隨著證書頒發(fā)機構(gòu)出現(xiàn)了一些數(shù)據(jù)泄露的問題，SSL(安全套接字層)遭遇了圍攻，那是不是該輪到競爭對手協(xié)議IPsec登場了呢?出于安全考慮，一些企業(yè)開始重新考慮IPsec，但與SSL一樣，IPsec同樣依賴于一個有缺陷的信任模式。

IPsec有一些關(guān)鍵功能，例如支持各種算法和應(yīng)用程序(包括VoIP)，并且提供數(shù)據(jù)包檢查功能。但是作為VPN協(xié)議，IPsec并沒有真正火過，這主要源自對其客戶端因素的擔憂以及比SSL具有更高的維護管理成本。即便如此，一些企業(yè)開始重新考慮IPsec，并將其與SSL一起運用，以加強安全性。

“我們看到很多人開始轉(zhuǎn)向IPsec，他們看到了IPsec的利與弊，”Americas公司NCP Engineering首席技術(shù)官Rainer Enders表示，該公司同時銷售SSL和IPsec產(chǎn)品。“IPsec是一套非常強大的協(xié)議。對于真正高安全的應(yīng)用程序，IPsec更加有用。IPsec通過其作為安全協(xié)議的設(shè)計提供了更高的安全性，不是通過加密類型，而是通過部署。”

Enders表示IPsec實際上要比SSL更加安全，部分原因是因為很多SSL部署仍然運行其較舊的TLS協(xié)議。IPsec的密鑰交換協(xié)議更加安全，“從安全技術(shù)角度來看，IPsec的確更加安全。”

但不要這么快下結(jié)論，安全專家指出，IPsec依賴于與SSL相同的信任模式，而這個信任模式已經(jīng)崩潰了。

“我認為IPsec是一個完美的協(xié)議，但是我認為我們需要想辦法避開一些問題，”安全專家Taher Elgamal表示，“如果我們使用IPsec，我們?nèi)匀恍枰褂靡恍┕€基礎(chǔ)設(shè)施。所以如果我們不能解決這個實際問題，也就是客戶端如何信任服務(wù)器證書的問題，那么IPsec將出現(xiàn)與SSL同樣的問題。仍然會出現(xiàn)流氓證書機構(gòu)，仍然會有MD5問題。”

安全專家DanKaminsky同意這個觀點，“SSL被破壞了，IPsec將無法修復它，”Kaminsky表示，“只有當我們修復了SSL，才能夠重新考慮IPsec。”

Kaminsky表示，根本的問題在于協(xié)議和加密。密鑰管理問題同時困擾著SSL和IPsec：“IPsec和SSL具有完全相同的密鑰管理問題，甚至還多了兩個問題，首先，你需要讓協(xié)議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)和防火墻。第二，進行加密工作的內(nèi)核和與用戶通信的應(yīng)用程序完全無法好好工作。”

內(nèi)核并不知道找誰驗證信任，應(yīng)用程序不知道如何向用戶顯示信任，他表示，“IPsec的優(yōu)勢并不在于它是一個更好的協(xié)議，而是在于在沒有應(yīng)用程序集成的情況下，你仍然可以進行加密。不過，你需要非常強大的密鑰管理系統(tǒng)，所以內(nèi)核本身知道該對什么進行加密。”

真實性和保密性是所有加密系統(tǒng)的關(guān)鍵要素，F(xiàn)idelis Security Systems公司研究和服務(wù)總監(jiān)WillIrace表示，“信任模式出現(xiàn)的問題在驗證與你通話的人是否是他們自己所聲稱的人。”而IPsec和SSL都依賴于這種有缺陷的信任模式。

解決證書頒發(fā)機構(gòu)(CA)基礎(chǔ)設(shè)施的問題并不簡單。Moxie Marlinspike開發(fā)出一種名為Convergence的web身份驗證模式，使用了公證人作為身份驗證的依據(jù)。每個人都可以選擇公證人，但是公證人主要還是由安全公司和web驗證專家組成，公證人將創(chuàng)建網(wǎng)站的SSL證書歷史記錄，并對其一致性進行評級。用戶決定是否信任一個網(wǎng)站，而不是依賴瀏覽器來做判斷。

IPsec是否會崛起?“IPsec的優(yōu)勢在于它內(nèi)置了IPv6，”Fidelis高級安全威脅研究員Ben Greenbag表示，“當企業(yè)碰到IPv6機制時，他們已經(jīng)有了內(nèi)置IPv6，可以將其用于保護內(nèi)部通信。”

Kaminsky表示，DNSSEC也將給IPsec助一把力。“最終DNSSEC將是很多密鑰管理問題的解決答案，并且它將重振IPsec。”

【編輯推薦】

1. 安全管理規(guī)劃：揭示關(guān)鍵業(yè)務(wù)安全升級
2. 五大安全指標 幫你判斷企業(yè)網(wǎng)絡(luò)是否安全
3. 企業(yè)的SSL VPN足夠安全么？
4. 虛擬化帶來安全風險 網(wǎng)絡(luò)監(jiān)控面臨挑戰(zhàn)