压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

亞數(shù)信息科技（上海）有限公司副總經(jīng)理徐華棟給我們談一下HTTPS的進(jìn)化。

徐華棟：不管是云安全還是電商安全，我們都離不開網(wǎng)絡(luò)傳輸，我們可以把網(wǎng)絡(luò)安全簡(jiǎn)單理解為三塊：服務(wù)端；客戶端；還有很重要的一塊是數(shù)據(jù)在傳輸過(guò)程當(dāng)中的問(wèn)題。數(shù)據(jù)在傳輸過(guò)程當(dāng)中每天都會(huì)上演著”速度與激情”，這是有人在服務(wù)端和客戶端所碰到的，通過(guò)我們公司自己的系統(tǒng)檢測(cè)，發(fā)現(xiàn)每天都會(huì)上演這樣一個(gè)情況。

大家如果看過(guò)《速度與激情5》的話肯定知道里面有一個(gè)保險(xiǎn)箱，我們假設(shè)這個(gè)保險(xiǎn)箱就是一個(gè)數(shù)據(jù)包，現(xiàn)在這個(gè)數(shù)據(jù)包已經(jīng)被劫持者所獲取了，這個(gè)數(shù)據(jù)包由于加密強(qiáng)度較弱，所以被破解、被打開，劫持者露出了比較喜悅的表情。作為企業(yè)來(lái)講一定不希望看到劫持者這樣的表情，而是希望劫持者看到”OMG”這種表情，所以他是破解不了的。現(xiàn)在有一個(gè)很大的問(wèn)題在于我們的互聯(lián)網(wǎng)現(xiàn)在大部分還在使用著HTTP這樣一個(gè)協(xié)議，HTTP是帶領(lǐng)我們進(jìn)入互聯(lián)網(wǎng)的，我們一開始進(jìn)入互聯(lián)網(wǎng)的時(shí)候，上網(wǎng)目的也很單純，互聯(lián)網(wǎng)上面內(nèi)容也很單純。但是經(jīng)過(guò)將近二十年的發(fā)展，我們?cè)诨ヂ?lián)網(wǎng)上面?zhèn)鬏數(shù)臄?shù)據(jù)越來(lái)越復(fù)雜，我們的生活、我們的工作都已經(jīng)完全離不開了互聯(lián)網(wǎng)，所以會(huì)發(fā)信越復(fù)雜的環(huán)境存在的問(wèn)題越多。之前兩位所講的云安全上面存在的一些問(wèn)題，存在一些DDos的攻擊，對(duì)于傳輸過(guò)程當(dāng)中的攻擊非常嚴(yán)重，而且對(duì)于傳輸過(guò)程當(dāng)中劫持和攻擊相對(duì)于云服務(wù)器的攻擊要來(lái)得更簡(jiǎn)單，也就是說(shuō)如果我有一個(gè)監(jiān)聽軟件，我的水平也不是很高，也不是技術(shù)出身，就可以監(jiān)聽到你的賬戶和用戶名密碼，這些是比較簡(jiǎn)單的。所以門檻越低，受益的人就越多。

所以是時(shí)候我們需要有這樣一個(gè)防范機(jī)制使我們的HTTP增加一個(gè)安全層。可以簡(jiǎn)單理解為HTTPS就是在HTTP的基礎(chǔ)上增加了一個(gè)安全層，說(shuō)到底就是在HTTP網(wǎng)站基礎(chǔ)上使用了數(shù)據(jù)證書。1994年，Netscape就提出了支持并應(yīng)用HTTP這樣一個(gè)協(xié)議，到現(xiàn)在幾乎所有主流的瀏覽器都已經(jīng)非常完善地支持了HTTPS（即數(shù)字證書）。

是我們一直在使用的HTTP把我們帶入互聯(lián)網(wǎng)的應(yīng)用協(xié)議，這個(gè)協(xié)議目前來(lái)講存在哪些弊端，而必須要對(duì)其進(jìn)行進(jìn)化的？首先HTTP是一個(gè)開放式的協(xié)議，所有的數(shù)據(jù)在上面，就像這臺(tái)卡車一樣，剛才看到《速度與激情5》當(dāng)中的保險(xiǎn)箱還是簡(jiǎn)單加密的話，我們?cè)贖TTP上面裸奔的數(shù)據(jù)就像在這臺(tái)卡車上運(yùn)的水果是一樣的，是裸露的，可以隨便拿，把上面的水果全部替換掉都可以，所以這是非常不安全的。

下面這個(gè)代碼，我們通過(guò)一個(gè)監(jiān)聽軟件所劫持的，輸入用戶名和密碼以后，代碼里面就包含這個(gè)用戶名和密碼，你輸入的時(shí)候是一個(gè)隱碼，但在傳輸過(guò)程中出現(xiàn)的是英文的，所以非常不安全。

假設(shè)有一個(gè)支付平臺(tái)，它發(fā)給你一封郵件，當(dāng)然這可能不是從支付平臺(tái)發(fā)出來(lái)的，不知道是從哪里發(fā)出來(lái)的郵件，告訴你最近網(wǎng)上攻擊指標(biāo)多，作為平臺(tái)用戶也有一些數(shù)據(jù)丟失了，為了確保你賬戶的安全，請(qǐng)及時(shí)登陸，以免造成你的損失。現(xiàn)在問(wèn)題來(lái)了，有兩個(gè)地址，你們能告訴我這兩個(gè)地址哪個(gè)是真的、哪個(gè)是假的？能看出來(lái)的舉一下手。

我感到有一點(diǎn)沮喪，在座的各位很多人都沒有看出來(lái)這兩個(gè)地址哪個(gè)是真的、哪個(gè)是假的。

答：我們都不點(diǎn)這兩個(gè)。

徐華棟：中國(guó)有14億人口，總會(huì)有人點(diǎn)的。釣魚者往往采用的是大海撈針的騙術(shù)，往往采用的是撒網(wǎng)捕魚，總歸有人會(huì)上鉤的。

第二個(gè)是仿冒的地址，第一個(gè)是真的地址，但是會(huì)發(fā)現(xiàn)都使用了HTTP協(xié)議，第二個(gè)是一個(gè)釣魚網(wǎng)站，但如果這樣一封郵件發(fā)給你的時(shí)候，而且會(huì)告訴你有緊迫性，你必須要修改你的密碼，否則你的數(shù)據(jù)也會(huì)跟之前的人一樣丟失，我相信10個(gè)人中間會(huì)有1個(gè)人點(diǎn)這樣的鏈接，當(dāng)你點(diǎn)進(jìn)去以后就會(huì)輸入你的用戶名、密碼，所以你就中招了。這個(gè)門檻相當(dāng)?shù)汀Ｒ苍S你是一個(gè)層級(jí)很高的人，但是你數(shù)據(jù)有可能就是被一個(gè)比你層級(jí)低很多小孩給劫持了，現(xiàn)實(shí)就是這么殘酷。

HTTP當(dāng)中還有一個(gè)問(wèn)題，剛才有朋友說(shuō)那封郵件兩個(gè)鏈接都不點(diǎn)，但是你是不是要登陸這個(gè)支付平臺(tái)，當(dāng)你登陸這個(gè)支付平臺(tái)需要輸入域名，你進(jìn)去這個(gè)域名以后，如果在哪個(gè)咖啡店里面使用了無(wú)線WiFi，這個(gè)時(shí)候就很有可能中招了，在有些酒店里面路由器上面設(shè)置監(jiān)聽的話，也會(huì)碰到這樣的問(wèn)題，就是你輸入的用戶名、密碼登陸以后，要支付的這個(gè)錢并沒有到指定的賬戶，而是被你轉(zhuǎn)到了另外的賬戶。這就是簡(jiǎn)單的無(wú)聲無(wú)息的中間人攻擊。這樣的問(wèn)題是防不勝防的，如果你上的網(wǎng)站是HTTP的話，又是一個(gè)支付平臺(tái)或者帶有很多誘惑網(wǎng)站的話，你很有可能就會(huì)中招。以上講的三個(gè)就是HTTP當(dāng)中存在的問(wèn)題。

如何解決這些問(wèn)題？我們是不是要對(duì)比一下，如果我們有這樣一個(gè)辦法使原先HTTP在不改變?cè)葏f(xié)議基礎(chǔ)上，要是改變協(xié)議的話，所有瀏覽器、所有的習(xí)慣全部改變，在這個(gè)基礎(chǔ)上可以使我們的HTTP變得更安全，至少在任何一個(gè)地方、在任何一個(gè)設(shè)備上，甚至于在讓人感覺最不安全的網(wǎng)吧里面都可以很安全、很安心的進(jìn)行網(wǎng)上支付、進(jìn)行網(wǎng)上交易，所以這里面就需要有HTTPS，即需要有數(shù)字證書的交易。

帶有數(shù)字證書的網(wǎng)站和沒有數(shù)字證書的網(wǎng)站區(qū)別：1、明文傳輸，帶有數(shù)字證書是進(jìn)行加密傳輸；2、數(shù)字證書可以對(duì)網(wǎng)站身份進(jìn)行唯一性驗(yàn)證，即當(dāng)一個(gè)企業(yè)需要獲得數(shù)字證書時(shí)，需要CA機(jī)構(gòu)對(duì)它的身份進(jìn)行認(rèn)證；3、可以保證數(shù)據(jù)傳輸?shù)耐暾裕纯梢苑乐怪虚g人攻擊，從傳輸角度來(lái)講，可以最大程度的防止中間人攻擊。所以我們必須要對(duì)HTTP進(jìn)行一個(gè)進(jìn)化，進(jìn)化到HTTPS。

HTTPS使用的是RSA的加密，這個(gè)加密從發(fā)明到現(xiàn)在持續(xù)了37年，全球主流的CA機(jī)構(gòu)都在使用RSA作為最流行的密鑰加密。現(xiàn)在更多的CA機(jī)構(gòu)在推行更為流行的ECC的算法來(lái)代替RSA的算法，目前兩個(gè)算法是共存的。為什么使用ECC算法呢？ECC和RSA比起來(lái)在同等加密程度情況下，密鑰強(qiáng)度要比RSA密鑰長(zhǎng)度短很多，密鑰長(zhǎng)度越長(zhǎng)壓力強(qiáng)度越大，ECC的算法可以更大程度減輕服務(wù)器的壓力。換句話說(shuō)如果你的網(wǎng)站使用了帶有ECC算法的數(shù)字證書，進(jìn)行全網(wǎng)站部署數(shù)字證書已經(jīng)變成了可能，并不是說(shuō)只在登陸或在支付的時(shí)候使用數(shù)字證書，而是全網(wǎng)時(shí)數(shù)字證書。

在HTTP當(dāng)中是不是所有的HTTPS都是安全的？答案是否定的。HTTPS包含了加密、身份驗(yàn)證、數(shù)據(jù)完整性，還有一種數(shù)字證書是只有加密，其他都不含有的，稱之為”僅具保密性質(zhì)的數(shù)據(jù)證書”，級(jí)別較低，還有不可信的數(shù)字證書，大家上一些國(guó)內(nèi)的研究網(wǎng)站，上面的一些證書可能使用的某些沒有經(jīng)過(guò)認(rèn)證所謂的CA機(jī)構(gòu)，所以我們的瀏覽器會(huì)報(bào)警。還有網(wǎng)站給自己認(rèn)可的證書，這種證書也不被認(rèn)可。所有CA機(jī)構(gòu)的證書要被瀏覽器所識(shí)別，認(rèn)為是安全的證書，這個(gè)證書必須要經(jīng)過(guò)認(rèn)證。一個(gè)完整的數(shù)字證書保護(hù)的HTTP的特征，在谷歌、蘋果等四個(gè)主流瀏覽器上面使用數(shù)字證書，身份的唯一性就已經(jīng)體現(xiàn)出來(lái)了，有綠色地址欄。

什么才是真正安全的HTTPS？在HTTPS當(dāng)中，有一些HTTPS是不安全的，當(dāng)你購(gòu)買了一些主流CA機(jī)構(gòu)所頒發(fā)的數(shù)字證書來(lái)部署HTTPS，會(huì)認(rèn)為我的網(wǎng)站就安全了，但這里面會(huì)存在一些技術(shù)問(wèn)題，比如DNS的解析、主機(jī)會(huì)話異常等等，都會(huì)造成HTTPS出現(xiàn)異常。HTTPS數(shù)字證書不可信，如果密鑰使用的是1024的算法，在2006年年底，谷歌的瀏覽器就會(huì)對(duì)這個(gè)弱簽名算法的證書進(jìn)行報(bào)警。我們?cè)陬C發(fā)證書時(shí)經(jīng)常會(huì)發(fā)現(xiàn)一個(gè)情況，用戶把一張證書用在了另外一個(gè)地址上面，這也是不允許的。還有使用了不安全的會(huì)話協(xié)議及不安全的加密套現(xiàn)，還有加密指紋的不匹配。

數(shù)字證書是有期限的，我們?cè)谫?gòu)買數(shù)字證書的時(shí)候，一般我們可能購(gòu)買兩年或是三年，或者一年，當(dāng)數(shù)字證書過(guò)期以后，需要重新續(xù)訂，需要對(duì)數(shù)字證書進(jìn)行重新驗(yàn)證，驗(yàn)證企業(yè)的身份，這是對(duì)于企業(yè)和對(duì)于企業(yè)的用戶一個(gè)安全性的考慮。證書有時(shí)候會(huì)出現(xiàn)無(wú)效和將要到期，如果一個(gè)企業(yè)買的證書比較多，你的IT人員可能沒有及時(shí)能夠做到一些可控性管理的話，這些證書很有可能就會(huì)被遺漏。有一些網(wǎng)站使用CDN的服務(wù)，由于CDN環(huán)境的不確定性，所以的證書很有可能被分發(fā)，你的每張證書到期了沒有辦法獲知。還有之前互聯(lián)網(wǎng)上流行的一些漏洞，特別是吸血漏洞是鬧的沸沸揚(yáng)揚(yáng)的漏洞，也可以被SSCloud監(jiān)測(cè)出來(lái)。

所有的行業(yè)都需要數(shù)字證書。我們通過(guò)這么多年的發(fā)現(xiàn)，發(fā)現(xiàn)幾乎所有的行業(yè)都需要在互聯(lián)網(wǎng)上開展業(yè)務(wù)，這些行業(yè)都需要使用數(shù)字證書來(lái)保護(hù)他們的數(shù)據(jù)安全，而不至于用戶的數(shù)據(jù)在互聯(lián)網(wǎng)上裸奔。我們接下去的互聯(lián)網(wǎng)有很大的可能是我們所有HTTP將被HTTPS所替代。為什么？2014年8月份，Google提出優(yōu)先收入和排名HTTPS，而且建議大家使用RSA2048位數(shù)字證書來(lái)對(duì)網(wǎng)站進(jìn)行入駐。當(dāng)我們現(xiàn)在輸入類似于登陸、關(guān)鍵詞的時(shí)候，發(fā)現(xiàn)Google真的把一些帶有HTTPS的網(wǎng)站優(yōu)先排名在前面，這給我們一個(gè)信號(hào)，如果不用HTTPS，如果對(duì)用戶的數(shù)據(jù)不聞不問(wèn)，不在乎他們安全的話，有可能搜索引擎就不會(huì)再收錄我。一個(gè)很好的消息是百度在2015年5月份在它的公告上已經(jīng)發(fā)布了”百度優(yōu)先收入HTTPS”，也就是說(shuō)你的網(wǎng)站既有HTTP，又有HTTPS的時(shí)候，優(yōu)先收入HTTPS，如果你的網(wǎng)站不再部署數(shù)字證書的話，有可能在百度上就看不到你了。競(jìng)價(jià)排名有可能也會(huì)出現(xiàn)此類問(wèn)題，但是如果是正常排名的話，肯定會(huì)出問(wèn)題。

如圖有一個(gè)二維碼，可以到我們的展臺(tái)索取如何獲取百度開放收入HTTPS白皮書。

搜索引擎已經(jīng)把HTTPS作為一個(gè)默認(rèn)的標(biāo)配來(lái)優(yōu)先收入和優(yōu)先展現(xiàn)，所以全站部署HTTPS已經(jīng)變成了一個(gè)必要性，可以在醒目位置看到有綠色地址欄。

數(shù)字證書在中國(guó)的發(fā)展到底是一個(gè)什么樣的情況？據(jù)我了解，很多企業(yè)，包括目前流行的P2P行業(yè)，很多企業(yè)的老總、CEO有些人懂一些技術(shù)，有些人不懂技術(shù)，對(duì)于數(shù)字證書，對(duì)于HTTPS持觀望的態(tài)度，到底要不要上HTTPS，它到底會(huì)不會(huì)給我的排名以及給我的其他方面造成一些影響？回答是否定的。如果你部署了HTTPS可以提高你的排名，而且部署的HTTPS，是可以增加你的用戶量。

中國(guó)三年HTTPS的增長(zhǎng)，從2012年6月份到2015年6月份整個(gè)曲線三年間增長(zhǎng)2.8倍，這是一個(gè)很讓人鼓舞的消息，更多的企業(yè)已經(jīng)意識(shí)到了網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹匾裕运麄儠?huì)在他們的網(wǎng)站上部署數(shù)字證書。這個(gè)數(shù)據(jù)統(tǒng)計(jì)不包括不驗(yàn)證身份的證書。這里面的證書都是實(shí)實(shí)在在的審核企業(yè)身份的。

如圖來(lái)自于國(guó)際上數(shù)據(jù)公司的數(shù)據(jù)統(tǒng)計(jì)，在中國(guó)目前主流數(shù)字證書品牌占的份額，最高是賽門鐵克，賽門鐵克在2000年甚至更早就進(jìn)入中國(guó)了，很多銀行是第一批使用賽門鐵克證書的。

這組數(shù)據(jù)是我們2015年6月份剛剛統(tǒng)計(jì)的，世界上幾個(gè)互聯(lián)網(wǎng)發(fā)展比較快速國(guó)家的使用數(shù)字證書的情況，對(duì)于我們來(lái)講，對(duì)于賽門鐵克來(lái)講，中國(guó)數(shù)字證書的潛力非常大，從另外一個(gè)角度來(lái)講，中國(guó)需要部署數(shù)字證書的網(wǎng)站還很多，需要有網(wǎng)絡(luò)傳輸安全概念的一些公司也很多，所以需要我增加我們安全觀念來(lái)部署數(shù)字證書，以使我們網(wǎng)站的用戶量可以增加更多，而且能有更多的用戶，不管是國(guó)內(nèi)還是境外的，可以更信任我們的網(wǎng)站。我們的網(wǎng)絡(luò)安全性還是很嚴(yán)峻的，任重而道遠(yuǎn)。

中國(guó)發(fā)展?jié)摿ΑＨ鐖D顯示的中國(guó)跟日本的IP地址的比較，2004年中國(guó)IP地址低于日本，2007年已經(jīng)超越日本，到目前為止已經(jīng)遠(yuǎn)遠(yuǎn)超越日本，說(shuō)明中國(guó)互聯(lián)網(wǎng)在迅猛發(fā)展，同樣中國(guó)互聯(lián)網(wǎng)安全也在迅猛發(fā)展，越來(lái)越多的企業(yè)開始意識(shí)到安全的重要性。

我講了那么多，希望更多的企業(yè)可以在重視自己服務(wù)端安全的同時(shí)，需要花一部分的精力來(lái)關(guān)注你們數(shù)據(jù)傳輸過(guò)程的安全性，因?yàn)橹挥羞@樣才能使用戶更能信任你的網(wǎng)站，使你的網(wǎng)站的應(yīng)用得以更好的發(fā)揮，只有在誠(chéng)信的基礎(chǔ)上，你的網(wǎng)站的服務(wù)才能做得更好。

如果有更多疑問(wèn)和需求、建議，可以掃一下我們微信二維碼，或到我們7號(hào)展位咨詢相應(yīng)的信息。

謝謝！