新闻链接：http://www.seehand.com/community/465.html
新闻时间：2015/3/11
新闻正文：CASC是两年前由SSL CAs加密套接字协议层数字证书认证机构成立的。这里我们来探讨下委员会正在做些什么工作，以及数字证书安全将来的前景。

2013年2月，世界上最大的SSL数字证书认证机构联合起来成立了CASC数字证书认证机构安全委员会。此后，其成员包括GoDaddy、Comodo、DigiCert、Symantec、GlobalSign、Trustwave、Entrust以及Trend Micro的CASC持续推进数字证书的认证安全进展。

Symantec赛门铁克公司业务发展部门的高级主管Dean Coclin表示，我们开始是一个旨在促进数字证书以及SSL周边事物发展的组织。这个组织旨在通过教育和宣传促进网络安全以及受到公众信任的证书颁发机构的发展。

CASC的另一个主要目标是帮助促进经由认证机构认证的数字证书能够适当发行和使用的最佳方式。

CASC早先在2013年的最初努力是主动提出更广泛的部署在线证书状态协议（OCSP）装订。OCSP被Web浏览器用来检查一个网站的SSL证书的有效性。通常情况下，浏览器需要得到正在运行的OCSP服务的回应，虽然这很可能会影响性能。通过OCSP装订，一个Web服务器可以用CA检查自己的证书状态，然后提供给终端用户的浏览器。

GoDaddy公司安全产品的总经理Wayne Thayer表示，我们已经看到，OCSP装订工作完成的非常好，并将这些信息发送给服务器管理员，所以使它困难并具有挑战性。我们试图做的事情之一是与服务器供应商合作使OCSP装订默认启用。

Thayer与Apache Software Foundation阿帕奇软件基金会合作开发了Apache HTTP Web浏览器，推进了OCSP装订默认启用理念的实现。但在Apache HTTP Web浏览器上做出改变也是一个漫长的过程。

Thayer表示，我们正在取得进展，但是还需要一段时间。我相信，直到OCSP装订称为Apache、 Nginx以及其他流行的浏览器的默认设置，就好像微软的网络信息服务器 Internet Information Server（IIS）那样，我们将会缓慢的稳步推进。

展望OCSP装订的未来，CA安全社区有进行多项努力来推进国家证书的安全。其中一个被称为DANE（以DNS域名系统为基础命名的实体身份验证），利用DNSSEC（DNS域名安全扩展）来帮助验证真实性。

Thayer表示，DANE利用DNS域名记录给浏览器发送具体的指令，关于特定的CAs或者证书对于一个给定的网站是可接受的。

另一个刚开始的努力被称为HTTP公开密钥定位（HPKP），这个做法得到了谷歌Chrome以及Mozilla的火狐浏览器的支持。通过HPKP，将特定的密码公开密钥相关联或“固定”到了一个特定的服务器以限制潜在的欺诈性证书的风险。

Thayer表示，HPKP仍然是一个关于标准的草案，但它最大的问题是操作员可以很容易的操作它而造成搬起石头砸自己的脚，作茧自缚。通过设置错误的“固定”，网站可能会因此受损关闭。

然而，HPKP对于高风险的网站来说是一个可行的选择。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！