拿走'authentication'部分,只是谈论encryption部分! (authentication是一个不同的问题。)
例如:与http://ipv6.google.com的连接可以通过HTTPS进行encryption,如下所示: https : //ipv6.google.com/ (如果您没有IPv6,则可以尝试IPv4: https:// www .google.com )
是否有可能编程Web服务器以及浏览器,以支持例如
http-over-ipsec://ipv6.google.com 作为更好和更安全的更换https?
encryption的问题不是协议(不pipe是SSL,TLS还是IPSec),而是引导。 SSL和TLS依赖可信的(对于“可信的”特定值)第三方,这些第三方证实某个encryption密钥属于某个网站。 否则,我们怎么知道我们是否真正在与正确的服务器交谈? 连接可能被劫持。 身份validation总是非常重要的(始终是客户端对服务器进行身份validation,有时也是对服务器进行身份validation的客户端)。 没有身份validation, 任何人都可以声称是ipv6.google.com。
随着对DNSSEC支持的不断增长,我们得到了更好的引导选项:DANE(RFC 6698)和DNS(RFC 4025)中的IPSec密钥。 两者都可以使用DNS(必须使用DNSSEC进行安全保护)来引导encryption。 DNS告诉客户端将使用的证书,我们不必再依赖第三方了。
确保DNSSEC得到广泛部署,这成为可能。 否则,我们将被困在目前复杂昂贵的第三方authentication机构系统中。
不,IPsec不能也不会取代HTTPS,因为它们是有效的苹果和橘子,原因如下:
IPsec在networking层运行,并通过IKE明确协商 – 两个端点必须同意一个密钥scheme,操作模式和许多其他参数,然后将其安装到任何负责IP(v6)堆栈(通常是操作系统的内核)。
* IPsec被devise用于长时间保护整个通信通道(或多个通道),而不是简单地build立一个简短的会话,交换数据并将其拆除。
因此,对于HTTPS通常所经历的那种生命周期(即重复的,短暂的连接),IPsec根本无法很好地扩展,更不用说它明确依赖于IP栈本身的事实,使得在应用程序中实现它有问题,这是一个安全问题,因为IPsec参数的configuration通常是需要根/pipe理员访问的特权操作。
另一方面,HTTPS,更具体地说,SSL / TLS基于应用程序(例如您的Web浏览器)运行,该应用程序具有预先定义的可信任的服务器encryption证书签名列表。
正如另一个答案中提到的那样,尽pipeDNSSEC可以很好地用于引导IPsec,但是对于TLS来说,这已经是完全可行的,并且已经在RFC6698中被编码在IETF中。