免費“通用SSL”能否拯救互聯網和云計算?
責編:admin |2014-09-30 11:13:012014年是網絡中立性瓦解、安全機制崩潰的一年,四月份的心臟出血漏洞、九月份的Bash Shellshock漏洞幾乎成了徹底摧毀互聯網和云計算安全技術信任基礎的“最后兩根稻草”。
云計算的安全是個兩難問題,一方面云計算分布式的數據存儲可以抵御DDoS攻擊,但同時又會增加數據泄露風險,云和安全似乎總是難以兼顧。
從安全角度來看,云計算能夠緩解企業遭受DDoS攻擊的壓力,但心臟出血和Shellshock這樣的互聯網基礎組件的安全漏洞,卻大大增加了云計算的數據泄露風險。
如今企業面臨的與加密有關的云數據泄露風險主要有兩大類,一種是大多數中小企業和網站并未啟用SSL加密網站流量;而啟用加密的大型企業和網站面臨秘鑰本身的泄露風險。
在安全牛“密碼學圣杯如何拯救云計算”一文中,我們曾報道云安全CDN服務商Cloudflare發明一種新的SSL安全機制,能夠將企業拯救出云安全的兩難困境。
近日,CloudFlare向其付費和免費服務用戶開放“通用SSL”服務,任何網站,都無需付費和配置加密證書就能使用這一服務。
所謂“通用SSL”(Universal SSL),說白了就是省去了企業向證書發放機構申請和配置證書的麻煩。CloudFlare的網站用戶可以通過web界面5分鐘內就設置好證書,24小時內完成自動部署,為網站的流量提供基于橢圓曲線數字簽名算法(ECDSA)的TLS加密服務。
CloudFlare的安全總工程師Nick Sullivan在新聞發布會上指出:
CloudFlare推出的加密系統,是通用SSL的一部分,領先今天頂尖互聯網公司的加密服務整整一代。我們的證書使用橢圓曲線數字簽名算法秘鑰,確保所有CloudFlare網站的所有連接都受到超高等級的安全保護,而過去這種級別的安全服務是大多數網站系統管理員無法負擔的。
“通用SSL”雖然看上去很美妙,但全面推廣還面臨一些難題。除了成本因素外,SSL本身的復雜性導致其很難普及,目前全球只有200萬家網站啟用了SSL加密協議。很多依賴廣告業務的網站采用SSL加密數據也會給運營帶來一些麻煩。此外,CloudFlare的通用SSL技術本身依賴于SNI(服務器名稱標識)——TLS加密標準的一個擴展,而目前全球web瀏覽器中,只有80%支持SNI。CloudFlare在官方博客中給出的解決方案是通過IPv6來解決瀏覽器不支持SNI的問題,目前連接CloudFlare的IP地址已經有16%是IPv6地址。
對于那些已經擁有證書,但希望能加強對證書保護的企業。“CloudFlare還發布了“無秘鑰SSL”服務(在發布通用SSL前不久),無秘鑰SSL”服務允許企業將加密數據分布式存儲于云中,但將私鑰儲存在一個單獨的安全服務器中。當用戶訪問網站時,Cloudflare會簽發一個臨時的“會話秘鑰”,與用戶的設備一一對應,從而讓私鑰從公眾視野中消失。這聽上去挺簡單,但實際應用中要支持每秒處理1000萬次安全交易處理能力,是技術上的一次重大創新,目前高盛公司已經成為該技術的首批用戶之一。
一些知名安全專家,包括個人加密標桿技術PGP的發明者Jon Callas和Phil Zimmerman,將Cloudflare發明的這種“無秘鑰SSL”與PGP進行了對比,認為Cloudflare的無私鑰加密技術不僅僅適用于安全企業,還可應用于云數據中心擴展,例如在非洲和中國的安全管理水平較差一些的數據中心里部署關鍵應用,而無需擔心安全問題。