Handshake:從 CA 到 Handshake：域名的去中心化之路_Handshak

引言

證書頒發機構自誕生以來，一直就是DNS及網絡的中心，并且在保護網絡安全方面扮演著不可或缺的角色。

簡而言之，CA就是現代互聯網的信任之錨，發行著用于代表網絡實體的數字證書。數字證書是一種經過驗證的憑證，最終表現為線上的數字身份。CA的職責就是確保這些信息受到保護、可用于加密網絡參與者之間傳遞的數據。

與此同時，CA也發行SSL證書，該證書將網站的所有權與一組公鑰綁定在了一起。然而，對政府層面的攻擊威脅與日俱增，未來當用戶使用這類中心化的證書存儲庫時，可能會遇見假冒的對手方。2017年，用戶累計收到了超過2.67億個釣魚URL。此外，Zscalar公布的一份云安全報告指出，僅在2018年就有超過17億個隱藏在SSL流量中的高級威脅被攔截。

2019年7月期間，出現了1萬個企圖釣魚的SSL證書。

如今，互聯網已經陪我們走過了30多年，我們也需要一個更加現代化、更加強健的解決方案來減少攻擊和對第三方中間機構的依賴。

于是，Handshake應運而生。它是一種最新的協議，旨在提供一種強健的、可以替代DNS的方案，同時解決我們當前面臨的一些重大問題。作為我介紹Handshake系列的后續文章，我將更深入地探究互聯網協議組件的功能，以及CA是如何協同工作、讓現代的web運行起來的。

Jack Dorsey：Damus 已從 Apple 應用商店下架:6月27日消息，Twitter 前 CEO Jack Dorsey 發推表示，開放社交應用 Damus 已從 Apple 應用商店中下架，以便無需銀行、支付卡或政府許可即可向世界上的每個人提供小費。Jack Dorsey 還在推特上詢問 Tim Cook 為何 Apple Pay 不支持比特幣。[2023/6/27 22:03:51]

SSL/DNS在互聯網的技術棧層中處于什么位置？

互聯網協議組件驅動著我們今天所使用的互聯網。它是一套分層的網絡棧，允許全世界的計算機之間互相傳遞數據包。瀏覽器和主機之間使用超文本傳輸協議和安全套接層來建立加密通信、進行數據傳輸。SSL是一個與HTTP協同工作的協議層，它為瀏覽器的運行提供加密通信功能。

為了更好地理解HTTP和SSL協議實際上是如何運行的，我在下面舉了一個例子，來看看Alice是如何連接到Bob的網站的吧。

首先，Alice打開瀏覽器，在地址欄中輸入Bob.com

Juno Network 發布向從 Terra 遷移至 Juno 上項目提供激勵的提案:5月15日消息，Cosmos 生態智能合約公鏈 Juno Network 發布向從 Terra 遷移至 Juno 上項目提供激勵的提案。該提案建議提供 100 萬枚 JUNO（社區池提供 70 萬，發展基金提供 30 萬），用于項目遷移和持續開發，且該部分資金將由多簽地址管理。[2022/5/15 3:17:19]

接著，Alice的瀏覽器將連接到一個域名解析器，獲取目標網址的服務器地址

一旦域名解析完成以后，Bob網站的服務器將向Alice的電腦發送一個證書以及對應的公鑰

Alice的電腦通過該證書使用的CA來對該證書的合法性進行驗證

一旦驗證成功，Alice的電腦和Bob網站的服務器就彼此確認了眼神，然后建立起加密的SSL/TLS連接。

到了這一步，Alice的客戶端和Bob的服務器之間就能暢快無阻的發送加密數據啦

網絡協議棧是一套用于在網絡中各參與方之間傳遞數據的組件，但它嚴重依賴于你所采用的CA或更重要的公鑰基礎設施，來確保你在網上沖浪時保持私密且不受侵害。

imToken Product Director產品總監：從 Layer2 賬本本身看到潛在的商業模式:金色財經現場報道，7月9日，金色沙龍第66期Layer2-擴容“空間站”，探索更高維度的破局之道在杭州舉辦，imToken Product Director產品總監阿樹演講表示，如果我們認為區塊鏈是世界賬本，在此之上的Layer2不過是另外一份賬本，那么我們應該尋找什么樣的角度敘述 Layer2，才能觸及原始的模樣和看到未來的圖景呢？賬本會反映故事和商業，黃仁宇從《十六世紀明代之中國之財政與稅收》看到明朝的衰敗的緣由：稅收低，貨幣不穩定才是導致衰敗的起因。而記賬形式的演進，從流水賬到復式記賬，讓人類商業范圍擴大和進化，那么作為世界賬本的區塊鏈會有什么樣的未來？

所以我們可以從記賬角度理解 Layer2 的本質模樣，從 Layer2 賬本本身看到潛在的商業模式。[2021/7/9 0:39:52]

什么是公鑰基礎設施

要想在數據交換的過程中確保數據的準確和安全，信任是不可或缺的。PKI就是一套設定通信雙方交互策略、結構和流程的系統，讓交互雙方可以相互信任并安全地交換信息。一般來說，會有多個中間方來來協調兩個實體之間的信任。當你使用公開的互聯網也就意味著你信任根CA會為你提供正確無誤的信息。CA的使命就是管理代表其它實體的數字證書。頒發數字證書是為了防止在數據傳遞的過程中發生中間人攻擊，這種攻擊可能會繞過信任機制并將用戶引導至惡意的網站。舉例來說，IdenTrust就是一個典型的CA，管理著諸如Twitter在內的其它實體的數字證書。

實力派 | 范瑞彬：FISCO BCOS的設計邏輯主要從 5個方面出發:在今日“金色實力派”線上訪談中，針對海創鏈CEO張弢提出的“微眾銀行聯合金鏈盟開源工作組研發并開源的FISCO BCOS的設計邏輯是什么？”的問題，微眾銀行分布式商業科技發展部副總經理、區塊鏈負責人范瑞彬表示，FISCO BCOS在設計上主要從5方面出發考量：1、安全。全方位的安全防護（覆蓋網絡、主機、存儲、應用等），要避免短板和破窗。同時針對聯盟鏈的場景，專門支持了準入機制，CA認證、密鑰管理等關鍵能力。2、隱私保護。完整支持了國密算法體系（包括SM1、SM2、SM3、SM4等）。同時支持了權限管理、群簽名、環簽名、同態加密、零知識證明等隱私保護功能。3、性能。在工信部信通院的評測中單鏈TPS超2w，而且還支持了并行計算和分布式存儲，包括多鏈、跨鏈、熱點賬戶、多群組等一整套完整的解決方案，具備靈活高效的平行擴展能力。4、易用，提供開源的中間件平臺，讓使用者更便利的學習上手、開發、調試、部署、運營、監控、審計等。5、可靠，架構設計上要達到金融級水準的高可靠性。除了架構設計本身保證可靠，通過開源，更多人可以使用，促進更多的應用落地，用實踐來檢驗和加速推動FISCO BCOS的成熟可靠。[2019/12/18]

在上面這個例子里，IdenTrust將發送一個X.509證書給請求訪問Twitter的用戶。在這個數字證書中包含了一系列信息，包括經過驗證的公鑰，證書的失效日期，數字簽名和其它重要條款。一旦用戶收到了數字簽名，他就可以使用該數字簽名對實體的身份及公鑰進行驗證。通常情況下，我們會使用RSA算法或橢圓曲線數字簽名算法來生成公鑰。RSA算法和ECDSA都是非對稱加密技術，這也就意味著用戶只需使用主機的公鑰就可以完成對信息的加密，然后在公開的網絡環境中將加密后的信息發送給主機。只有與公鑰關聯的私鑰能夠解密信息。

聲音 | BM：從 EOS 回到 ETH 就像從光纖回到了撥號一樣:據 IMEOS 報道，BM 昨夜在推特發了兩條推文，分別表達了 EOS 的領先和 DPOS 的優勢

1.用戶回饋使用 EOS 幾個月后重新使用 ETH 就像是從光纖回到了撥號一樣。一旦你在 EOS 上，你永遠都不想在回去。

當計算或算法發生巨大突破時，工作證明就變得完全中心化...無論技術發展如何，DPOS 都會一直保持去中心化。你可以輕松分叉 DPOS，但創建新的抗性工作證明非常困難。[2019/4/15]

CA存在的諸多問題

讀到這里，大家應該已經基本明白了互聯網協議組件中的PKI和CA是如何運行的，接下來，我們一起討論一下可能出現的一些問題。CA在整個過程中一直扮演著一個中心化認證組織的角色，它負責存儲數字證書，并充當兩個實體之間的中間人。每一個CA都有它獨有的驗證程序來判斷域名的有效性和安全性。此外，三家營利性組織占據了大約90%全球市場份額。最終，這種存儲和發行證書的方式可能出現安全漏洞。W3Tech近期公布的一篇報告中列出了主流CA的全球市場份額。很顯然，還存在一些改進的空間。

當一個網絡實體要向一個已知的CA申請獲取數字證書時，需要經過一個域名驗證的過程。可靠的SSL證書讓用戶有信心防止網絡釣魚，詐騙，和欺詐。然而，接收數字證書的過程有點過于簡單了。CA就只是向WHOIS記錄中的域名聯系人發送域名驗證型證書而已。這也太草率了吧！整個事情就是：某個用戶申請一個數字證書，然后CA就會通過電子郵件向域名聯系人發送一個經過認證的證書。出于額外的安全考量，實體還可以注冊一個擴展驗證服務，在其它情況中通過身份檢查來進行驗證。但是，通常情況下，用戶不會發現其中的區別，除非他們看見了一個綠色的橫條或者點擊了瀏覽器左上角的小鎖頭。這是相當危險的，因為壞蛋也可以注冊一個神似Twitter的域名，比如說Twiter.com，然后展示出經過CA認證的證書。域名驗證程序、密鑰存儲以及CA爆破，這些環節都對對諸如瀏覽器中間人、HTTPS欺騙、ARP欺騙及其它類型的中間人攻擊敞開了罪惡的大門。舉例來說，2000年初，一家著名的CA公司Verisign向一名自稱是微軟公司的惡意用戶頒發了一份數字證書。然后，攻擊者讓用戶誤以為自己收到了有效的Windows更新，然后用戶的電腦就被攻陷了。在2011年3月發生的一起事故中，Comodo向冒充微軟和Google等網站的惡意用戶頒發了虛假的證書。在這個案例中，用戶被引導進一個惡意的網站，卻誤以為自己正在登錄Google。最終Comodo發現了危害，并撤銷了訪問該證書的權限。

Handshake的主張

今天，全球所有的頂級域名都由13個營利性組織管理。雖然CA由數千個組織進行管理，但其中三家組織占據了90%的全球市場份額。管理頂級域名和證書的組織都會遭遇中心故障的問題。這種問題會一直存在，除非我們將信任從中心化組織轉移到去中心化的解決方案上。互聯網協議組件和公鑰基礎設施高度依賴于整體的公共基礎設施。

我們為什么不能依靠公眾來進行域名管理和安全性認證呢？眼下就有這么一場遷移，將貨幣的控制權交還到公眾手上。自比特幣創生始，貨幣的控制權便不斷從國家轉移到人民手中。全球的公民因此獲得了對沖國家風險的能力，還保持了采取行動的自由。Handshake提出了與比特幣相同的價值主張，但它改變的是信息流。正如我在以前的文章中提到的，Handshake是一個去中心化域名管理協議，它從根源管理著頂級域名。正因為Handshake的頂級域名都被直接存儲在頂層，因此你不再需要CA來管理數字證書或私鑰了。

Handshake如何解決當前在CA中存在的問題？

今天，CA管理著包含公鑰，簽名和其它相關信息在內的各種數字記錄。因此，當你信任CA的時候，也意味著你相信CA擁有安全的數字文件和經過驗證的身份信息。Handshake的重要性在于：私鑰始終直接由所有者注冊，并始終控制在所有者手中。這意味著當我注冊“TokenDaily.co”這個域名的時候，Handshake將在協議上鎖定域名的所有權，并通過網絡中的所有節點對其進行傳播。當用戶解析到命名空間時，它將直接指向一個簡潔的證書，并驗證請求的合法性。這將成為私鑰和已注冊域名之間的規范信任點。

總結

Handshake協議正在減少我們對頂級域名和CA的需求，也將減少我們對第三方提供商的依賴。這場轉移最終將導致中間機構的減少，并給用戶帶來更強的安全性。這意味著信息將自由流動，而你無需再擔心攻擊者仿冒你的域名。今時今日，網絡上發生著數以十億計的攻擊，任何人都有可能成為釣魚URL或SSL隱藏威脅的受害者。我們越是需要信任，就越需要更快地找到這個問題的解決方案。隨著Handshake協議、Handshake聯盟、Urkel、和Handshake學院的發明，我們將開始見證一場從信任人到信任代碼的轉變——這將帶給互聯網前所未有的安全。

原文鏈接:

https://www.tokendaily.co/blog/the-fall-of-certificate-authorities-and-the-rise-of-handshake

作者:ImranKhan

翻譯&校對:曾汨&阿劍

本文由原作者授權EthFans翻譯及再出版

Tags：HANANDSHAKEHandshakeHanzo Inucandylad幣開盤價Handshak

狗狗幣