NSC2015徐華棟:HTTPS時代從HTTP到HTTPS的進化
責編:penggao |2015-07-06 10:01:16亞數信息科技(上海)有限公司副總經理徐華棟給我們談一下HTTPS的進化。
徐華棟:不管是云安全還是電商安全,我們都離不開網絡傳輸,我們可以把網絡安全簡單理解為三塊:服務端;客戶端;還有很重要的一塊是數據在傳輸過程當中的問題。數據在傳輸過程當中每天都會上演著”速度與激情”,這是有人在服務端和客戶端所碰到的,通過我們公司自己的系統檢測,發現每天都會上演這樣一個情況。
大家如果看過《速度與激情5》的話肯定知道里面有一個保險箱,我們假設這個保險箱就是一個數據包,現在這個數據包已經被劫持者所獲取了,這個數據包由于加密強度較弱,所以被破解、被打開,劫持者露出了比較喜悅的表情。作為企業來講一定不希望看到劫持者這樣的表情,而是希望劫持者看到”OMG”這種表情,所以他是破解不了的。現在有一個很大的問題在于我們的互聯網現在大部分還在使用著HTTP這樣一個協議,HTTP是帶領我們進入互聯網的,我們一開始進入互聯網的時候,上網目的也很單純,互聯網上面內容也很單純。但是經過將近二十年的發展,我們在互聯網上面傳輸的數據越來越復雜,我們的生活、我們的工作都已經完全離不開了互聯網,所以會發信越復雜的環境存在的問題越多。之前兩位所講的云安全上面存在的一些問題,存在一些DDos的攻擊,對于傳輸過程當中的攻擊非常嚴重,而且對于傳輸過程當中劫持和攻擊相對于云服務器的攻擊要來得更簡單,也就是說如果我有一個監聽軟件,我的水平也不是很高,也不是技術出身,就可以監聽到你的賬戶和用戶名密碼,這些是比較簡單的。所以門檻越低,受益的人就越多。
所以是時候我們需要有這樣一個防范機制使我們的HTTP增加一個安全層。可以簡單理解為HTTPS就是在HTTP的基礎上增加了一個安全層,說到底就是在HTTP網站基礎上使用了數據證書。1994年,Netscape就提出了支持并應用HTTP這樣一個協議,到現在幾乎所有主流的瀏覽器都已經非常完善地支持了HTTPS(即數字證書)。
是我們一直在使用的HTTP把我們帶入互聯網的應用協議,這個協議目前來講存在哪些弊端,而必須要對其進行進化的?首先HTTP是一個開放式的協議,所有的數據在上面,就像這臺卡車一樣,剛才看到《速度與激情5》當中的保險箱還是簡單加密的話,我們在HTTP上面裸奔的數據就像在這臺卡車上運的水果是一樣的,是裸露的,可以隨便拿,把上面的水果全部替換掉都可以,所以這是非常不安全的。
下面這個代碼,我們通過一個監聽軟件所劫持的,輸入用戶名和密碼以后,代碼里面就包含這個用戶名和密碼,你輸入的時候是一個隱碼,但在傳輸過程中出現的是英文的,所以非常不安全。
假設有一個支付平臺,它發給你一封郵件,當然這可能不是從支付平臺發出來的,不知道是從哪里發出來的郵件,告訴你最近網上攻擊指標多,作為平臺用戶也有一些數據丟失了,為了確保你賬戶的安全,請及時登陸,以免造成你的損失。現在問題來了,有兩個地址,你們能告訴我這兩個地址哪個是真的、哪個是假的?能看出來的舉一下手。
我感到有一點沮喪,在座的各位很多人都沒有看出來這兩個地址哪個是真的、哪個是假的。
答:我們都不點這兩個。
徐華棟:中國有14億人口,總會有人點的。釣魚者往往采用的是大海撈針的騙術,往往采用的是撒網捕魚,總歸有人會上鉤的。
第二個是仿冒的地址,第一個是真的地址,但是會發現都使用了HTTP協議,第二個是一個釣魚網站,但如果這樣一封郵件發給你的時候,而且會告訴你有緊迫性,你必須要修改你的密碼,否則你的數據也會跟之前的人一樣丟失,我相信10個人中間會有1個人點這樣的鏈接,當你點進去以后就會輸入你的用戶名、密碼,所以你就中招了。這個門檻相當低。也許你是一個層級很高的人,但是你數據有可能就是被一個比你層級低很多小孩給劫持了,現實就是這么殘酷。
HTTP當中還有一個問題,剛才有朋友說那封郵件兩個鏈接都不點,但是你是不是要登陸這個支付平臺,當你登陸這個支付平臺需要輸入域名,你進去這個域名以后,如果在哪個咖啡店里面使用了無線WiFi,這個時候就很有可能中招了,在有些酒店里面路由器上面設置監聽的話,也會碰到這樣的問題,就是你輸入的用戶名、密碼登陸以后,要支付的這個錢并沒有到指定的賬戶,而是被你轉到了另外的賬戶。這就是簡單的無聲無息的中間人攻擊。這樣的問題是防不勝防的,如果你上的網站是HTTP的話,又是一個支付平臺或者帶有很多誘惑網站的話,你很有可能就會中招。以上講的三個就是HTTP當中存在的問題。
如何解決這些問題?我們是不是要對比一下,如果我們有這樣一個辦法使原先HTTP在不改變原先協議基礎上,要是改變協議的話,所有瀏覽器、所有的習慣全部改變,在這個基礎上可以使我們的HTTP變得更安全,至少在任何一個地方、在任何一個設備上,甚至于在讓人感覺最不安全的網吧里面都可以很安全、很安心的進行網上支付、進行網上交易,所以這里面就需要有HTTPS,即需要有數字證書的交易。
帶有數字證書的網站和沒有數字證書的網站區別:1、明文傳輸,帶有數字證書是進行加密傳輸;2、數字證書可以對網站身份進行唯一性驗證,即當一個企業需要獲得數字證書時,需要CA機構對它的身份進行認證;3、可以保證數據傳輸的完整性,即可以防止中間人攻擊,從傳輸角度來講,可以最大程度的防止中間人攻擊。所以我們必須要對HTTP進行一個進化,進化到HTTPS。
HTTPS使用的是RSA的加密,這個加密從發明到現在持續了37年,全球主流的CA機構都在使用RSA作為最流行的密鑰加密。現在更多的CA機構在推行更為流行的ECC的算法來代替RSA的算法,目前兩個算法是共存的。為什么使用ECC算法呢?ECC和RSA比起來在同等加密程度情況下,密鑰強度要比RSA密鑰長度短很多,密鑰長度越長壓力強度越大,ECC的算法可以更大程度減輕服務器的壓力。換句話說如果你的網站使用了帶有ECC算法的數字證書,進行全網站部署數字證書已經變成了可能,并不是說只在登陸或在支付的時候使用數字證書,而是全網時數字證書。
在HTTP當中是不是所有的HTTPS都是安全的?答案是否定的。HTTPS包含了加密、身份驗證、數據完整性,還有一種數字證書是只有加密,其他都不含有的,稱之為”僅具保密性質的數據證書”,級別較低,還有不可信的數字證書,大家上一些國內的研究網站,上面的一些證書可能使用的某些沒有經過認證所謂的CA機構,所以我們的瀏覽器會報警。還有網站給自己認可的證書,這種證書也不被認可。所有CA機構的證書要被瀏覽器所識別,認為是安全的證書,這個證書必須要經過認證。一個完整的數字證書保護的HTTP的特征,在谷歌、蘋果等四個主流瀏覽器上面使用數字證書,身份的唯一性就已經體現出來了,有綠色地址欄。
什么才是真正安全的HTTPS?在HTTPS當中,有一些HTTPS是不安全的,當你購買了一些主流CA機構所頒發的數字證書來部署HTTPS,會認為我的網站就安全了,但這里面會存在一些技術問題,比如DNS的解析、主機會話異常等等,都會造成HTTPS出現異常。HTTPS數字證書不可信,如果密鑰使用的是1024的算法,在2006年年底,谷歌的瀏覽器就會對這個弱簽名算法的證書進行報警。我們在頒發證書時經常會發現一個情況,用戶把一張證書用在了另外一個地址上面,這也是不允許的。還有使用了不安全的會話協議及不安全的加密套現,還有加密指紋的不匹配。
數字證書是有期限的,我們在購買數字證書的時候,一般我們可能購買兩年或是三年,或者一年,當數字證書過期以后,需要重新續訂,需要對數字證書進行重新驗證,驗證企業的身份,這是對于企業和對于企業的用戶一個安全性的考慮。證書有時候會出現無效和將要到期,如果一個企業買的證書比較多,你的IT人員可能沒有及時能夠做到一些可控性管理的話,這些證書很有可能就會被遺漏。有一些網站使用CDN的服務,由于CDN環境的不確定性,所以的證書很有可能被分發,你的每張證書到期了沒有辦法獲知。還有之前互聯網上流行的一些漏洞,特別是吸血漏洞是鬧的沸沸揚揚的漏洞,也可以被SSCloud監測出來。
所有的行業都需要數字證書。我們通過這么多年的發現,發現幾乎所有的行業都需要在互聯網上開展業務,這些行業都需要使用數字證書來保護他們的數據安全,而不至于用戶的數據在互聯網上裸奔。我們接下去的互聯網有很大的可能是我們所有HTTP將被HTTPS所替代。為什么?2014年8月份,Google提出優先收入和排名HTTPS,而且建議大家使用RSA2048位數字證書來對網站進行入駐。當我們現在輸入類似于登陸、關鍵詞的時候,發現Google真的把一些帶有HTTPS的網站優先排名在前面,這給我們一個信號,如果不用HTTPS,如果對用戶的數據不聞不問,不在乎他們安全的話,有可能搜索引擎就不會再收錄我。一個很好的消息是百度在2015年5月份在它的公告上已經發布了”百度優先收入HTTPS”,也就是說你的網站既有HTTP,又有HTTPS的時候,優先收入HTTPS,如果你的網站不再部署數字證書的話,有可能在百度上就看不到你了。競價排名有可能也會出現此類問題,但是如果是正常排名的話,肯定會出問題。
如圖有一個二維碼,可以到我們的展臺索取如何獲取百度開放收入HTTPS白皮書。
搜索引擎已經把HTTPS作為一個默認的標配來優先收入和優先展現,所以全站部署HTTPS已經變成了一個必要性,可以在醒目位置看到有綠色地址欄。
數字證書在中國的發展到底是一個什么樣的情況?據我了解,很多企業,包括目前流行的P2P行業,很多企業的老總、CEO有些人懂一些技術,有些人不懂技術,對于數字證書,對于HTTPS持觀望的態度,到底要不要上HTTPS,它到底會不會給我的排名以及給我的其他方面造成一些影響?回答是否定的。如果你部署了HTTPS可以提高你的排名,而且部署的HTTPS,是可以增加你的用戶量。
中國三年HTTPS的增長,從2012年6月份到2015年6月份整個曲線三年間增長2.8倍,這是一個很讓人鼓舞的消息,更多的企業已經意識到了網絡安全、網絡數據傳輸的重要性,所以他們會在他們的網站上部署數字證書。這個數據統計不包括不驗證身份的證書。這里面的證書都是實實在在的審核企業身份的。
如圖來自于國際上數據公司的數據統計,在中國目前主流數字證書品牌占的份額,最高是賽門鐵克,賽門鐵克在2000年甚至更早就進入中國了,很多銀行是第一批使用賽門鐵克證書的。
這組數據是我們2015年6月份剛剛統計的,世界上幾個互聯網發展比較快速國家的使用數字證書的情況,對于我們來講,對于賽門鐵克來講,中國數字證書的潛力非常大,從另外一個角度來講,中國需要部署數字證書的網站還很多,需要有網絡傳輸安全概念的一些公司也很多,所以需要我增加我們安全觀念來部署數字證書,以使我們網站的用戶量可以增加更多,而且能有更多的用戶,不管是國內還是境外的,可以更信任我們的網站。我們的網絡安全性還是很嚴峻的,任重而道遠。
中國發展潛力。如圖顯示的中國跟日本的IP地址的比較,2004年中國IP地址低于日本,2007年已經超越日本,到目前為止已經遠遠超越日本,說明中國互聯網在迅猛發展,同樣中國互聯網安全也在迅猛發展,越來越多的企業開始意識到安全的重要性。
我講了那么多,希望更多的企業可以在重視自己服務端安全的同時,需要花一部分的精力來關注你們數據傳輸過程的安全性,因為只有這樣才能使用戶更能信任你的網站,使你的網站的應用得以更好的發揮,只有在誠信的基礎上,你的網站的服務才能做得更好。
如果有更多疑問和需求、建議,可以掃一下我們微信二維碼,或到我們7號展位咨詢相應的信息。
謝謝!