Web身份验证从2011年开始“站不住脚”。几年以来，SSL劫持攻击（攻击者劫持用户的浏览会话，即使会话已经被加密）和中间人攻击（攻击者拦截和掌控SSL通信）取得了不小的成功。这些针对SSL安全网站的攻击就正是利用了CA信任模式中存在的弊端。

当去年三月攻击者ComodoHacker浮出水面时，证书安全问题开始慢慢突显，ComodoHacker首先攻击了广泛使用的证书颁发机构Comodo，发出了一些欺诈性Comodo SSL证书。

ComodoHacker的声名鹊起出现在去年九月对荷兰证书颁发机构DigiNotar的攻击，这次攻击中，攻击者发出了500多个流氓证书，基本让该公司无退路可走，毕竟是公司的信任基础（证书）出现了问题。针对Comodo的攻击比较小，并且该公司迅速作出了响应。而另一方面，DigiNotar在假证书被公开之前早就知道了这件事，但却没有做出任何回应。在泄露事故发生数周后，DigiNotar关门大吉。

在对于高影响度泄露事故的处理方面，DigiNotar无疑给大家敲响了警钟。这也显示了互联网身份验证中信任是多么重要的因素。

在DigiNotar倒闭后，SSL协议本身开始成为新的关注焦点。安全研究人员Juliano Rizzo和Thai Duong发布了针对SSL/TLS协议的浏览器劫持（Beast）漏洞，该漏洞可以允许攻击者使用JavaScript用中间人攻击来解密部分数据屏幕部分。

赛门铁克身份验证团队高级工程总监Quentin Liu表示，所有这些事件让人们对于整个SSL信任模式是否已经从根本上被打破提出了疑问。

Liu表示，最简短的回答就是“绝对没有”，但是CA世界的“西部狂野”气氛必须得到改善。有太多CA在凭自己喜好来做事，而没有监督或者保持操作一致。Liu表示。“如果时间回到十年前，可能只有少数几家CA，现在已经有几百家CA了。”

信任模式基于三个组成部分：技术和协议的加密、用于识别证书持有者以及验证其合法性的身份验证过程，以及CA信任模式的安全操作和执行以确保只发布合法证书。

从长远来看，SSL信任模式必须提供更好的安全和身份验证能力，并且能够扩展到全球范围，Liu称：“考虑到这一点，现有SSL信任模式仍然是符合所有这些标准的最适合的模式。”

(责任编辑：)