在 Let's Encrypt,我们一直在寻找改进 Web PKI 安全性和完整性的方法。我们很自豪地今天发布了多视角域名验证,因为我们相信这是域名验证过程的重要一步。据我们所知,我们是第一个大规模部署多视角验证的 CA。

域名验证是所有 CA 用于确保证书申请人确实控制他们想要获得证书的域名的过程。通常,域名验证过程涉及要求申请人在域名的受控位置(例如特定路径或 DNS 条目)放置特定文件或令牌。然后,CA 将检查申请人是否能够做到这一点。历史上,它看起来像这样

System Architecture Diagram

该过程的一个潜在问题是,如果网络攻击者可以劫持或重定向验证路径上的网络流量(用于挑战请求或相关 DNS 查询),则攻击者可以欺骗 CA 错误地颁发证书。普林斯顿大学的一个研究小组证明了 可以使用针对 BGP 的攻击来做到这一点。此类攻击在当今很少见,但我们担心这些攻击在未来会变得更加频繁。

边界网关协议 (BGP) 及其大多数部署都不安全。尽管有一些正在进行的努力来保护 BGP,例如 RPKI 和 BGPsec,但 BGP 劫持可能要很长时间才能成为过去。我们不想等到我们可以依赖 BGP 的安全,因此我们与普林斯顿大学的研究小组合作,设计了一种方法来使此类攻击更加困难。我们不再从一个网络视角进行验证,而是从多个视角以及我们自己的数据中心进行验证

System Architecture Diagram

今天,我们从单个云提供商内的多个区域进行验证。我们计划在未来将网络视角扩展到其他云提供商。

这使得前面描述的攻击变得更加困难,因为攻击者必须同时成功地破坏三条不同的网络路径(来自我们数据中心的 primary 路径,以及三个远程路径中的至少两个)。它还增加了互联网拓扑社区检测此类攻击的可能性。

我们感谢普林斯顿大学 Prateek Mittal 教授和 Jennifer Rexford 教授的研究小组在开发这项工作中的合作。我们将继续与他们合作,以改进我们的多视角验证设计和实现的有效性。我们还要感谢 开放技术基金 对这项工作的支持。

为了提供我们的服务,我们需要用户和支持者的社区的贡献。如果您的公司或组织希望 赞助 Let's Encrypt,请发送电子邮件至 sponsor@letsencrypt.org。我们要求您在能力范围内进行 个人捐赠