Tengo una idea divertida de cómo aumentar la seguridad de SSL (TLS) para sitios web. Sin embargo, creo que no hay soporte para esto en los navegadores, así que pensé que podría agregarlo eventualmente, pero no tengo idea de si es compatible.
Actualmente, SSL funciona de la manera en que siempre hay algunos certificados de emisión basados en el país en idioma inglés basados en su clave raíz. Ahora todo esto está bajo el control del gobierno, ya que pueden obtener acceso a estas claves cuando lo soliciten, y tienen acuerdos para hacerlo. Sin embargo, para los negocios, esto no es lo suficientemente bueno, definitivamente.
Ahora, la cosa es simplemente usar el doble o más de la conexión SSL, una envoltura entre sí, y usted usaría dos o más certificados, uno por Reino Unido y uno por China.
Al tener la parte pública de las claves raíz de China y el Reino Unido y hacer doble cifrado, sería irrompible tanto para Estados Unidos como para China.
Dado que las claves raíz chinas están incluidas en Firefox, lo único que falta aquí es el soporte para el doble cifrado.
Este es un modelo realmente bueno, porque:
- Todos los navegadores de usuarios tienen dos partes públicas de clave pública
- No hay forma de que China y EE. UU. / Reino Unido compartan sus claves secretas
Esto se puede hacer usando un navegador de código abierto como Firefox. Simplemente funciona de la misma manera, esa conexión se cifra dos veces.
Solo la negociación del dominio es difícil. Ya sea usando dos certificados para un mismo dominio, o usando dos dominios, o usando similitud de nombre, o tal vez firme el subdominio en el nombre, y combine en dos certificados. El encadenamiento con DNSSEC, o simplemente los mismos nombres, sería suficiente, por ejemplo, para establecer la comunicación entre dos partes, por ejemplo. entre el Reino Unido y China.
ACTUALIZACIÓN: Parece que el certificado chino en FireFox no es seguro, por lo tanto, no hay otros certificados o países que puedan entregar esto. Pero si la clave china es segura, simplemente está negociando el dominio, uno podría tener una conexión seriamente encriptada y estar a prueba del gobierno, pero si todas las claves se comparten, solo me quedan certificados firmados por el usuario.
En serio, ¿tal vez el uso de un certificado autofirmado es realmente más seguro para un cliente a largo plazo, que uno controlado por el gobierno? Entonces, tal vez en el siguiente escenario: "Instale nuestro certificado si está paranoico acerca del gobierno". Así que esto debería ser bueno como VPN. Para hacer negocios, como el correo electrónico, las empresas tendrían que intercambiar los certificados para alcanzar este nivel de seguridad. Por lo tanto, solo un concentrador SMTP sería seguro como este si se realiza correctamente, si los clientes instalen el certificado y los carguen, podrían comunicarse de forma segura entre ellos.
Por lo tanto, los certificados oficiales controlados por el gobierno no sirven para una comunicación segura, y es mejor usar los autofirmados, y los certificados pueden descargarse e instalarse sin problemas a través del navegador. No se requiere cifrado para transmitir la parte pública (la clave pública raíz), y después de la confirmación de la imagen hashkey conocida, puede buscar recursos. Lo único es hacerlo correctamente, como primero instalar un certificado, y luego visitar el sitio web, y el certificado sería completamente válido. Por lo tanto, puede abordar el problema con PKI privada en lugar de confiar en el funcionario y es de esperar que esto sea completamente legal.