亚数信息科技(上海)有限公司副总经理徐华栋给我们谈一下HTTPS的进化。
徐华栋:不管是云安全还是电商安全,我们都离不开网络传输,我们可以把网络安全简单理解为三块:服务端;客户端;还有很重要的一块是数据在传输过程当中的问题。数据在传输过程当中每天都会上演着”速度与激情”,这是有人在服务端和客户端所碰到的,通过我们公司自己的系统检测,发现每天都会上演这样一个情况。
大家如果看过《速度与激情5》的话肯定知道里面有一个保险箱,我们假设这个保险箱就是一个数据包,现在这个数据包已经被劫持者所获取了,这个数据包由于加密强度较弱,所以被破解、被打开,劫持者露出了比较喜悦的表情。作为企业来讲一定不希望看到劫持者这样的表情,而是希望劫持者看到”OMG”这种表情,所以他是破解不了的。现在有一个很大的问题在于我们的互联网现在大部分还在使用着HTTP这样一个协议,HTTP是带领我们进入互联网的,我们一开始进入互联网的时候,上网目的也很单纯,互联网上面内容也很单纯。但是经过将近二十年的发展,我们在互联网上面传输的数据越来越复杂,我们的生活、我们的工作都已经完全离不开了互联网,所以会发信越复杂的环境存在的问题越多。之前两位所讲的云安全上面存在的一些问题,存在一些DDos的攻击,对于传输过程当中的攻击非常严重,而且对于传输过程当中劫持和攻击相对于云服务器的攻击要来得更简单,也就是说如果我有一个监听软件,我的水平也不是很高,也不是技术出身,就可以监听到你的账户和用户名密码,这些是比较简单的。所以门槛越低,受益的人就越多。
所以是时候我们需要有这样一个防范机制使我们的HTTP增加一个安全层。可以简单理解为HTTPS就是在HTTP的基础上增加了一个安全层,说到底就是在HTTP网站基础上使用了数据证书。1994年,Netscape就提出了支持并应用HTTP这样一个协议,到现在几乎所有主流的浏览器都已经非常完善地支持了HTTPS(即数字证书)。
是我们一直在使用的HTTP把我们带入互联网的应用协议,这个协议目前来讲存在哪些弊端,而必须要对其进行进化的?首先HTTP是一个开放式的协议,所有的数据在上面,就像这台卡车一样,刚才看到《速度与激情5》当中的保险箱还是简单加密的话,我们在HTTP上面裸奔的数据就像在这台卡车上运的水果是一样的,是裸露的,可以随便拿,把上面的水果全部替换掉都可以,所以这是非常不安全的。
下面这个代码,我们通过一个监听软件所劫持的,输入用户名和密码以后,代码里面就包含这个用户名和密码,你输入的时候是一个隐码,但在传输过程中出现的是英文的,所以非常不安全。
假设有一个支付平台,它发给你一封邮件,当然这可能不是从支付平台发出来的,不知道是从哪里发出来的邮件,告诉你最近网上攻击指标多,作为平台用户也有一些数据丢失了,为了确保你账户的安全,请及时登陆,以免造成你的损失。现在问题来了,有两个地址,你们能告诉我这两个地址哪个是真的、哪个是假的?能看出来的举一下手。
我感到有一点沮丧,在座的各位很多人都没有看出来这两个地址哪个是真的、哪个是假的。
答:我们都不点这两个。
徐华栋:中国有14亿人口,总会有人点的。钓鱼者往往采用的是大海捞针的骗术,往往采用的是撒网捕鱼,总归有人会上钩的。
第二个是仿冒的地址,第一个是真的地址,但是会发现都使用了HTTP协议,第二个是一个钓鱼网站,但如果这样一封邮件发给你的时候,而且会告诉你有紧迫性,你必须要修改你的密码,否则你的数据也会跟之前的人一样丢失,我相信10个人中间会有1个人点这样的链接,当你点进去以后就会输入你的用户名、密码,所以你就中招了。这个门槛相当低。也许你是一个层级很高的人,但是你数据有可能就是被一个比你层级低很多小孩给劫持了,现实就是这么残酷。
HTTP当中还有一个问题,刚才有朋友说那封邮件两个链接都不点,但是你是不是要登陆这个支付平台,当你登陆这个支付平台需要输入域名,你进去这个域名以后,如果在哪个咖啡店里面使用了无线WiFi,这个时候就很有可能中招了,在有些酒店里面路由器上面设置监听的话,也会碰到这样的问题,就是你输入的用户名、密码登陆以后,要支付的这个钱并没有到指定的账户,而是被你转到了另外的账户。这就是简单的无声无息的中间人攻击。这样的问题是防不胜防的,如果你上的网站是HTTP的话,又是一个支付平台或者带有很多诱惑网站的话,你很有可能就会中招。以上讲的三个就是HTTP当中存在的问题。
如何解决这些问题?我们是不是要对比一下,如果我们有这样一个办法使原先HTTP在不改变原先协议基础上,要是改变协议的话,所有浏览器、所有的习惯全部改变,在这个基础上可以使我们的HTTP变得更安全,至少在任何一个地方、在任何一个设备上,甚至于在让人感觉最不安全的网吧里面都可以很安全、很安心的进行网上支付、进行网上交易,所以这里面就需要有HTTPS,即需要有数字证书的交易。
带有数字证书的网站和没有数字证书的网站区别:1、明文传输,带有数字证书是进行加密传输;2、数字证书可以对网站身份进行唯一性验证,即当一个企业需要获得数字证书时,需要CA机构对它的身份进行认证;3、可以保证数据传输的完整性,即可以防止中间人攻击,从传输角度来讲,可以最大程度的防止中间人攻击。所以我们必须要对HTTP进行一个进化,进化到HTTPS。
HTTPS使用的是RSA的加密,这个加密从发明到现在持续了37年,全球主流的CA机构都在使用RSA作为最流行的密钥加密。现在更多的CA机构在推行更为流行的ECC的算法来代替RSA的算法,目前两个算法是共存的。为什么使用ECC算法呢?ECC和RSA比起来在同等加密程度情况下,密钥强度要比RSA密钥长度短很多,密钥长度越长压力强度越大,ECC的算法可以更大程度减轻服务器的压力。换句话说如果你的网站使用了带有ECC算法的数字证书,进行全网站部署数字证书已经变成了可能,并不是说只在登陆或在支付的时候使用数字证书,而是全网时数字证书。
在HTTP当中是不是所有的HTTPS都是安全的?答案是否定的。HTTPS包含了加密、身份验证、数据完整性,还有一种数字证书是只有加密,其他都不含有的,称之为”仅具保密性质的数据证书”,级别较低,还有不可信的数字证书,大家上一些国内的研究网站,上面的一些证书可能使用的某些没有经过认证所谓的CA机构,所以我们的浏览器会报警。还有网站给自己认可的证书,这种证书也不被认可。所有CA机构的证书要被浏览器所识别,认为是安全的证书,这个证书必须要经过认证。一个完整的数字证书保护的HTTP的特征,在谷歌、苹果等四个主流浏览器上面使用数字证书,身份的唯一性就已经体现出来了,有绿色地址栏。
什么才是真正安全的HTTPS?在HTTPS当中,有一些HTTPS是不安全的,当你购买了一些主流CA机构所颁发的数字证书来部署HTTPS,会认为我的网站就安全了,但这里面会存在一些技术问题,比如DNS的解析、主机会话异常等等,都会造成HTTPS出现异常。HTTPS数字证书不可信,如果密钥使用的是1024的算法,在2006年年底,谷歌的浏览器就会对这个弱签名算法的证书进行报警。我们在颁发证书时经常会发现一个情况,用户把一张证书用在了另外一个地址上面,这也是不允许的。还有使用了不安全的会话协议及不安全的加密套现,还有加密指纹的不匹配。
数字证书是有期限的,我们在购买数字证书的时候,一般我们可能购买两年或是三年,或者一年,当数字证书过期以后,需要重新续订,需要对数字证书进行重新验证,验证企业的身份,这是对于企业和对于企业的用户一个安全性的考虑。证书有时候会出现无效和将要到期,如果一个企业买的证书比较多,你的IT人员可能没有及时能够做到一些可控性管理的话,这些证书很有可能就会被遗漏。有一些网站使用CDN的服务,由于CDN环境的不确定性,所以的证书很有可能被分发,你的每张证书到期了没有办法获知。还有之前互联网上流行的一些漏洞,特别是吸血漏洞是闹的沸沸扬扬的漏洞,也可以被SSCloud监测出来。
所有的行业都需要数字证书。我们通过这么多年的发现,发现几乎所有的行业都需要在互联网上开展业务,这些行业都需要使用数字证书来保护他们的数据安全,而不至于用户的数据在互联网上裸奔。我们接下去的互联网有很大的可能是我们所有HTTP将被HTTPS所替代。为什么?2014年8月份,Google提出优先收入和排名HTTPS,而且建议大家使用RSA2048位数字证书来对网站进行入驻。当我们现在输入类似于登陆、关键词的时候,发现Google真的把一些带有HTTPS的网站优先排名在前面,这给我们一个信号,如果不用HTTPS,如果对用户的数据不闻不问,不在乎他们安全的话,有可能搜索引擎就不会再收录我。一个很好的消息是百度在2015年5月份在它的公告上已经发布了”百度优先收入HTTPS”,也就是说你的网站既有HTTP,又有HTTPS的时候,优先收入HTTPS,如果你的网站不再部署数字证书的话,有可能在百度上就看不到你了。竞价排名有可能也会出现此类问题,但是如果是正常排名的话,肯定会出问题。
如图有一个二维码,可以到我们的展台索取如何获取百度开放收入HTTPS白皮书。
搜索引擎已经把HTTPS作为一个默认的标配来优先收入和优先展现,所以全站部署HTTPS已经变成了一个必要性,可以在醒目位置看到有绿色地址栏。
数字证书在中国的发展到底是一个什么样的情况?据我了解,很多企业,包括目前流行的P2P行业,很多企业的老总、CEO有些人懂一些技术,有些人不懂技术,对于数字证书,对于HTTPS持观望的态度,到底要不要上HTTPS,它到底会不会给我的排名以及给我的其他方面造成一些影响?回答是否定的。如果你部署了HTTPS可以提高你的排名,而且部署的HTTPS,是可以增加你的用户量。
中国三年HTTPS的增长,从2012年6月份到2015年6月份整个曲线三年间增长2.8倍,这是一个很让人鼓舞的消息,更多的企业已经意识到了网络安全、网络数据传输的重要性,所以他们会在他们的网站上部署数字证书。这个数据统计不包括不验证身份的证书。这里面的证书都是实实在在的审核企业身份的。
如图来自于国际上数据公司的数据统计,在中国目前主流数字证书品牌占的份额,最高是赛门铁克,赛门铁克在2000年甚至更早就进入中国了,很多银行是第一批使用赛门铁克证书的。
这组数据是我们2015年6月份刚刚统计的,世界上几个互联网发展比较快速国家的使用数字证书的情况,对于我们来讲,对于赛门铁克来讲,中国数字证书的潜力非常大,从另外一个角度来讲,中国需要部署数字证书的网站还很多,需要有网络传输安全概念的一些公司也很多,所以需要我增加我们安全观念来部署数字证书,以使我们网站的用户量可以增加更多,而且能有更多的用户,不管是国内还是境外的,可以更信任我们的网站。我们的网络安全性还是很严峻的,任重而道远。
中国发展潜力。如图显示的中国跟日本的IP地址的比较,2004年中国IP地址低于日本,2007年已经超越日本,到目前为止已经远远超越日本,说明中国互联网在迅猛发展,同样中国互联网安全也在迅猛发展,越来越多的企业开始意识到安全的重要性。
我讲了那么多,希望更多的企业可以在重视自己服务端安全的同时,需要花一部分的精力来关注你们数据传输过程的安全性,因为只有这样才能使用户更能信任你的网站,使你的网站的应用得以更好的发挥,只有在诚信的基础上,你的网站的服务才能做得更好。
如果有更多疑问和需求、建议,可以扫一下我们微信二维码,或到我们7号展位咨询相应的信息。
谢谢!