我们是微软,反抗是徒劳的,你们都会被同化!
站住
证件拿出来
不知道差友们中有没有 Oculus Rift 玩家?
它昨天出大事儿了。。。
Oculus 是最早开始做 VR 游戏头显的厂商之一,目前有很多 PC 平台的 VR 游戏爱好者有这玩意儿。
如果你男朋友拥有 Oculus Rift ,并且昨天用 “ 我在玩儿 VR ” 作为没接你电话的借口,那你看到这个消息以后可以让他跪下了。。。
昨天所有 Oculus Rift 头显不能用了
要用 Oculus Rift 玩游戏,电脑上得装个配套软件。但这软件昨天更新好以后罢工了,导致全球 Oculus Rift 玩家不能搞虚拟现实游戏/小电影了。
至于这次大翻车的原因也被曝出来了:安全证书过期。
一旦安全证书过期不能用了,这个软件启动时候会直接被 Windows 拒绝运行。那么问题来了,安全证书究竟是啥,为啥这么敏感地拒绝一个明明功能完善的软件?
安全证书是软件开发商的信用证明,证明这个软件真的是自己发布的。
支付宝安全控件安装的时候,
能正常显示 “ 已验证的发布者 ”
那软件开发商为啥要 “ 证明自己是自己 ” 呢 ?
假设黑客写了个假程序,伪装起来打包发到网上,那么用户装了这些东西,就会很危险。。。
所以说开发商需要给软件自证,来保证吃瓜群众不会中招。
对不确定软件,安装的时候对话框是黄色
不过这个证书不是开发商自己搞的,他们要向专门的证书颁发机构申请一个证书,并且在软件打包以后加上一个 “ 数字签名 ”。
差评君为了易读性,撇开中间的加密过程不谈,简单的概括这个证书的作用就是:检查这个软件的版本对不对,有没有被修改过。
如果说数字签名对上了,那一般来说这个软件是可以相信的。
通常来说,数字签名很难被模仿。
但很难不代表不可能,因此有的厂商不会用同一套证书和签名很久,有效期越短说明更新得越快,也就越安全。
也有的厂商选择很长的有效期,这样就尽量减少像 Oculus Rift 昨天翻车那种事情发生的可能。
这两种选择没有对错,这是个工程问题,在各种妥协中找最优解而已。
不过这个数字证书还是容易产生不少问题的。
首先,这是一条信任链,顶端就是最高的证书颁发机构,也就是 “ 根证书颁发机构 ”,使用这套系统意味着大家都无条件信任他们。
现在微软一般都会在系统中提前安装好主流的颁发机构,这种关系很容易发展成微软和根证书颁发巨头的 PY 交易。。。
比如说微软为了打压竞争对手,招呼几个主流的根证书颁发机构不给微软的竞品发证书,或者颁发机构为了额外利益,倒卖证书。。。
这个潘多拉盒子就摆在那里,过于中心化的管理会存在这样的隐患。
赛门铁克( 杀毒软件诺顿的开发商 )曾经就爆出过这种丑闻,谷歌 Chrome 之后不再信任它颁发的证书了。
第二个问题是为了搞数字证书,开发商要摊额外成本。
因为负责的证书颁发机构真的要去仔细审查开发商,还得配一套加密工具( 公钥和密钥 )给开发商,来来去去也要成本。
当然,有的只负责审查的机构会便宜一些,不过这样一来开发者还得自行研究证书加密,摊到开发人员上也算是一笔技术成本。
SSL 证书,有了它才能从 HTTP 变成 HTTPS,多一层加密
第三个问题是证书管理,Oculus Rift 这车就翻这儿了。
好比管个钥匙,它很重要,你没了车钥匙开不了车,没了家门钥匙回不了家,你没证书软件不能运行,因为系统定期检查证书过没过期。
但你肯定也会在处理钥匙的时候出过问题,比如说车钥匙没了不能上班,钥匙被偷了得换锁,或者说,你现在能马上想起你每把钥匙放哪儿了吗?
证书问题就和上面的情况一样容易出问题,但一旦没搞好,比如说像 Oculus 一样过期了,那懵逼的可是全球的用户。。。
经过紧急抢修,他们现在搞定了
更有的开发者,比较傲娇,非得有 “ 我可不可信我说了算 ” 这种心态,自己给自己颁证书,比如说铁道部,比如说曾经的各大银行。。。
12306 为了安全,不让黑客劫持你访问他们的官网,的确需要搞数字证书。
可他们毕竟是国企,不能轻易相信别人,只好自己给自己颁了。
不过铁道部这个其实做得也没错,现在几个主流的颁发机构都在老外手里,这铁路又是国家资源。。。
比如说前文提到的赛门铁克就是个美国企业。
不过这样还好,大不了你不信任可以不装,结果就是用不了服务而已,就好比你家要装修,你不给装修队钥匙。
但除此之外的特例,我们一般用户不应该没事儿乱装根证书,乱发你家钥匙,也许今天人家是来装修的,明天就把你家当都给捞干净了。
比如在微软家里,你不装他和他基友一起搞出来的这些证书,想安心用个软件很难了。。。
差评君和你讲了这玩意儿,希望你以后可以稍微看一眼安装来源,互联网时代虽然方便,但坏心眼儿的太多了!
“ 这玩意儿虽然有隐患,但是是现在的最优方式了。。。 ”
