Signature
RevokeSSL 是否需要自簽名證書才能工作?
// ,
我不想去<https://bankofamerica.com>看到它進行自我認證。
我不想去<https://amazon.com>看到它自我認證。
我不介意訪問<https://patriotact.wordpress.com>並看到它經過自我認證,因為它不接受金錢訂單或處理消息。
現在,我們的政府希望所有東西都標有網站所有者的合法 ID。
上述合規性出處要求如何影響 RevokeSSL 的有效性?
如果我使用非自簽名證書,在區塊鏈上使用 RevokeSSL 是否有意義?
Christopher Allen 最近在這裡做了一個演講:http ://www.meetup.com/SF-Bitcoin-Devs/events/222712738/
然而,我離開時感覺我對某些核心問題並不確定。
我問這個問題正確嗎?這足夠具體嗎?
我們可以添加 SSL 標籤嗎?
RevokeSSL 需要以下條件之一:
- 自簽名證書
- 由願意在其簽署的內容中包含額外資訊的 CA 簽署的證書。
這是因為如果證書不包含 RevokeSSL 工作所需的資訊(將用於創建驗證交易的地址),則會出現虛假撤銷攻擊。
Victor(受害者網站所有者)與 Mallory(想要損害 Victor 網站聲譽的惡意對手)對抗:
- Victor 創建站點,創建證書,但不包括 RevokeSSL 驗證地址。
- Mallory 獲得 Victor 的現場證書。(他不需要獲取任何私鑰。)
- Mallory 創建了一個 RevokeSSL 格式的交易,其中包含 OP_RETURN 值,該值是他想要錯誤地撤銷的證書的雜湊值。
- 一段時間後,馬洛里“花費”了交易,撤銷了維克多的站點證書。
如果使用證書的雜湊值來搜尋 OP_RETURN,那麼這種攻擊就會起作用。如果原始證書包含用於創建驗證交易的地址(並且驗證交易包含相關證書的雜湊作為 OP_RETURN),則此攻擊不能錯誤地撤銷證書。