亞數翟新元:加密無處不在
責編:rhliu |2016-06-29 14:35:55翟新元:尊敬的嘉賓,大家下午好,接下來由我來給大家帶來加密無處不在的一個分享。
講這個之前先給大家透露個信息,昨天我們聯合Symantec在中國正式發布了加密無處不在的解決方案,我分享完以后如果大家有興趣的,我們可以一起做一些交流。
回歸到互聯網發明之初當初發明的時候最常用的一個協議就是萬維網,其實它是基于HTTP的協議實現的,當初我們看到最常用的就是雅虎,我們現在看到的瀏覽器也是當初最流行的瀏覽器的一個前身,正因為有了它,所以,可以給我們今天帶來各種各樣的互聯網的應用。
從HTTP發明之初到現在,直到我們現在物聯網,以及智慧城市的發展,這些都是從互聯網發明之初一直演變到現在的。大家現在看到的用手機來實現支付,實現網上購物都是通過那個時候慢慢演變過來的。如果沒有當初簡單的萬維網就沒有今天這么豐富的互聯網的應用。
說到HTTP的協議,應用從發明之初到現在五花八門特別多,但是大家可能只看到的是應用,實際上在這么多應用的背后有很多的技術來支撐。我們當前用的總常見的是HTTP1.1的協議。PPT上是HTTP發展的路線圖,從1996年HTTP1.0就開始誕生了,直到2015年5月份,HTTP2.0又正式對外發布了,這個時間經歷了這么長的歷程,右邊我特別列出來,特別感謝Google公司,因為HTTP2.0得以誕生其實里面有很多的資源都是由Google通過自己設計的HPDY的協議演變過來的。
特別講一下HTTP2.0里,今天我們聽了天威誠信的邱總跟大家分享了HTTP的重要性,到了HTTP2.0的時候,HTTPS其實已經變成一個標配了,基本上不需要用戶說我是否選擇使用HTTPS,而是你只要順應了那個潮流,你想要讓自己的網支持HTTP2.0,那你會發現它默認就已經是HTTPS。提到HTTPS,當然要提到我們國際上,以及中國當前跟HTTPS相關的一些重大的事件。
Google在2014年8月份就對外發布了針對HTTPS的網站,他會優先,而且會把網站的排名更加優先提權,這樣推動HTTPS的發展。2015年3月份百度強制的做了全站的HTTPS的鏈接,也是為了用戶搜索任何信息不會被中間人劫持,而且非常安全的瀏覽。2015年5月份,百度也對外公布了優先HTTPS的網站,百度也加入到推動全球HTTPS的行列里來。2015年10月份,阿里旗下的這些平臺全部起用了HTTPS。2015年12月我們非常開心的看到CloudFlare宣布所有用戶不僅僅支持HTTPS,而且完整的支持HTTP/2的協議。
SSL證書的具體功能我不做詳細的描述了,簡單的歸納可以保證數據傳輸過程中的安全,進行加密,數據傳輸過程中的完整性,因為使用了數據簽名的技術,確保傳輸的數據一定是完整的,不會有任何問題。第三是它的身份認證可以讓用戶訪問到任何一個你想訪問的網站,能識別它真實的身份。
SSL證書在國際上發展的趨勢,總的來講,我們會看到到了2015年末期的時候會發現增長的速度會非常非常快,大家總的數量還不是特別樂觀。截止到2015年12月份,我們看到公布的統計數據只有420萬左右,實際上全球的網站涉及到幾千萬上億。
SSL證書在中國的發展趨勢,截止到2015年12月份,中國統計的數量只有3萬張不到,數量是非常非常少的。既然這么好的東西,為什么用戶的量這么少?我們第一個嘉賓給我們演講我還特別看了一下,Symantec公布的數據中國當前的網站是在400多萬,400多萬我們現在看到截止到2015年12月份,我們通過第三方的數據調查看到證書的用戶量才三萬不到,我們就要分析為什么。Symantec也對外公布了全球的數據,97%的網站實際上都沒有做這方面的安全保護,真正做了保護的只有3%,也就是說97%的網站都會存在一些基本的安全隱患。
我們做了一些分析,總結出來這么多的問題。第一個原因當然是歸結于中國的網絡發展起來相比西方來說要晚一些。所以,用戶對安全的意識比較薄弱。SSL證書的使用成本也相對偏高,因為有很多中小型企業或者現在一些初創企業可能他剛剛上線他的應用或者平臺的時候可能會覺得盡可能的節省成本。第三個購買SSL證書以后,部署過程中存在一些問題,比如我們收集了很多客戶的情況,他們會向我們反映我已經買了一系列的Symantec的SSL證書,購買以后他可能使用國內的CDN服務商提供服務,在他的SSL聯系他的服務商進行證書部署的時候,會發現這個服務商給他提供的基礎的服務設施里面可能對SSL的支持不是那么好,可能會出現很多問題,這時候給用戶就會帶來一些損失,用戶認為我需要用就先買了,買了需要部署又面臨一系列的問題。
四是無法對以前的證書進行非常安全的生命周期管理,我們統計到一些用戶向我們反饋,說我證書已經不能訪問了,我網站起用了HTTPS以后,突然有一天用戶訪問的時候,瀏覽器的提示你的SSL證書已經過期了,可能用戶沒有把這個事情放為非常重要的角度每天看我的SSL還有多長時間到期,當然我們作為證書服務商也會給用戶發送一些通知的郵件,但是用戶使用SSL的過程中可能會面臨一些技術人員的離職,換崗位,就會導致發給客戶的Email不一定收得到。所以,會導致證書到期了可能自己完全不清楚。
第五,無法及時發現已經部署SSL證書的相關問題或者SSL協議帶來的相關漏洞。從2014年,2015年的時間里統計下來發現基于…SSL開源出現很多重大的SSL漏洞,這些漏洞對一個企業來講他們是不具備能力發現這些問題,而且去修補這些問題。所以,這些問題會給企業帶來比較多的麻煩。
第六,無法快速大規模的部署SSL證書。大家都知道如果購買商業的證書,比如企業型的,或者增強的證書是有證書審核周期的,也就是用戶今天需要SSL證書,但是今天你不一定能立馬拿到,因為你申請的話一般都要提前3-5個工作日來申請,Symantec會對申請者的企業身份進行一些見證,確定你是真實可信的企業才會簽發。這是不能快速。第二是不能大規模的部署,我們現在看到比較大型的客戶,下面的子網站涉及到二三十個子網站,涉及的子域名的數量更多,當他們需要做全網加密的時候,突然有一天會發現他不知道自己要買多少張SSL證書。第二,他不知道他們已經買了多少SSL證書,他也沒辦法統計,因為以往他只能通過一些郵件的歷史記錄,或者通過自己用一個Excel的表把每一個購買證書或者到期的日期填到里面,通過人工的方式來進行管理。
最后是無法自動化的實現SSL的申請和部署。因為現在基于云計算的平臺發展的越來越快了,對于用戶來講,我需要SSL覺得蠻專業的,我得首先懂什么是SSL證書,我為什么需要,我要申請什么品牌的,我買什么類型的,我如何去對他進行安裝和部署,這一系列的問題全部加在一塊就導致SSL總的量不是那么多。如果我們能克服這些問題,我相信后面我們的用戶,畢竟用戶關注的是安全,我們剛才羅列的一系列的東西根本不是用戶關心的地方,用戶只關心HTTPS是保護我的安全,保護訪問我網站的用戶。
正因為剛才一系列的問題,Symantec推出了加密無處不在的解決方案,Symantec推出這樣的方案考慮到全球用戶的發展,所以,Symantec希望在2018年可以讓97%的還不夠安全的網站真正覆蓋到100%。
這個加密無處不在的方案到了中國,中國很多實際的情況,比如中國有很多云計算廠商,Symantec的加密無處不在的方案里面有很多的技術含量,可能到了中國來以后,很多云計算平臺沒有辦法第一時間進行對接,我們就把加密無處不在方案針對中國本土用戶的實際需求做了一些本土化的工作,做完以后我們會看到我們這個加密無處不在的方案里分享出來的會有8塊。
第一塊是亞數跟Symantec聯合推出的。第二塊是全系列的SSL證書。第三塊是我們推出的一個密鑰保護方案。第四是我們自己研發的MPKI的平臺,第五是我們給一些需要做全網加密的用戶提供的綜合的解決方案。第六是我們自主研發的SSL Cloud服務。第七是SSL的評估。第八是API。
SSL證書作為一個普及量這么少,里面最大的問題就是針對一些中小型企業或者針對一些初創企業,前期剛開始不會把安全,可能等將來這些企業我的平臺盈利了,我向用戶提供一個商業的證書,用戶授權Symantec解決。這個證書是使用Symantec收購過來的,因為Symantec這個品牌前身叫…,我們看到根證書名稱是…開頭的,我們會看到它簽發給TrustAsia的證書,我們最終把這個證書簽發給所有用戶,不對用戶的身份做認證,只對域名做認證。這個證書是針對中國的用戶全免費開放的。
全站SSL加密的解決方案,一般情況來講,我在我的服部署了SSL證書,用戶訪問我的網站的時候,可以從首頁到任何的頁面都是基于HTTPS訪問的。這是加密的一個概念,我們里面還覆蓋了一些比較復雜的事情。一個用戶可能自己有一個網站的集群非常非常多,當他需要SSL證書的時候不是買一張兩張部署好就可以了,他之前要做很多評估的工作,比如自己設計了多少頁面,多少的IP地址,這一系列的事情對于一個企業級的用戶來講他自己做這樣的工作會非常復雜和困難。所以,我們的方案是有一套系統,可能用戶在我們系統里提交一個自己的主域名,我們系統就會幫他分析出來他的網站里存在多少子域名,目前部署的有多少SSL證書,會全部幫他分析出來,會給出非常詳細的綜合性的方案。不管你網站的規模有多大,通過我們這樣的解決方案會快速的得出自己,如果我要做加密的話,你想要了解的任何的數據。
MPKI的平臺也是考慮到用戶,如果我們使用美國的一套管理系統,當然它非常方便,但是里面會存在一些用戶不是太習慣的地方。所以,我們自己研發了一套MPKI的管理平臺,用戶使用這樣的平臺以后,當你購買了證書或者你的證書使用什么加密算法,使用了什么簽名算法,在這個平臺里一目了然的,當你的證書如果要進入到快要到期的時間,比如90天,60天,30天,需要更新,MPKI會通過EMail的方式,短信的方式,微信推送的消息推送到用戶,用這樣的平臺管理你的SSL證書對你證書的情況是一目了然的,再也不會說我有一張證書在哪里沒有發現沒有及時更新。當然,這樣的平臺跟我們前面聯合的免費的SSL結合在一起,對用戶來講更加方便。
Symantec旗下所有的品牌和所有系列的SSL證書。通過我們提供的方案里都是可以提供給用戶的。用戶不管對Symantec旗下任何一款SSL證書感興趣,都可以通過我們解決方案一鍵升級。
SSL Cloud是我們公司自主研發的一款基于SSL協議云監測的平臺,這兩年會碰到比較多的基于SSL協議的一些漏洞,這些漏洞對于用戶來講,這些專業的知識可能不是太了解。所以,我們覺得我們有義務做這樣一套監測平臺,如果用戶部署了SSL證書,你的SSL證書在使用過程中出現了,如果外面有2014年爆發出來的非常嚴重的漏洞,當我們看到外面有非常多的漏洞新聞報道的時候,我們跟Symantec的工程團隊也是有第一步的接觸,但是那個時候因為我們大量的用戶都在使用我們SSL監測平臺。所以,漏洞爆發的時間,幾個小時內我們大部分用戶都已經收到安全的警告。當然,我們的工程師也會第一時間幫助用戶去提供修補的方案。基本上使用我們SSL Cloud的用戶幾乎都沒有遭受任何損失,后面也出現了其他相關的基于SSL協議,包括用戶使用SSL過程中涉及到SSL的協議,SSL的加密套件,以及用戶對SSL部署的時候是不是做的最優的狀態,我們SSL Cloud平臺都可以監測出來,還給它提供好的解決方案,既然檢測出來你有問題,我們會告訴你如何解決,解決好以后我們這個平臺24小時不間斷的進行監測,修補好了我們再看就會發現我的網站正常了。所以,我們手上有很多大型的客戶,當他們沒有收到我們SSL Cloud而發給他通知的時候他們就會感覺我的網站是非常安全的,沒有任何問題。之前他們不能確定網站夠不夠安全,會不會存在一些安全的漏洞沒有發現。
既然對用戶的安全性做了檢測,檢測完以后會有用戶說你能不能給我一份詳細的報告,我們基于SSL Cloud做了一個安全的評估報告,每個用戶檢測完了每周都給報告,有的高級用戶每天都會收到詳細的報告,報告里的安全性比較優秀的話,你就會對自己的安全狀況徹底放心。
SSL密鑰保護方案,這個方案之所以誕生出來,就是剛才我提到很多用戶他買了證書部署到CDN節點上,如果是一些電商級的客戶,在CDN上部署的時候,他們的擔心CDN服務商會不會把他的私鑰泄露了,如果有些用戶把自己的應用搬到云上或者搬到CDN上,他們不具備自己為自己做CDN,因為我應用和服務都搬到CDN或者云端上。這個時候我們提出密鑰保護方案,當你使用一家CDN廠商使用的優秀的CDN服務的時候,對你的私鑰存放在他服務商覺得不夠安全的情況下就可以采用這樣的方案把你的私鑰存放在自己指出定律的Key Server上,自己購買的證書就可以徹底安全放心的存儲在CDN或者云計算的平臺上。
提到API,剛才講到一系列的證書,我們交付出來,剛才看到我們可能會有一些GUI的管理界面,我們加密無處不在的方案交付給客戶基本是不會通過界面的方式,界面都是基于API的方式整合,因為我們推出這個方案的目的不是針對有些終端用戶,我們加密無處不在的方案是用來推動整個中國網絡安全的發展。這樣來做以我們一家公司的力量肯定是遠遠不夠的。所以,我們在推動這個方案的時候就聯合了國內,目前已經合作的有百度開放云,有一個主機管理面板的軟件,還有跟騰訊云建立了合作,華為云,還有UCLOUD,我們加密無處不在整套方案我們都是通過全自動化的API的方式,跟這些平臺進行一個完整的對接。當你百度開放云的用戶你可能在使用他們的服務的時候會發現他們的服務當中就會有一個管理功能,進到那個里面,如果你想使用一張滴滴的證書的時候,你會發現你使用的過程非常非常的簡單,你可能到了他的管理面板里,我只要啟用就會發現你的證書從申請到獲取,到部署,再一系列的過程全自動完成的,對用戶來講你不需要做任何事情,你只要關注自己的業務,因為你希望安全,那你就去做。
如果有一些客戶,之前運營型的,某一天覺得我的業務屬于一個大的規模,我希望使用Symantec的企業級的證書,你通過他們的后臺會發現也會有一鍵升級功能,啟用這個按鈕,你證書就可以快速切換。這個過程得益于Symantec,有人會有些疑問,這種證書不需要審核嗎?應該有幾個工作日的,怎么可能自動實現呢?這個得益于Symantec去年推出的一款功能,完全整合到我們這套生態系統里了,用戶只要在我們這邊,不管在百度開放云,我們合作的任何云平臺或者在我們系統里,它只要做預審核的功能,簽發自己證書就不分時間,不分地點。
這就是我今天跟大家分享的加密無處不在,Symantec跟我們一起的目的是什么?我們看到全球的網站存在安全的問題,存在安全問題的網站非常非常多,如果我們還靠傳統模式讓這些用戶慢慢重視自己的安全可能等的時間太久了。所以,Symantec做了一個明智的決定,推出加密無處不在,我們也有幸榮辱這個加密無處不在,把它正式的在中國落地,而且已經做了這么多的應用案例。所以,后面不管做哪個業務的,只要你認為你的業務跟互聯網相關,你對安全比較重視,我們加密無處不在的方案都可以融合進來。這就是我跟大家分享的加密無處不在。謝謝。