多視角驗證提升網域驗證安全性

在 Let’s Encrypt，我們一直致力於尋找方法來改進網路公鑰基礎建設 (Web PKI) 的安全性與完整性。我們很榮幸今天推出多視角網域驗證，因為我們相信這是網域驗證流程向前邁出的重要一步。據我們所知，我們是第一個大規模部署多視角驗證的憑證授權機構 (CA)。

網域驗證是所有 CA 用來確保憑證申請者實際控制他們想要憑證的網域的流程。通常，網域驗證流程會要求申請者在網域的受控位置（例如特定路徑或 DNS 條目）放置特定檔案或權杖。然後，CA 將檢查申請者是否能夠做到這一點。歷史上，它看起來像這樣

此流程的潛在問題是，如果網路攻擊者可以劫持或重新導向驗證路徑上的網路流量（針對質詢請求或相關的 DNS 查詢），則攻擊者可以欺騙 CA 錯誤地發出憑證。這正是普林斯頓大學的研究團隊 在針對 BGP 的攻擊中演示可以做到的事情。這種攻擊在今天很少見，但我們擔心這些攻擊在未來會變得更加頻繁。

邊界閘道協定 (BGP) 及其大多數部署並不安全。雖然有一些正在進行的努力來保護 BGP，例如 RPKI 和 BGPsec，但可能需要很長時間才能讓 BGP 劫持成為過去。我們不想等到我們可以依賴 BGP 安全時才採取行動，因此我們與普林斯頓大學的研究團隊合作，設計了一種方法來使此類攻擊更加困難。我們現在從多個角度以及我們自己的資料中心進行驗證，而不是從單一網路角度進行驗證

今天，我們正在單一雲端供應商內的多個區域進行驗證。我們計劃未來將網路視角多樣化到其他雲端供應商。

這使得先前描述的那種攻擊更加困難，因為攻擊者必須同時成功地損害三個不同的網路路徑（來自我們資料中心的主要路徑，以及三個遠端路徑中的至少兩個）。這也增加了網路拓撲社群偵測到此類攻擊的可能性。

我們要感謝普林斯頓大學 Prateek Mittal 教授和 Jennifer Rexford 教授的研究團隊在開發這項工作中的合作夥伴關係。我們將繼續與他們合作，以完善我們的多視角驗證設計和實施的有效性。我們還要感謝 開放科技基金 對這項工作的支持。

我們依靠來自使用者和支持者社群的貢獻來提供我們的服務。如果您的公司或組織想贊助 Let’s Encrypt，請透過電子郵件 sponsor@letsencrypt.org 聯繫我們。如果您的能力許可，我們要求您做出個人捐款。