如何改进SSL证书安全性

　　Google安全博客讨论了最近CA认证机构Comodo遭黑客入侵的事件，提出了两种改进SSL证书安全性的方法。

　　第一种方法是Google Certificate Catalog，Google爬虫在索引互联网的同时会记录所有的SSL证书，Google Certificate Catalog就是这些证书的数据库。如果一个证书没有出现在Google的数据库内，即使有正确的CA签名，它极有可能是伪造的。Google正考虑在Chrome浏览器中加入Google Certificate Catalog数据库支持功能，其它浏览器未来可能跟进。第二种方法是互联网工程任务组(IETF)正在讨论的DANE，DANE代表基于DNS的域名实体认证，允许域名商发布SSL证书信息，利用DNS记录鉴定特定证书是否有效。这两种方法都是依靠DNS记录，但DNS可能会被污染，安全性值得质疑，Google认为加密保护DNS数据的DNSSEC协议可以解决安全问题。