免费“通用SSL”能否拯救互联网和云计算?

  2014年是网络中立性瓦解、安全机制崩溃的一年,四月份的心脏出血漏洞、九月份的Bash Shellshock漏洞几乎成了彻底摧毁互联网和云计算安全技术信任基础的“最后两根稻草”。

  云计算的安全是个两难问题,一方面云计算分布式的数据存储可以抵御DDoS攻击,但同时又会增加数据泄露风险,云和安全似乎总是难以兼顾。

  从安全角度来看,云计算能够缓解企业遭受DDoS攻击的压力,但心脏出血和Shellshock这样的互联网基础组件的安全漏洞,却大大增加了云计算的数据泄露风险。

  如今企业面临的与加密有关的云数据泄露风险主要有两大类,一种是大多数中小企业和网站并未启用SSL加密网站流量;而启用加密的大型企业和网站面临秘钥本身的泄露风险。

  在安全牛“密码学圣杯如何拯救云计算”一文中,我们曾报道云安全CDN服务商Cloudflare发明一种新的SSL安全机制,能够将企业拯救出云安全的两难困境。

  近日,CloudFlare向其付费和免费服务用户开放“通用SSL”服务,任何网站,都无需付费和配置加密证书就能使用这一服务。

  所谓“通用SSL”(Universal SSL),说白了就是省去了企业向证书发放机构申请和配置证书的麻烦。CloudFlare的网站用户可以通过web界面5分钟内就设置好证书,24小时内完成自动部署,为网站的流量提供基于椭圆曲线数字签名算法(ECDSA)的TLS加密服务。

  CloudFlare的安全总工程师Nick Sullivan在新闻发布会上指出:

  CloudFlare推出的加密系统,是通用SSL的一部分,领先今天顶尖互联网公司的加密服务整整一代。我们的证书使用椭圆曲线数字签名算法秘钥,确保所有CloudFlare网站的所有连接都受到超高等级的安全保护,而过去这种级别的安全服务是大多数网站系统管理员无法负担的。

  “通用SSL”虽然看上去很美妙,但全面推广还面临一些难题。除了成本因素外,SSL本身的复杂性导致其很难普及,目前全球只有200万家网站启用了SSL加密协议。很多依赖广告业务的网站采用SSL加密数据也会给运营带来一些麻烦。此外,CloudFlare的通用SSL技术本身依赖于SNI(服务器名称标识)——TLS加密标准的一个扩展,而目前全球web浏览器中,只有80%支持SNI。CloudFlare在官方博客中给出的解决方案是通过IPv6来解决浏览器不支持SNI的问题,目前连接CloudFlare的IP地址已经有16%是IPv6地址。

  对于那些已经拥有证书,但希望能加强对证书保护的企业。“CloudFlare还发布了“无秘钥SSL”服务(在发布通用SSL前不久),无秘钥SSL”服务允许企业将加密数据分布式存储于云中,但将私钥储存在一个单独的安全服务器中。当用户访问网站时,Cloudflare会签发一个临时的“会话秘钥”,与用户的设备一一对应,从而让私钥从公众视野中消失。这听上去挺简单,但实际应用中要支持每秒处理1000万次安全交易处理能力,是技术上的一次重大创新,目前高盛公司已经成为该技术的首批用户之一。

  一些知名安全专家,包括个人加密标杆技术PGP的发明者Jon Callas和Phil Zimmerman,将Cloudflare发明的这种“无秘钥SSL”与PGP进行了对比,认为Cloudflare的无私钥加密技术不仅仅适用于安全企业,还可应用于云数据中心扩展,例如在非洲和中国的安全管理水平较差一些的数据中心里部署关键应用,而无需担心安全问题。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:中美在华盛顿举行秘密网络安全会谈