免費(fèi)“通用SSL”能否拯救互聯(lián)網(wǎng)和云計(jì)算?
責(zé)編:admin |2014-09-30 11:13:012014年是網(wǎng)絡(luò)中立性瓦解、安全機(jī)制崩潰的一年,四月份的心臟出血漏洞、九月份的Bash Shellshock漏洞幾乎成了徹底摧毀互聯(lián)網(wǎng)和云計(jì)算安全技術(shù)信任基礎(chǔ)的“最后兩根稻草”。
云計(jì)算的安全是個(gè)兩難問題,一方面云計(jì)算分布式的數(shù)據(jù)存儲可以抵御DDoS攻擊,但同時(shí)又會增加數(shù)據(jù)泄露風(fēng)險(xiǎn),云和安全似乎總是難以兼顧。
從安全角度來看,云計(jì)算能夠緩解企業(yè)遭受DDoS攻擊的壓力,但心臟出血和Shellshock這樣的互聯(lián)網(wǎng)基礎(chǔ)組件的安全漏洞,卻大大增加了云計(jì)算的數(shù)據(jù)泄露風(fēng)險(xiǎn)。
如今企業(yè)面臨的與加密有關(guān)的云數(shù)據(jù)泄露風(fēng)險(xiǎn)主要有兩大類,一種是大多數(shù)中小企業(yè)和網(wǎng)站并未啟用SSL加密網(wǎng)站流量;而啟用加密的大型企業(yè)和網(wǎng)站面臨秘鑰本身的泄露風(fēng)險(xiǎn)。
在安全牛“密碼學(xué)圣杯如何拯救云計(jì)算”一文中,我們曾報(bào)道云安全CDN服務(wù)商Cloudflare發(fā)明一種新的SSL安全機(jī)制,能夠?qū)⑵髽I(yè)拯救出云安全的兩難困境。
近日,CloudFlare向其付費(fèi)和免費(fèi)服務(wù)用戶開放“通用SSL”服務(wù),任何網(wǎng)站,都無需付費(fèi)和配置加密證書就能使用這一服務(wù)。
所謂“通用SSL”(Universal SSL),說白了就是省去了企業(yè)向證書發(fā)放機(jī)構(gòu)申請和配置證書的麻煩。CloudFlare的網(wǎng)站用戶可以通過web界面5分鐘內(nèi)就設(shè)置好證書,24小時(shí)內(nèi)完成自動部署,為網(wǎng)站的流量提供基于橢圓曲線數(shù)字簽名算法(ECDSA)的TLS加密服務(wù)。
CloudFlare的安全總工程師Nick Sullivan在新聞發(fā)布會上指出:
CloudFlare推出的加密系統(tǒng),是通用SSL的一部分,領(lǐng)先今天頂尖互聯(lián)網(wǎng)公司的加密服務(wù)整整一代。我們的證書使用橢圓曲線數(shù)字簽名算法秘鑰,確保所有CloudFlare網(wǎng)站的所有連接都受到超高等級的安全保護(hù),而過去這種級別的安全服務(wù)是大多數(shù)網(wǎng)站系統(tǒng)管理員無法負(fù)擔(dān)的。
“通用SSL”雖然看上去很美妙,但全面推廣還面臨一些難題。除了成本因素外,SSL本身的復(fù)雜性導(dǎo)致其很難普及,目前全球只有200萬家網(wǎng)站啟用了SSL加密協(xié)議。很多依賴廣告業(yè)務(wù)的網(wǎng)站采用SSL加密數(shù)據(jù)也會給運(yùn)營帶來一些麻煩。此外,CloudFlare的通用SSL技術(shù)本身依賴于SNI(服務(wù)器名稱標(biāo)識)——TLS加密標(biāo)準(zhǔn)的一個(gè)擴(kuò)展,而目前全球web瀏覽器中,只有80%支持SNI。CloudFlare在官方博客中給出的解決方案是通過IPv6來解決瀏覽器不支持SNI的問題,目前連接CloudFlare的IP地址已經(jīng)有16%是IPv6地址。
對于那些已經(jīng)擁有證書,但希望能加強(qiáng)對證書保護(hù)的企業(yè)。“CloudFlare還發(fā)布了“無秘鑰SSL”服務(wù)(在發(fā)布通用SSL前不久),無秘鑰SSL”服務(wù)允許企業(yè)將加密數(shù)據(jù)分布式存儲于云中,但將私鑰儲存在一個(gè)單獨(dú)的安全服務(wù)器中。當(dāng)用戶訪問網(wǎng)站時(shí),Cloudflare會簽發(fā)一個(gè)臨時(shí)的“會話秘鑰”,與用戶的設(shè)備一一對應(yīng),從而讓私鑰從公眾視野中消失。這聽上去挺簡單,但實(shí)際應(yīng)用中要支持每秒處理1000萬次安全交易處理能力,是技術(shù)上的一次重大創(chuàng)新,目前高盛公司已經(jīng)成為該技術(shù)的首批用戶之一。
一些知名安全專家,包括個(gè)人加密標(biāo)桿技術(shù)PGP的發(fā)明者Jon Callas和Phil Zimmerman,將Cloudflare發(fā)明的這種“無秘鑰SSL”與PGP進(jìn)行了對比,認(rèn)為Cloudflare的無私鑰加密技術(shù)不僅僅適用于安全企業(yè),還可應(yīng)用于云數(shù)據(jù)中心擴(kuò)展,例如在非洲和中國的安全管理水平較差一些的數(shù)據(jù)中心里部署關(guān)鍵應(yīng)用,而無需擔(dān)心安全問題。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧