行业新闻与博客

活动的旋风将导致来年的 PKI 世界发生巨大变化

可以说，随着证书颁发机构和浏览器开始看到他们的共同愿景出现分歧，2019年充满了挑战和争议。随着 CA 推动一系列改革，浏览器被迫剥离其视觉指标，围绕扩展验证的争论仍在继续。在 CAB 论坛上，为缩短最大证书有效期而进行的投票暴露了缺陷线。

但是，尽管这些对话都没有结束-更不用说接近共识了-一系列新的截止日期，执行日期和举措似乎使 2020年更加繁忙。

首先，我们概述一些计划在 2020年发生（或继续发生）的重大事件和趋势，然后再将其交给业内一些思想领袖对新的一年做出的预测。

让我们来看看。

TLS 1.0 和 TLS 1.1 的弃用将……

计划于 2020年1月发布的互联网上一些最大，最具影响力的公司-微软，苹果，Mozilla，谷歌和 Cloudflare-宣布了他们的计划，在今年夏天将弃用对 TLS 1.0 和 TLS 1.1 的支持。这是紧接 PCI DSS 在 2018年弃用 TLS 1.0 之后。

TLS 1.0 最初是为致命缺陷 SSL 3.0 的后继产品而创建的。几年后，它被 TLS 1.1 取代。协议的两个版本都遭受已知的攻击，这些攻击可能会使连接在适当的情况下易受攻击。

十年前发布的 TLS 1.2，只要围绕它进行正确的配置，仍然被认为是安全的。但真正导致这种弃用的真正原因是，该标准的最新版本 TLS 1.3 不断扩散，该版本最终于 2018年夏季发布。1.3 与以前的版本相比有许多改进，包括缩短的握手，减小了尺寸密码套件和强制性的完美前向保密性。用外行的话来说，这更安全。

互联网应该朝着该协议的最新版本前进，但是到目前为止，许多不拘一格的网站和应用程序都拒绝接受较新的版本。截至去年年底，当做出联合弃用决定时，Alexa Top 100,000 网站中只有 17％支持 TLS 1.3，而不到 23％（22,285）甚至还不支持 TLS 1.2。

到 1月，许多网站，服务和应用程序（远远超过 Alexa 100K 所代表的网站）将跨越​​Google，Microsoft，Mozilla，Apple 和 Cloudflare 平台。如果这听起来有些激进，那实际上与我们今年在 CAB 论坛上从 Google 听到的一些观点完全一致：

“……用户和善意的服务器运营商会受到……您自己这样顽强的客户的伤害，他们完全依靠浏览器来完成用户的正确行为并保护他们的利益。”

因此，在几周内开始出现问题时，请记住这一点-这一切都是为了您自己。

中国加密法将带来很多不确定性

在过去的几年中，全球数字化转型的一部分要求将数据权利和限制编纂为国家法律和地区组织。我们现在拥有一个充满缩水汤的国际食品储藏室-从 PSD2 和 GDPR 到 CCPA 和 PIPEDA 的所有内容-如今，在全球范围内拥有足迹的公司都在争夺真正的法规和合规标准。

中国自己的加密法将于 2020年1月1日生效。当与其他最近的立法相结合时，对于那些希望在中国开展业务的国际公司来说，这可能会带来潜在的麻烦。加上中国是世界上最大的新兴市场之一的事实，这对任何希望在其境内扩张的企业来说都是一个棘手的情况。

问题的一部分是，仍然需要在几个方面进行澄清。例如，来自国际公司的商业加密必须先获得批准和认证，然后才能在中国使用，但是该认证体系尚未建立。同样，在关键代管以及必须向中国政府提供哪些数据方面也存在不确定性。这导致了大量的猜测，错误的信息，最终导致反应过度。鉴于新法规仍然很不透明，许多公司选择采取观望态度。假设您的组织没有精通中文的法律专家，这是一个明智的策略。

2020年是我们修复扩展验证的一年

在经历了艰难的 2019年之后，CA 安全理事会在 2020年的首要任务之一将是找到一种直观的方式来显示网站身份信息-CA / B 论坛的两个明确阐明的主要目的之一。从历史上看，这是通过使用扩展验证 SSL / TLS 证书来完成的。对于许多 CA，围绕这种方法的争论早已解决。但是，在 2019年，谷歌领导了一个浏览器倡议弃用 EV 用户界面，该界面在 Microsoft Edge，Google Chrome 和 Mozilla Firefox 等浏览器的地址栏中显示了经过验证的组织名称。

现在，出于所有意图和目的，辩论已分为两个不同的问题。而且并非所有各方都在进行相同的讨论。对于浏览器，问题是 TLS 是否是呈现此信息的最佳方法。Google 表示不希望 SSL / TLS（其功能是用于保护 Web 连接）在适当地审查和显示身份信息后才会出现。相反，它表示支持单独的，互补的层次结构。

对这种观点的抵制来自于事实，即事情总是如此进行的巨大转变。有人认为 Google 单方面决定以前的方法无效，并且正在迫使整个行业进行变革。它位于关键的 Mozilla 策略模块上，其 Chromium 引擎是 Opera 和 Edge 等其他浏览器的骨干。目前，至少在浏览器和 CA 中，关于身份是应该与 TLS 证书结合还是以其他方式提出的，尚无大量共识。

缺乏共识是第二次对话发生的地方。许多 CA 认为重新发明轮子会适得其反，而倾向于采用一种更务实的方法，该方法将改进验证实践并为网站和组织提供更好的身份验证。一种建议的方法是包括法人标识符，而欧洲的 PSD2 要求可以提供另一条前进的道路。继续在 TLS 证书中包含身份信息的一个非常有力的理由是：传送的可靠性。通过转向另一种方法，例如可能使用 DNS 来断言身份信息的方法，该身份信息永远不会传给最终用户的机会不为零。将其包含在 TLS 证书中可确保信息可用。当然，只要浏览器选择显示它即可。

这些问题将需要在 2020年得到解决。尽管每种提议的解决方案都有其利弊，但应该在一件事上达成共识：身份在互联网上从来没有像现在这样重要，所有感兴趣的各方都有责任找到一个聪明的显示方式。当然，细节在于魔鬼。

越来越多的组织将 PKI 视为主要的合规工具

正如我们前面提到的，随着每天越来越多的法规要求被编纂，合规性是当今大多数企业的主要关注点。而且，随着我们看到诸如客户证书和数字签名解决方案之类的产品在整个行业中爆炸式增长，很明显，越来越多的组织将 PKI 视为其合规策略的主要组成部分。

这表明在 2020年不会停止增长的迹象。围绕安全通信，加密数据和访问控制的全球要求，CA 一直是合规性收费的领头羊。虽然 Web PKI 是该行业中大多数公众和媒体关注的焦点，但是当涉及 CA 行业的爆炸式增长时，公共服务器证书确实只是众所周知的冰山一角。私有 PKI 层次结构和自动化解决方案都是明年的重点。随着围绕数字签名和印章的新要求以及欧洲的合格证书，PKI 似乎已被大多数组织的数字基础设施所采用。

不了解加密的人将继续威胁加密

在英国和美国，关于“负责任的”加密问题（即可以被破坏以提供政府访问权限的加密）正在进行激烈的辩论。问题在于，这是一个高度技术性的主题，需要经验和专业知识来提供见解。一般的政客或政治任命者没有时间或能力精通加密等复杂的事物。这也没有错。除非那些不知情的官员开始尝试制定破坏该加密的侵入性政策。2019年结束时，美国参议员告诉苹果和 Facebook 代表，“这对我来说并不复杂。您将找到一种方法来执行此操作，否则我们将为您执行此操作。”这并不能激发人们对解决这些假定问题的技术上合理的解决方案的信心。在 2020年，请继续寻找此类误导性陈述和观点。欧盟正在努力为全体公民编纂数据隐私权时，其他地区似乎有意通过破坏加密技术和提出繁重的要求以使其自己的公司处于竞争劣势的方式向后退。科技界已经并且必须继续大力反对这一点。其他地区似乎打算通过破坏加密技术和创建繁重的要求来倒退，这将使自己的公司处于竞争劣势。科技界已经并且必须继续大力反对这一点。其他地区似乎打算通过破坏加密技术和创建繁重的要求来倒退，这将使自己的公司处于竞争劣势。科技界已经并且必须继续大力反对这一点。

单击以在 Facebook 上共享（在新窗口中打开）单击以在 Twitter 上共享（在新窗口中打开）单击以在 LinkedIn 上共享（在新窗口中打开）点击共享在 Google+ 上（在新窗口中打开）点击打印（在新窗口中打开）

本文由机器译制