联网的早期阶段就已显现。一家名为Netscape的公司首次尝试解决严重的安全缺陷,该公司也最终制作了第一版安全套接字层密码套件。
有趣的是,SSL 1.0最终没有公开发布。根据这方面的权威消息,这个早期阶段的SSL协议所固有的问题是无法修复的,尽管使用密码套件作为通用加密协议的基线的前提肯定是合理的,至少可以这么说。
为此,网景公司迅速着手开发SSL 2.0,并于1995年在万维网上发布。值得指出的是,SSL 2.0--尽管它可能比它的直接前身更好--并不是没有缺点。安全套接字层技术的第二个版本几乎在发布时就被发现了实质性的问题,但仅仅是任何类型的网络服务器安全的存在很快就被证明是非常值得麻烦的。
也就是说,SSL 2.0只限于使用MD5消息摘要算法--一种128位的哈希函数,很早就被加密破解了--并且采用了消息验证和加密的相同密钥。除此之外,SSL 2.0只允许客户和服务器相互发送一个公钥证书,这意味着每个证书都需要由一个受信任的根证书机构直接签署。
有SSL证书都比没有SSL证书好
尽管SSL 2.0在其早期可能是一个笨拙的解决方案,但它仍然为世界各地的网站管理员提供了一定的安全性。
事实上,直到2011年,SSL 2.0才最终被废止,取而代之的是更为强大的SSL 3.0协议。尽管其最早的草案早在1996年就已出台--作为对针对其前身的批评的回应--但该技术直到几年后才被完全淘汰,因为漏洞对刚刚起步的互联网网络空间来说已经太多。
有趣的是,基线安全套接字层技术在三年后的2014年才最终被磨平。SSL 3.0被证明非常容易受到当时新颖的POODLE攻击(即Padding Oracle On Downgraded Legacy Encryption),它允许攻击者只需提出256个请求就能解开一个给定加密信息的单一字节。
SSL 3.0在实现对称加密方面的这一巨大缺陷将导致TLS握手的发展,或数字证书的大幅改进,最终解决了当时互联网上绝大多数的相关安全问题。