互联网中被贩卖的信任
在互联网的背后,是一个巨大的信任机器,为了区分网站好坏,区分软件有利有害,人们已经建立了一个完整的行业,专门向个人和组织出售证书文件,方便他们在自己的数字产品上签名。操作系统更是这个利益链中推波助澜的同谋,因为它会迫使这些人去购买和使用这种证书。
我们常玩笑说,在网上,没人知道你是一条狗。国外的Google、Facebook和国内的众多大公司都知道我们在网络上每一步,每一个操作,但这些公司还是会对非狗性进行检测,这时他们会给人行道、红绿灯、画线、拼图等验证来判断。如果说数据是新时代的黄金,那数据质量就是数字时代数据价值的衡量标准。世界各地的数据公司竭尽所能的收集高质量的数据集,并把这些数据集卖给渴望促进提供人口消费的公司。
当这些公司为使用你的数据付费时(这些数据是由你从未听说过的第三方供应商销售的),他们不会为自己的努力付出这么多,而是因为他们相信这些公司能够提供高质量的数据来做广告。如果不能确保记录指向的是真人还是狗,那么数据集就一文不值。
信任是在数字生活中已经接受的一个小小不便,但我们在互联网上的每一次互动的核心就是它。每当我们访问一个页面,我们都有一种自我方法来给予这些页面信任度。然而,骗子更善于让我们相信淘宝,jd,拼多多等确实向我们索要了密码,这让我们不再能只依靠自己的脑子来断言一些可信赖的东西。
在一个领域里非常明显,就是软件业,我们都有过与木马、病毒、流氓软件(恶意软件)打交道的经历,不过你如何确保自己刚刚下载的软件是可靠的呢?早在2012年,两大操作系统供应商就想了一个解决方案,就是强迫开发人员用定制的证书对他们的应用程序进行编码签名,确保这个应用程序实际出自你手,而不是那些欺骗人的骗子。这个主意虽然好,问题来了,你怎么相信这个证书?
第二:首先从哪里得到这样的证书? 证书之所以被信任,是因为它形成了一种 "原始区块链",可以这么说。所谓的根证书,其实数量有限,其他所有证书都是由它衍生出来的,只要链子不断裂,哪怕是第二十级的证书也能被验证。这些根证书都是发给少数公司的。然后,这些根证书的签名被捆绑在我们今天使用的所有东西上。浏览器和操作系统都有一个根证书列表,意味着它们都可以检查下载的应用程序签名,验证是否与这些根证书中的一个相吻合。证书公司被微软、苹果、谷歌信任,如果符合,浏览器或操作系统就可以信任这个软件。
实际上,证书公司有自己的标准。如何核实订购这种证书的人的身份,包括核实官方文件,利用电话等方式确认这个人是本人。当然目前还没有立法要求必须这样做,这纯粹是一种商业上的信任措施,因为这些证书是这些公司的高价业务。毕竟,如果你订购了这样的证书,你是在为他们对你的信任付费。实际创建证书的成本非常低,只需要在表单中插入一些数据,然后“提交”即可,也就这么简单,在这些公司的眼中这一年对你的信任就价值500美元。这些证书是有期限的,一年后就失效,不是买断制。必须不断地付钱给这些公司,这样才能让他们继续信任你。这就像给婴儿喂奶一样,只为了让他保持安静,当然这种哺育方式不是什么好方式,别学。证书业务的这种方式也同样不是什么好方式。
那有人会说“那就不要买这样的证书”。但是我们别无选择啊,如果你是在开发软件,你要在人家平台,你就必须遵守强加给你的规则。而且Windows和MacOS都非常擅长这些事(苹果的防火墙甚至称为“守门人”)。如果软件没有签名,用户就会收到警告,如“此文件不常被下载”(Firefox)或“此软件可能损害您的计算机”(Windows SmartScreen筛选器),当然仍然可以安装该软件。正是由于这些警告,特别是非技术用户,这些软件就因为警告,将不会被安装。如果你的操作系统告诉你不要安装,你为什么要安装呢?
因此,为了避免这些警告,你必须付钱给美国的一些公司,让他们给你颁发一个证书,然后你就可以用它来让用户的计算机运行你的软件时保持沉默允许。你以为这样就完了?不,后面还有事:你不仅要付钱让他们核实你的身份,还得证明你的身份。如果你是一个挺难处理这些事的国家时,证明这些,事实上是非常困难。经过这些所有的麻烦,都是为了一个10kb的文本文件。(手动狗头)
整个证书行业看起来就像一个巨大的传销团体,在这个计划中,少数人处于销售金字塔的最高位置,从上面向下面推销,统治着网络上的身份。而这一切仅仅是因为一些公司(CA/Browser Forum)决定要求这样做。这样后,资金迅速涌入,所以信任不会轻易down掉。
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20201121A030E300?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
