站住
證件拿出來
不知道差友們中有沒有 Oculus Rift 玩傢?
它昨天出大事兒瞭。。。
Oculus 是最早開始做 VR 遊戲頭顯的廠商之一,目前有很多 PC 平臺的 VR 遊戲愛好者有這玩意兒。
如果你男朋友擁有 Oculus Rift ,並且昨天用 " 我在玩兒 VR " 作為沒接你電話的借口,那你看到這個消息以後可以讓他跪下瞭。。。
昨天所有 Oculus Rift 頭顯不能用瞭
要用 Oculus Rift 玩遊戲,電腦上得裝個配套軟件。但這軟件昨天更新好以後罷工瞭,導致全球 Oculus Rift 玩傢不能搞虛擬現實遊戲 / 小電影瞭。
至於這次大翻車的原因也被曝出來瞭:安全證書過期。
一旦安全證書過期不能用瞭,這個軟件啟動時候會直接被 Windows 拒絕運行。那麼問題來瞭,安全證書究竟是啥,為啥這麼敏感地拒絕一個明明功能完善的軟件?
安全證書是軟件開發商的信用證明,證明這個軟件真的是自己發佈的。
支付寶安全控件安裝的時候,
能正常顯示 " 已驗證的發佈者 "
那軟件開發商為啥要 " 證明自己是自己 " 呢 ?
假設黑客寫瞭個假程序,偽裝起來打包發到網上,那麼用戶裝瞭這些東西,就會很危險。。。
所以說開發商需要給軟件自證,來保證吃瓜群眾不會中招。
對不確定軟件,安裝的時候對話框是黃色
不過這個證書不是開發商自己搞的,他們要向專門的證書頒發機構申請一個證書,並且在軟件打包以後加上一個 " 數字簽名 "。
差評君為瞭易讀性,撇開中間的加密過程不談,簡單的概括這個證書的作用就是:檢查這個軟件的版本對不對,有沒有被修改過。
如果說數字簽名對上瞭,那一般來說這個軟件是可以相信的。
通常來說,數字簽名很難被模仿。
但很難不代表不可能,因此有的廠商不會用同一套證書和簽名很久,有效期越短說明更新得越快,也就越安全。
也有的廠商選擇很長的有效期,這樣就盡量減少像 Oculus Rift 昨天翻車那種事情發生的可能。
這兩種選擇沒有對錯,這是個工程問題,在各種妥協中找最優解而已。
不過這個數字證書還是容易產生不少問題的。
首先,這是一條信任鏈,頂端就是最高的證書頒發機構,也就是 " 根證書頒發機構 ",使用這套系統意味著大傢都無條件信任他們。
現在微軟一般都會在系統中提前安裝好主流的頒發機構,這種關系很容易發展成微軟和根證書頒發巨頭的 PY 交易。。。
比如說微軟為瞭打壓競爭對手,招呼幾個主流的根證書頒發機構不給微軟的競品發證書,或者頒發機構為瞭額外利益,倒賣證書。。。
這個潘多拉盒子就擺在那裡,過於中心化的管理會存在這樣的隱患。
賽門鐵克( 殺毒軟件諾頓的開發商 )曾經就爆出過這種醜聞,谷歌 Chrome 之後不再信任它頒發的證書瞭。
第二個問題是為瞭搞數字證書,開發商要攤額外成本。
因為負責的證書頒發機構真的要去仔細審查開發商,還得配一套加密工具( 公鑰和密鑰 )給開發商,來來去去也要成本。
當然,有的隻負責審查的機構會便宜一些,不過這樣一來開發者還得自行研究證書加密,攤到開發人員上也算是一筆技術成本。
SSL 證書,有瞭它才能從 HTTP 變成 HTTPS,多一層加密
第三個問題是證書管理,Oculus Rift 這車就翻這兒瞭。
好比管個鑰匙,它很重要,你沒瞭車鑰匙開不瞭車,沒瞭傢門鑰匙回不瞭傢,你沒證書軟件不能運行,因為系統定期檢查證書過沒過期。
但你肯定也會在處理鑰匙的時候出過問題,比如說車鑰匙沒瞭不能上班,鑰匙被偷瞭得換鎖,或者說,你現在能馬上想起你每把鑰匙放哪兒瞭嗎?
證書問題就和上面的情況一樣容易出問題,但一旦沒搞好,比如說像 Oculus 一樣過期瞭,那懵逼的可是全球的用戶。。。
經過緊急搶修,他們現在搞定瞭
更有的開發者,比較傲嬌,非得有 " 我可不可信我說瞭算 " 這種心態,自己給自己頒證書,比如說鐵道部,比如說曾經的各大銀行。。。
12306 為瞭安全,不讓黑客劫持你訪問他們的官網,的確需要搞數字證書。
可他們畢竟是國企,不能輕易相信別人,隻好自己給自己頒瞭。
不過鐵道部這個其實做得也沒錯,現在幾個主流的頒發機構都在老外手裡,這鐵路又是國傢資源。。。
比如說前文提到的賽門鐵克就是個美國企業。
不過這樣還好,大不瞭你不信任可以不裝,結果就是用不瞭服務而已,就好比你傢要裝修,你不給裝修隊鑰匙。
但除此之外的特例,我們一般用戶不應該沒事兒亂裝根證書,亂發你傢鑰匙,也許今天人傢是來裝修的,明天就把你傢當都給撈幹凈瞭。
比如在微軟傢裡,你不裝他和他基友一起搞出來的這些證書,想安心用個軟件很難瞭。。。
差評君和你講瞭這玩意兒,希望你以後可以稍微看一眼安裝來源,互聯網時代雖然方便,但壞心眼兒的太多瞭!
" 這玩意兒雖然有隱患,但是是現在的最優方式瞭。。。 "
