在許多信息安全情景中，由認證機構頒發的證書可以被呈現給客戶端，以便判斷諸如消息或者web頁面之類的已認證項的信任水平。然而，由于認證機構之中的分散結構和不完整合作，對于頒發不可信證書的安全易損性的存在和運用可能難以確定，特別是對于單個客戶端而言。本文呈現了用于提供認證機構信任服務的技術，所述認證機構信任服務收集和評估由認證機構提交給客戶端的證書，并且向客戶端建議針對相應認證機構的認證機構信任水平（例如，被確定為由認證機構頒發的所評估證書的共識）。客戶端可以使用由認證機構信任服務分布的認證機構信任集合來確定是否信任從特定認證機構頒發的證書。

背景技術

在計算領域內，許多情景涉及使用由認證機構頒發的證書進行鑒定。例如，用戶可以使用憑證連接到網站來執行諸如金融交易之類的敏感交互，所述憑證如果被第三方截獲則可能被誤用。因此，網站可以提交驗證其身份并且由認證機構簽名的證書。用戶設備可以檢驗證書的密碼簽名，以在進行交易和提供憑證之前驗證其頒發者身份的真實性和證書的真實性。

發明內容

提供本發明內容來以簡化的形式介紹概念的選擇，這些概念在以下的具體實現方式中進一步描述。本發明內容不打算標識所要求保護的主題的關鍵因素或者本質特征，其也不打算用來限制所要求保護主題的范圍。

認證機構系統遭受到由于各種各樣技術和非技術方面所致的運用。作為第一示例，易損性可以在安全技術所基于的數學模型中被發現和運用；例如，在MD5哈希算法中的缺陷可能準許證書的偽造或者簽名內容的更改。作為第二示例，在當前認證模型下，認證機構的集合被標識并且在全局上可信，使得任何認證機構可以頒發針對任何域的證書；結果，任何一個認證機構的運用、強迫或者有害動作可能導致針對任何域的不可靠證書的頒發。作為第三示例，可能難以檢測認證機構的運用，特別是證書，以及此處涉及的安全模型，因為有關信息可能被扣留（例如，認證機構通常不提供所頒發證書和/或當前利用的安全技術的公共記錄）和/或可能不能在當前不存在的集體過程之外進行訪問（例如，某些類型的運用可能從提交給各種各樣用戶的證書集體是明顯的，但是可能從個體證書是不可檢測的）。

鑒于這些限制，本公開內容涉及一種用于聚集、評估和傳播關于認證機構和證書的信任信息的集體模型。按照該模型，信任建議服務可以在各種環境下收集由各種域提供的各種用戶（例如，各個用戶的web瀏覽器、和/或抓取互聯網并下載證書的抓取器的可信集合）所接收的證書集合。信任建議器可以評估證書集體，例如使用涉及諸如來自不同認證機構的特定域的證書的同時頒發之類的啟發式方法的集合的自動評估過程，其可以顯露認證機構的可信度和/或證書安全技術中的易損性的運用。基于這些確定，信任建議器可以生成指示各種認證機構的當前信任水平的認證機構信任集合，并且可以向設備的集合（諸如web瀏覽器的集合）傳播認證機構信任集合。鑒于由認證機構信任集合所指示的認證機構的信任水平，設備然后可以評估由代表特定域的認證機構所頒發的任何之后接收到的證書。以這種方式，本文呈現的技術可以使得設備能夠按照本文呈現的技術而使用集體信息來評估證書的信任。

為了完成前述和有關目的，以下描述和附圖闡明了特定圖示性方面和實現。這些僅僅指示了其中可以采用一個或者多個方面的各種方式中的幾個。本公開內容的其他方面、優點和新穎特征將在結合附圖考慮時根據以下詳細描述而變得明顯。

附圖說明

圖1是表征了認證機構的集合向客戶端頒發針對已認證項的證書的示范性情景的圖示。

圖2是表征了按照本文呈現的技術的認證機構信任服務促進客戶端評估從認證機構接收的證書的示范性情景的圖示。

圖3是按照本文呈現的技術的標識相應認證機構的認證機構信任水平的第一示范性方法的圖示。

圖4是圖示了按照本文呈現的技術的用于標識相應認證機構的認證機構信任水平的示范性系統的組件方框圖。

圖5是按照本文呈現的技術的標識相應認證機構的認證機構信任水平的第二示范性方法的圖示。