。作為第二個(gè)這樣的示例,因?yàn)檎J(rèn)證機(jī)構(gòu)108可能不會(huì)提供代表各種域所頒發(fā)的證書(shū)106的公共記錄,所以對(duì)于域而言,可能難以檢測(cè)代表其自身的未授權(quán)證書(shū)的頒發(fā)。作為第三個(gè)這樣的示例,可能難以回顧由特定認(rèn)證機(jī)構(gòu)108利用的安全實(shí)踐;例如,一些認(rèn)證機(jī)構(gòu)108可能慢于或者不愿從使用被發(fā)現(xiàn)為不安全的安全實(shí)踐轉(zhuǎn)換開(kāi)。作為第四個(gè)這樣的示例,一些類型的運(yùn)用可能僅僅通過(guò)許多證書(shū)的集體評(píng)估而可檢測(cè);例如,同時(shí)由兩個(gè)或者更多不同認(rèn)證機(jī)構(gòu)108代表特定域的證書(shū)的頒發(fā)可能會(huì)引起安全關(guān)注,但是該條件的檢測(cè)可能難以從檢查任何特定證書(shū)106獨(dú)立地分辨。而且,由于缺少集體過(guò)程來(lái)對(duì)關(guān)于放置在相應(yīng)認(rèn)證機(jī)構(gòu)中的信任的信息進(jìn)行聚集、檢查、達(dá)成共識(shí)以及傳播,所以使得對(duì)于任何特定客戶端102而言,難以確定是否要確定由特定認(rèn)證機(jī)構(gòu)108向特定節(jié)點(diǎn)110頒發(fā)的證書(shū)106的信任水平118,諸如網(wǎng)絡(luò)的特定域。
[0021]這樣的問(wèn)題在圖1的示范性情景100中進(jìn)一步圖示。作為第一個(gè)這樣的示例,第一客戶端102可以從第二網(wǎng)絡(luò)節(jié)點(diǎn)110接收第二證書(shū)106,其與第二已認(rèn)證項(xiàng)104相關(guān)聯(lián)124并且其指示由第一認(rèn)證機(jī)構(gòu)108的頒發(fā)。然而,第二證書(shū)106可能尚未由第一認(rèn)證機(jī)構(gòu)108頒發(fā),但是替代地,可能已經(jīng)通過(guò)安全易損性的運(yùn)用(例如,第一認(rèn)證機(jī)構(gòu)108的受損憑證的使用)而偽造122(例如,通過(guò)第二網(wǎng)絡(luò)節(jié)點(diǎn)110或者第三方)。因此,對(duì)于客戶端102可能合期望的是,標(biāo)識(shí)第二證書(shū)106的不可信120,但是第一客戶端102可能不能簡(jiǎn)單地通過(guò)檢查第二證書(shū)106來(lái)確定這樣的不可信120。作為第二示例,顯露出不可信120的第二認(rèn)證機(jī)構(gòu)108(例如,頒發(fā)不適當(dāng)證書(shū)106的歷史)可能針對(duì)第三已認(rèn)證項(xiàng)104頒發(fā)第三證書(shū)106,并且第三證書(shū)106可以被提交給第一客戶端102。然而,即便第一客戶端102能確定由第二認(rèn)證機(jī)構(gòu)108頒發(fā)的第三證書(shū)106的不可信120,這樣的不可信120的確定也可能不會(huì)被傳送給第二客戶端102,其在接收到第三證書(shū)106后可能會(huì)不正確地確定第三證書(shū)106和第二認(rèn)證機(jī)構(gòu)108中的可接受信任水平118。由于在圖1的示范性情景100中圖示的這些方面和認(rèn)證機(jī)構(gòu)108的系統(tǒng)的其他方面,確定認(rèn)證機(jī)構(gòu)108的信任水平118可能是困難的。
[0022]B.呈現(xiàn)的技術(shù)
本文呈現(xiàn)的是,可以使得能夠?qū)崿F(xiàn)可能在認(rèn)證機(jī)構(gòu)108的系統(tǒng)內(nèi)產(chǎn)生的可運(yùn)用易損性的減少或者避免的技術(shù)。按照這些技術(shù),可設(shè)計(jì)認(rèn)證機(jī)構(gòu)信任服務(wù),其收集已經(jīng)被呈現(xiàn)給客戶端102的證書(shū)106以用于驗(yàn)證各種已認(rèn)證項(xiàng)104。例如,由用戶的集合利用的設(shè)備可以自動(dòng)向認(rèn)證機(jī)構(gòu)信任服務(wù)提交一些所接收的證書(shū)106??商鎿Q地或者附加地,認(rèn)證機(jī)構(gòu)信任服務(wù)可以利用可信客戶端102的集合(例如,抓取器的可信集合),其自動(dòng)探索域的集合并且收集由域提交且明顯由認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106 ο從各種節(jié)點(diǎn)110收集的證書(shū)106可以被評(píng)估以使用各種各樣的啟發(fā)式方法評(píng)估認(rèn)證機(jī)構(gòu)108的信任水平118。認(rèn)證機(jī)構(gòu)信任服務(wù)可以生成指示針對(duì)相應(yīng)認(rèn)證機(jī)構(gòu)108的信任水平118的認(rèn)證機(jī)構(gòu)信任集合,并且可以將認(rèn)證機(jī)構(gòu)信任集合分布到客戶端102的集合。每個(gè)客戶端102然后可以基于頒發(fā)證書(shū)106的認(rèn)證機(jī)構(gòu)108的信任水平118(如由認(rèn)證機(jī)構(gòu)信任集合指示的)以及用于評(píng)價(jià)證書(shū)106的信任的各種其他啟發(fā)式方法而評(píng)估之后接收到的證書(shū)106。這些和其他技術(shù)可以用于按照本文呈現(xiàn)的技術(shù)來(lái)檢測(cè)、傳播和利用集體證書(shū)信任評(píng)估過(guò)程。
[0023]圖2呈現(xiàn)出表征了由認(rèn)證機(jī)構(gòu)信任服務(wù)202對(duì)各種認(rèn)證機(jī)構(gòu)108的信任水平的集體評(píng)估的示范性情景200的圖示。在該示范性情景200中,認(rèn)證機(jī)構(gòu)108的集合頒發(fā)針對(duì)各種已認(rèn)證項(xiàng)104的證書(shū)106的集合(例如,消息或者web頁(yè)面的內(nèi)容、或者諸如網(wǎng)站之類的節(jié)點(diǎn)110的標(biāo)識(shí)憑證),并且將證書(shū)106呈現(xiàn)給客戶端102的集合(例如,直接地通過(guò)認(rèn)證機(jī)構(gòu)108、通過(guò)另一客戶端102或者間接地通過(guò)網(wǎng)絡(luò)的節(jié)點(diǎn)110)??蛻舳?02進(jìn)而向認(rèn)證機(jī)構(gòu)信任服務(wù)202發(fā)送證書(shū)106(可選地,包括向客戶端102呈現(xiàn)證書(shū)106的節(jié)點(diǎn)110和/或已認(rèn)證項(xiàng)104的標(biāo)識(shí)符)。認(rèn)證機(jī)構(gòu)信任服務(wù)202使用各種各樣的啟發(fā)式方法來(lái)執(zhí)行相應(yīng)證書(shū)106的證書(shū)評(píng)估204,以便確定相應(yīng)證書(shū)106的證書(shū)信任水平206。認(rèn)證機(jī)構(gòu)信任服務(wù)202還基于看起來(lái)已經(jīng)由該認(rèn)證機(jī)構(gòu)108所頒發(fā)的證書(shū)106的證書(shū)信任水平206而執(zhí)行相應(yīng)認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)評(píng)估208,并且確定認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210。例如,僅僅頒發(fā)具有高證書(shū)信任水平206的證書(shū)108(例如,沒(méi)有呈現(xiàn)懷疑或者偽造的指示的證書(shū)108)的第一認(rèn)證機(jī)構(gòu)210可被指派有正的認(rèn)證機(jī)構(gòu)信任水平210;頒發(fā)具有高證書(shū)信任水平067的第二證書(shū)106和具有不良證書(shū)信任水平206的第三證書(shū)106(例如,檢測(cè)到第三證書(shū)206的頒發(fā)的偽造)的第二認(rèn)證機(jī)構(gòu)108可能被指派有中級(jí)認(rèn)證機(jī)構(gòu)信任水平210;并且與具有負(fù)證書(shū)信任水平206的數(shù)個(gè)證書(shū)106相關(guān)聯(lián)的第三認(rèn)證機(jī)構(gòu)108可以被指派有負(fù)的認(rèn)證機(jī)構(gòu)信任水平210。認(rèn)證機(jī)構(gòu)信任服務(wù)202然后生成認(rèn)證機(jī)構(gòu)信任集合212,其標(biāo)識(shí)針對(duì)相應(yīng)認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210。認(rèn)證機(jī)構(gòu)信任服務(wù)202向客戶端102發(fā)送認(rèn)證機(jī)構(gòu)信任集合212,所述客戶端102可以利用認(rèn)證機(jī)構(gòu)信任集合212來(lái)確定歸屬于明顯由相應(yīng)認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106的信任水平118;在接收到針對(duì)已認(rèn)證項(xiàng)104的證書(shū)106后,客戶端102可以基于明顯頒發(fā)證書(shū)106的認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210而將信任水平118歸屬于證書(shū)106和已認(rèn)證項(xiàng)104。以這種方式,客戶端102和認(rèn)證機(jī)構(gòu)信任服務(wù)202可以互操作以按照本文呈現(xiàn)的技術(shù)實(shí)現(xiàn)各種認(rèn)證機(jī)構(gòu)108以及由此頒發(fā)的證書(shū)106的信任水平118的合作收集、確定和傳播。
[0024]C.示范性實(shí)施例
圖3呈現(xiàn)了本文呈現(xiàn)的技術(shù)的示范性第一實(shí)施例的圖示,其被圖示為評(píng)估由認(rèn)證機(jī)構(gòu)108分別頒發(fā)的證書(shū)106的示范性方法300。示范性第一方法300可以實(shí)現(xiàn)為例如存儲(chǔ)在具有處理器的設(shè)備(例如,提供代表客戶端102的集合的認(rèn)證機(jī)構(gòu)信任服務(wù)202的服務(wù)器)的存儲(chǔ)器組件(例如,存儲(chǔ)器電路、硬盤(pán)驅(qū)動(dòng)器的盤(pán)片、固態(tài)存儲(chǔ)設(shè)備或者磁盤(pán)或光盤(pán))中的指令集合,其中所述指令在處理器上執(zhí)行時(shí)促使設(shè)備按照本文呈現(xiàn)的技術(shù)進(jìn)行操作。示范性第一方法300開(kāi)始于302,并且涉及在設(shè)備的處理器上執(zhí)行304指令。特別地,指令在處理器上的執(zhí)行促使設(shè)備從客戶端102接收306被呈現(xiàn)給客戶端102并且由認(rèn)證機(jī)構(gòu)108頒發(fā)的至少一個(gè)證書(shū)106。指令在處理器上的執(zhí)行還促使設(shè)備針對(duì)相應(yīng)的308認(rèn)證機(jī)構(gòu)108來(lái)確定310針對(duì)由認(rèn)證機(jī)構(gòu)108頒發(fā)的相應(yīng)證書(shū)106的證書(shū)信任水平206;并且按照由認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106的證書(shū)信任水平206,確定312認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210。指令在處理器上的執(zhí)行還促使設(shè)備將標(biāo)識(shí)相應(yīng)認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210的認(rèn)證機(jī)構(gòu)信任集合212分布314給客戶端102。這樣,示范性第一方法300促使設(shè)備促進(jìn)客戶端102按照本文呈現(xiàn)的技術(shù)評(píng)估針對(duì)各種已認(rèn)證項(xiàng)104的證書(shū)106的信任水平118,并且所以在316處結(jié)束。
[0025]圖4呈現(xiàn)了本文呈現(xiàn)的技術(shù)的示范性第二實(shí)施例的圖示,其被圖示為用于使得能夠促進(jìn)包括至少一個(gè)客戶端102的客戶端集合利用分別由認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106的示范性系統(tǒng)406。示范性系統(tǒng)406的一個(gè)或者多個(gè)組件可以實(shí)現(xiàn)為例如存儲(chǔ)在設(shè)備402的存儲(chǔ)器組件中的指令,其在設(shè)備402的處理器404上執(zhí)行時(shí)促使設(shè)備402執(zhí)行本文闡述的技術(shù)的至少一部分??商鎿Q地(雖然未示出),示范性系統(tǒng)406的一個(gè)或者多個(gè)組件可以實(shí)現(xiàn)為例如易失性或者非易失性邏輯電路,諸如特定設(shè)計(jì)的芯片上半導(dǎo)體(SoC)或者現(xiàn)場(chǎng)可編程門(mén)陣列(FPGA)的配置,其執(zhí)行本文闡述的技術(shù)的至少一部分,使得組件的互操作完成本文呈現(xiàn)的技術(shù)的變例的性能。示范性系統(tǒng)406包括證書(shū)評(píng)估器408,其在從客戶端102接收到被呈現(xiàn)給客戶端102并且由認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106時(shí),評(píng)估證書(shū)106以確定證書(shū)信任水平206。示范性系統(tǒng)406還包括認(rèn)證機(jī)構(gòu)評(píng)估器410,其針對(duì)相應(yīng)認(rèn)證機(jī)構(gòu)108而基于由認(rèn)證機(jī)構(gòu)108頒發(fā)的證書(shū)106的證書(shū)信任水平206來(lái)確定認(rèn)證機(jī)構(gòu)的認(rèn)證機(jī)構(gòu)信任水平210。認(rèn)證機(jī)構(gòu)評(píng)估器410還生成認(rèn)證機(jī)構(gòu)信任集合212,其針對(duì)相應(yīng)認(rèn)證機(jī)構(gòu)108而標(biāo)識(shí)認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210并且將認(rèn)證機(jī)構(gòu)信任集合212發(fā)送給客戶端102。這樣,示范性系統(tǒng)406使得客戶端102能夠按照本文呈現(xiàn)的技術(shù)來(lái)評(píng)估針對(duì)各種已認(rèn)證項(xiàng)104所接收的證書(shū)106的信任水平118。
[0026]圖5呈現(xiàn)了本文呈現(xiàn)的技術(shù)的示范性第三實(shí)施例的圖示,其被圖示為評(píng)估由認(rèn)證機(jī)構(gòu)108向具有處理器并且與認(rèn)證機(jī)構(gòu)信任服務(wù)202通信的設(shè)備頒發(fā)的證書(shū)106的示范性第二方法500。示范性第二方法500可以實(shí)現(xiàn)為例如存儲(chǔ)在具有處理器的設(shè)備(例如,認(rèn)證機(jī)構(gòu)信任服務(wù)202的客戶端102)的存儲(chǔ)器組件(例如,存儲(chǔ)器電路、硬盤(pán)驅(qū)動(dòng)器的盤(pán)、固態(tài)存儲(chǔ)設(shè)備或者磁盤(pán)或光盤(pán))中的指令集合,其中所述指令在處理器上執(zhí)行時(shí)促使設(shè)備按照本文呈現(xiàn)的技術(shù)進(jìn)行操作。示范性第二方法500開(kāi)始于502,并且涉及在設(shè)備的處理器上執(zhí)行504指令。特別地,指令在處理器上的執(zhí)行促使設(shè)備在從認(rèn)證機(jī)構(gòu)信任服務(wù)202接收到針對(duì)相應(yīng)認(rèn)證機(jī)構(gòu)108標(biāo)識(shí)該認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210的認(rèn)證機(jī)構(gòu)信任集合212后,存儲(chǔ)506認(rèn)證機(jī)構(gòu)信任集合212。指令在處理器上的執(zhí)行還促使設(shè)備在接收508到由認(rèn)證機(jī)構(gòu)108頒發(fā)的與已認(rèn)證項(xiàng)104相關(guān)聯(lián)的證書(shū)106后,將該證書(shū)106發(fā)送510給認(rèn)證機(jī)構(gòu)信任服務(wù)202;使用認(rèn)證機(jī)構(gòu)信任集合212來(lái)確定512頒發(fā)證書(shū)106的認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210;以及按照頒發(fā)針對(duì)已認(rèn)證項(xiàng)104的證書(shū)106的認(rèn)證機(jī)構(gòu)108的認(rèn)證機(jī)構(gòu)信任水平210來(lái)評(píng)估514已認(rèn)證項(xiàng)104。以這種方式,示范性第二方法500使得設(shè)備(諸如客戶端102)能夠按照本文呈現(xiàn)的技術(shù)而根據(jù)頒發(fā)針對(duì)已認(rèn)證項(xiàng)104的證書(shū)106的認(rèn)證機(jī)構(gòu)108的信任水平118來(lái)評(píng)估已認(rèn)證項(xiàng)104,并且由此在516處結(jié)束。
[0027]另一個(gè)實(shí)施例涉及包括被配置成應(yīng)用本文呈現(xiàn)的技術(shù)的處理器可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)。這樣的計(jì)算機(jī)可讀介質(zhì)可以包括例如涉及有形設(shè)備的計(jì)算機(jī)可讀存儲(chǔ)設(shè)備,諸如存儲(chǔ)器半導(dǎo)體(例如,利用靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)