因此,在过去的几年中,SSL 似乎受到了安全社区的重创。虽然技术原因超出了我的理解范围,但我理解这些概念并理解随着新弱点的发现,SSL 变得越来越不安全。
我想问你们的问题是: 如果SSL“坏了”,有没有技术可以取而代之?有没有更安全的选择?
如有任何想法,我们将不胜感激! :)
(ps,我不是专门谈论 HTTPS - 我指的是任何 SSL 技术)
最佳答案
SSL 未损坏。该协议(protocol)被设计为健壮的,可以在特定的密码套件中发现问题,并且补丁就像使用新的一行配置更改一样简单。有类似 SSLStrip 的攻击以及防止它的方法,例如HTTP STS .
最大的问题是人们使用 HTTPS 的频率不够。这会导致类似 OWASP a9 的问题可以被 firesheep 等工具利用.
关于security - SSL 的替代品,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5864161/