在幫助驗(yàn)證網(wǎng)站身份方面，誰(shuí)的能力比CA還強(qiáng)？

谷歌想要完全摒棄URL，這是Wired日前的頭條新聞。在谷歌Chrome誕生10周年并展望未來(lái)之際，其下一個(gè)目標(biāo)將是資源定位符，或者URL。

大多數(shù)人只知道URL是網(wǎng)絡(luò)地址。事實(shí)上，使用術(shù)語(yǔ)URL有點(diǎn)用詞不當(dāng)，因?yàn)樵诒疚闹校覀冎傅氖且环N特定類型的URL。通常，URL與網(wǎng)絡(luò)結(jié)合使用，但它們也可以用于文件傳輸、電子郵件和數(shù)據(jù)庫(kù)訪問。

在技術(shù)層面上，URL是與IP地址聯(lián)系在一起的。一般來(lái)說(shuō)，人們都很熟悉IPv4地址，它們看起來(lái)是下面這個(gè)樣子：

97.76.174.114.

但是記住，若要瀏覽每一個(gè)你想要訪問的網(wǎng)站，你需要記住一串?dāng)?shù)字（或者在IPv6的情況下，一些更加復(fù)雜的東西），而這是非常困難的，只有那些能夠精確記住的人才能做到。因此，1994年，萬(wàn)維網(wǎng)的發(fā)明者Tim Berners-Lee在RFC 1738協(xié)議中對(duì)URL進(jìn)行了定義。從那以后，我們就開始使用它們來(lái)訪問互聯(lián)網(wǎng)。

因此，為什么谷歌想要摒棄URL，又是為什么這一舉措對(duì)證書機(jī)構(gòu)（CA）來(lái)說(shuō)將是一個(gè)重要的機(jī)會(huì)？

讓我們來(lái)逐一說(shuō)明一下吧……

谷歌為什么想要摒棄URL？

普通互聯(lián)網(wǎng)用戶對(duì)網(wǎng)絡(luò)安全了解的不是太多，也不知道在訪問網(wǎng)站時(shí)應(yīng)當(dāng)注意什么。我們敏銳地意識(shí)到了這一點(diǎn)，因?yàn)槊恐苡薪?000個(gè)人閱讀了我們的文章《虛假網(wǎng)站鑒別指南》。因此，讓用戶知道應(yīng)當(dāng)注意URL中的哪些方面是不會(huì)產(chǎn)生好的成果的。

事實(shí)上，對(duì)瀏覽器來(lái)說(shuō)，僅顯示URL就是一個(gè)問題，尤其是在它們的移動(dòng)版中。

Eric Lawrence是前谷歌成員，現(xiàn)第二次就職于微軟。他曾經(jīng)寫過(guò)一篇關(guān)于一個(gè)概念的文章，當(dāng)試圖理解瀏覽器的安全性時(shí)，該概念是非常有用的。它被稱為死亡線。其基本思想是：瀏覽器只能控制窗口的頂部，在所謂的死亡線下的像素都不能信任。

“用戶如果信任死亡線上的像素，那么他們就將是安全的，但是如果讓他們相信死亡線下的像素是可以信任的，那么他們就會(huì)死亡?！?/p>

然而，Lawrence、瀏覽器社區(qū)整體以及谷歌（尤其是）已經(jīng)意識(shí)到的事情之一是，一些攻擊者數(shù)據(jù)確實(shí)成功地處在了死亡線之上。

網(wǎng)頁(yè)的標(biāo)題和圖標(biāo)（1）是由網(wǎng)站本身控制的。但是有問題的區(qū)域是地址欄。正如我們之前所說(shuō)的，人們事實(shí)上不懂得URL。攻擊者和網(wǎng)絡(luò)犯罪分子強(qiáng)烈地意識(shí)到了這一點(diǎn)，因此便經(jīng)常使用它來(lái)獲取優(yōu)勢(shì)。

以下是一個(gè)URL的例子：

理想情況下，人們可以查看域名本身，并且對(duì)網(wǎng)站身份有一些認(rèn)識(shí)。但是，正如我們之前提到的，事實(shí)是瀏覽器不能依賴它們的用戶來(lái)辨別虛假和合法的URL。

網(wǎng)站身份仍然是一個(gè)主要問題：

“人們真的很難理解URL，”Chrome工程經(jīng)理Adrienne Porter Felt告訴Wired，“它們是很難讀懂的。人們很難知道它們中的哪一部分應(yīng)當(dāng)受到信任。通常，我不認(rèn)為URL是表達(dá)網(wǎng)站身份的一個(gè)好方法。因此我們希望遷移到另一個(gè)地方，在那里所有人都能理解網(wǎng)絡(luò)身份——他們知道當(dāng)他們使用網(wǎng)站時(shí)是在與誰(shuí)交談，并且可以推斷出是否可以信任他們。但這就意味著Chrome需要在顯示URL方面做出重大改變。當(dāng)我們?cè)趯ふ艺_的表達(dá)身份的方式時(shí)，我們希望挑戰(zhàn)URL的表現(xiàn)方式，并對(duì)它進(jìn)行質(zhì)疑。”

谷歌不知道用什么來(lái)替代URL

當(dāng)下，谷歌所面對(duì)的問題是，它并沒有替代URL的方案。它知道需要做出改變，但并不知道這個(gè)改變是什么。

谷歌說(shuō)它現(xiàn)在主要的關(guān)注點(diǎn)是識(shí)別人們使用URL的所有方式。

最終，理念將是用某種事物替代URL，而該事物不僅是對(duì)用戶更友好的，而且也能提高安全性，提供經(jīng)過(guò)驗(yàn)證的網(wǎng)站身份信息。

“我不知道它會(huì)是什么樣，因?yàn)楝F(xiàn)在團(tuán)隊(duì)正在積極討論它，”Chrome工程主管Parisa Tabriz表示，“但是我確認(rèn)知道我們所提議的將會(huì)是十分具有爭(zhēng)議性的。這是一個(gè)非常古老、開放和擴(kuò)張的平臺(tái)所面臨的挑戰(zhàn)之一。不論它的形式是什么，它都將是具有爭(zhēng)議性的。但是重要的是我們有所行動(dòng)，因?yàn)樗腥硕紝?duì)URL感到不滿意。它們很爛?！?/p>

這并不是谷歌第一次嘗試這樣做。早在2014年，它就短暫地嘗試過(guò)用只能顯示域名的“原始芯片”替換URL。但是因?yàn)橛脩舴磳?duì)，在還沒有正式發(fā)布之前，它就停了下來(lái)。

之后，谷歌改變網(wǎng)絡(luò)的舉措變得更加順利了，正如今年早些時(shí)候它推動(dòng)強(qiáng)制使用HTTPS時(shí)所顯示出來(lái)情形的一樣。而且甚至在宣布其意圖之前，谷歌就已經(jīng)在更改URL了。它宣布，計(jì)劃在發(fā)布Chrome 69時(shí)，逐步取消顯示URL前面的“安全”指示。

 據(jù)Porter Felt表示，谷歌計(jì)劃在今年秋天或是明年春天宣布其進(jìn)一步摒棄URL的計(jì)劃。

谷歌摒棄URL的計(jì)劃對(duì)證書機(jī)構(gòu)來(lái)說(shuō)是一個(gè)千載難逢的機(jī)會(huì)

對(duì)URL的使用所做出的任何更改，其核心都在于斷定網(wǎng)站身份的需要。這一點(diǎn)從來(lái)沒有比現(xiàn)在更重要，因?yàn)榫W(wǎng)絡(luò)釣魚的數(shù)量達(dá)到了歷史最高，同時(shí)一系列的惡意分子會(huì)利用了會(huì)工程來(lái)欺騙互聯(lián)網(wǎng)用戶。

也許沒有哪個(gè)行業(yè)比頒發(fā)數(shù)字證書的認(rèn)證機(jī)構(gòu)更適合于幫助認(rèn)證各種身份——終端實(shí)體ID、機(jī)器ID、網(wǎng)站ID和企業(yè)ID。

已經(jīng)有一種方法可以將業(yè)務(wù)認(rèn)證與SSL分離，其想法是將SSL/TLS的功能作為一種安全機(jī)制，但與身份驗(yàn)證方面存在沖突。這將是解決這個(gè)問題的絕佳機(jī)會(huì)。

CA已經(jīng)建立了用于驗(yàn)證企業(yè)和其他實(shí)體的基礎(chǔ)設(shè)施，幫助他們判斷企業(yè)和網(wǎng)絡(luò)身份。

讓我們尋找一個(gè)可以增強(qiáng)安全性的URL，同時(shí)也可以幫助企業(yè)和組織以一種對(duì)互聯(lián)網(wǎng)用戶來(lái)說(shuō)十分明顯的方式來(lái)宣稱他們的身份。

顯然，并不是每個(gè)網(wǎng)站都需要廣泛的認(rèn)證，但是無(wú)數(shù)的企業(yè)和其他組織都可以充分地利用一種機(jī)制，來(lái)更明顯地向客戶或用戶宣稱他們的身份。

驗(yàn)證身份可能并不是大多數(shù)瀏覽器社區(qū)想要承擔(dān)的責(zé)任。盡管微軟、蘋果和谷歌都有足夠的資源來(lái)做這件事，但是把這類設(shè)備組裝起來(lái)需要相當(dāng)長(zhǎng)的時(shí)間。這對(duì)這三家公司來(lái)說(shuō)似乎都是不可能的。

不，身份驗(yàn)證需要外包，而CA行業(yè)就處于一個(gè)完美的位置，可以進(jìn)入這個(gè)角色。

仍有許多工作要做。無(wú)論是否與SSL/TLS分離，都需要加強(qiáng)擴(kuò)展驗(yàn)證。而且，我們需要找到一種顯示信息的方法，以避免名稱沖突或與你所使用的實(shí)體相混淆。但CA將意識(shí)到這會(huì)是一個(gè)千載難逢的機(jī)會(huì)，因?yàn)槲磥?lái)，身份將持續(xù)成為我們所做的每一件事的核心。

未來(lái)可能在呼喚我們，但現(xiàn)在是時(shí)候弄清楚我們是否準(zhǔn)備好做出回答了。