CloudFlare与GlobalSign合作，通过我们的网络支持SSL（安全套接字层）连接。本周早些时候，有人指控GlobalSign可能以某种方式被黑客入侵。作为预防措施，虽然GlobalSign进行了全面的安全审计，但他们暂时停止了证书的发放。这导致了使用CloudFlare建立新的SSL服务的延迟，但不会影响以前建立的SSL服务。我们正在与GlobalSign取得联系，并被告知他们预计服务将于周一恢复。在此之前，新SSL服务的应用程序将与CloudFlare一起排队。我想花一点时间解释一下发生了什么，实际的风险是什么，并提供一些关于SSL的背景知识。SSL简介当您通过HTTPS连接到网站时，您的浏览器会从该网站请求证书。本证书有两个用途：加密您的浏览器和网站之间交换的任何数据；以及验证站点的身份。这两个任务中的第一个任务相对容易，如果我们只关心SSL，那么SSL会容易得多。另一方面，身份更难。如果你仔细想想，即使在现实世界中，身份也是由一系列信任建立起来的。想象一个你信任的人把你介绍给一个同事，并说这个新的人的名字是"约翰"，这个新的人的身份是你建立和信任的，因为你以前和介绍他的人有过关系。SSL标识的工作原理相同。证书颁发机构（CA）与浏览器供应商建立关系，在信任浏览器供应商之前，需要对其进行重要的审查。然后，域所有者会去浏览器信任的ca，要求他们在有人访问他们的站点时为自己的身份提供担保。基本上，浏览器制造商已经把建立网站身份的任务外包给了中情局。在大多数CA的情况下，通常要求您证明自己是域的实际所有者，通常通过发送给whois记录中列出的所有者的电子邮件来证明。一旦审查过程完成，CA保证域的身份。换言之，浏览器信任CA，CA信任域，这样就建立了域的标识。实践中的工作方式是通过一系列SSL证书。CA有一个浏览器信任的"根"证书（具体如何工作的细节对于本文来说有点技术性，但是如果你感兴趣，可以了解他们）。根证书可以对后续的受信任证书进行签名。这就建立了一个建立身份的信任链。当黑客攻击Comodo和DigiNotar两家大型ca最近披露，一名黑客已经获得了无需经过审查过程就可以签发由他们签署的证书的能力。换言之，黑客可以假装不是他们的人，这对CA先前担保的域没有直接的风险，SSL的加密功能仍然有效。然而，这对SSL的身份功能是一个风险。如果有人可以使用浏览器信任的根证书来获取某个域的证书，那么他们实际上可以假装是该域。为了说明这一点，假设黑客为贝宝网. 如果黑客可以坐在交通流的前面贝宝网他们可以进行所谓的"途中攻击者"攻击。在这种情况下，浏览器会认为它正在连接到贝宝网，证书会生效，但你的流量实际上会暴露在未加密的黑客面前。请注意贝宝网以前不需要是CA的客户。被破坏的CA的证书被浏览器信任这一事实将使黑客能够模拟任何域。这不是小事，即使你有一个像这样的大网站的证书贝宝网，以获取站点通过服务器的合法流量。最大的风险将来自一个流氓ISP或国家政府，希望监视到某些网站的流量。据称，这名自称攻击了科摩多和迪吉诺塔的黑客与伊朗政府有关联。那么风险是什么？使用DigiNotar的根证书颁发的一个假证书似乎是古戈尔. 如果将此证书提供给伊朗政府，并且伊朗政府控制着从伊朗到谷歌的流量路由的ISP，他们可能会拦截所有未加密的往来内容谷歌伊朗境内的ISP用户，包括通过Gmail等服务读取的电子邮件。再次注意，为了让黑客使用浏览器对DigiNotar的信任来为古戈尔.那么如何重建信任呢？如果你的同事向你介绍"约翰"，而你后来发现这个人实际上是弗雷德，那么你就会对介绍他的同事失去一些信任。如果这件事发生得够多，或者介绍的内容足够重要，你就不会再相信这位同事在将来做介绍的时候了。同样的情况也发生在受损的CA上。在DigiNotar的例子中，许多浏览器供应商已经开始更新他们信任的ca列表，并放弃对DigiNotar根证书的信任。这意味着黑客的无效证书将来将不被信任。这也意味着DigiNotar的合法客户将不得不获得具有不同信任根的新证书。在我们的案例中，我们还没有发现任何证据表明GlobalSign有实际的妥协，只是一个妥协的指控。也就是说，这是一个来自黑客的指控，他似乎已经破坏了Comodo和DigiNotar。我们一直与GlobalSign的团队保持联系，相信他们对指控做出了适当的回应，与一家受人尊敬的第三方公司进行了全面的安全审计，并在审计完成之前停止发放新的证书。如果GlobalSign被泄露，这不会影响CloudFlare向用户颁发的SSL证书提供的短期完整性。如果存在妥协，浏览器供应商不再信任GlobalSign的SSL证书，我们将为所有CloudFlare用户重新颁发新证书，并自动在我们的网络上部署它们。CloudFlare的强大功能之一是我们能够自动管理此过程，而无需对您的系统或基础架构进行任何更改。这造成的最大干扰是，至少在周一之前，我们无法将新的SSL用户引入CloudFlare的系统。这在短期内是令人沮丧的，对于任何延迟注册CloudFlare的用户，我们深表歉意。从长远来看，我们对SSL发布过程总体上感到失望，并且在即将发布的队列中有了显著的改进。不幸的是，这一事件推迟了他们的推出时间。但是，请放心，无论GlobalSign的调查结果如何，CloudFlare将很快再次提供我们认为最简单的安全SSL解决方案。在此之前，谢谢你的耐心。更新[2011年9月9日/20:03 GMT]：我们刚收到Globalsign的更新，他们在其主web服务器上发现了一个漏洞。他们已经关闭了网络服务器。web服务器没有连接到根证书，但是对它的访问可能允许颁发证书请求。Globalsign告诉我们，该漏洞不允许通过其API传递的任何信息被访问。安全审计仍在进行中，但目前，他们相信他们将能够在周一恢复运营。我们会在这里发布更新。