袁國成:現在下午時間大家都比較累了,給大家帶來一些乾貨。我今天分享的主題是關於HTTPS網站的安全評估與告警監測。
以往我們在分享安全話題的時候,比較多的是關於網路安全的,針對HTTPS這塊的話題可能討論的比較少。
我們這裡先介紹一下亞數,我們在HTTPS這塊的領域已經研究了十幾年的時間,在今年的2月份我們Netcraft的一個資料統計機構裡面統計,統計我們亞數的數字證書在國內的份額已經佔據了第一位,目前大概是40%的市場份額。應該說在HTTPS這塊來說,亞數是處於一個領先者的地位。
我相信老網民比較熟悉,這是我們十幾年的網站頁面。那時候我們上網比較簡單,就是去瀏覽一下網頁,也不需要做很多的安全防護。到了今天,我們看不單只是用PC去上網,我們還會用手機、IPAD上網。
應用環境除了瀏覽網頁之外,我們還會去電商購物,視訊網站看視訊,也會在網站上消費。目前網站的應用場景是非常複雜的,在這樣複雜的環境裡面我們怎麼樣去保證我們的網站安全?
首先我們要給網站上一把鎖,從HTTP變到HTTPS這樣一個訪問。簡單一點,就是我們只要在網站上面部署一個SSL證書,就能夠實現訪問網頁加密的訪問。大家如果細心,今天去訪問淘寶、京東、百度,還是習慣性的在網站上輸入HTTP://…,但是你會發現你的地址輸入完之後會自動跳轉到HTTPS,意味著現在的網站他們都已經做了強制的加密的訪問。
為什麼我們要做HTTPS?首先它是符合我們國家的法規,也是一個等保的要求。在等保裡面我們看到,在我們對於資料傳輸的完整性以及保密性裡面是有要求的。因為我們的網頁上承載了使用者的帳號、密碼、手機等等一些隱私的資料,這也是今年新的歐盟的GDPR裡面的要求。
我們看到HTTPS還可以防止中間的攻擊,有時候我們訪問網頁的時候會看到各種各樣的我們不願意看到的廣告,但是這些廣告並不是網站主發出去的,因為他們的網站被進行了流量的劫持。
當我們訪問一個網頁,從PC到最後的伺服器,這個傳輸過程中,在任何一個環節裡面,包括我們家裡面的路由器,到運營商的網路裝置都有可能會產生這樣一個流量劫持,導致跳出廣告。這個比較噁心的是網站主是無感的,因為這個劫持只發生在客戶端訪問的時候出現,所以這個攻擊裡面攻擊了多少次、攻擊的情況是什麼樣的,網站主是完全不知道的。
HTTPS可以防止資料被竊取、篡改,下面一個是HTTP的圖,是不能被篡改和修改的。
在2013年的時候我們的網際網路專家定義了新一代的網際網路加密協議,這個協議就是我們的HTTP2.0。這個協議有兩個特點,第一個它讓我們訪問網頁更加安全,因為它定義了HTTPS是一個標配的訪問協議。
第二個很重要,它能夠極大地提升網頁的訪問速度,它的原理就是通過優化我們的HTTP訪問的握手協議,去提升我們網頁的訪問速度。
這裡面我想讓大家去體驗一下,這是我們通過手機APP開啟一個介面,訪問一個網站。左面就是原來1.1的協議,我們開啟一張世界地圖,它的傳出是一幀一幀出來的,它用時是9秒。右面的是HTTP2.0,大家看非常快,2秒鐘就出來了。
目前搜尋引擎不管是國外的谷歌,還是我們國內的百度,對於HTTPS的網站的排名是優先輸入的,這一點對於我們做SDU的優化來說是非常有幫助的。同時HTTPS也是符合我們國際的支付協議,就是PCI的安全規範。
對於我們最常用的iPhone來說,在今年的1月份已經強制要求所有上架的APP必須要用HTTPS的協議。
回到國內,我們的騰訊、微信,因為我們在去年的時候跟騰訊進行了合作探討,也定義了小程式的規範必須要使用HTTPS的協議。這就是我們跟騰訊一起來去做的一個SSL證書的架構協議。
另外一點很重要,我們的SSL證書如果是用一個EV證書,它可以在我們瀏覽器的位址列裡面出現網站主的資訊,這一塊對於一些事業單位、重要的網站來說,這個使用者體驗是非常好的。
綜合上述的一些情況,我們看到HTTPS兩個最關鍵的點,第一個是保護使用者資料的隱私,第二個提升網站的可信度。
從在2013年1月份到2017年5月份統計的SSL證書的發展情況看,可以看到從2016年5月份開始,是一個幾何級別的增長。到現在來說,應該增長很快。但是我可以告訴大家,到目前為止SSL的證書,HTTPS訪問的網頁目前只有大概5%左右,也就是有95%的網站他們並沒有使用這個加密的協議來去訪問。
我們講了這麼多,怎麼樣去為我們的網站去選購一張SSL證書?
應該說,一般情況下我們會考慮四方面,第一個方面首先是瀏覽器的相容性,因為再好的證書、再好的加密演算法,如果瀏覽器不相容其實都是沒有用的。
第二個,我們要考慮演算法的優勢,因為演算法越好,越難以破解。
第三個是這個品牌的產品線是否豐富。
最後一個是本地附加的服務。國內的品牌可以選擇我們亞洲誠信的證書,因為目前來說我們的網路安全都希望是國產化的,所以我是建議大家優先選擇國內的品牌。
另外我們看到證書的安全性跟信任等級跟國外是一樣的,加密演算法也是用了高階的演算法。它的優勢就是頒發週期非常短,一般3—5個工作日就可以頒發,但是國外的證書要一週以上才能夠頒發。
我們去年聯合了國內大部分的雲一起來推了一個加密無處不在的計劃,這個計劃我們從去年到現在統計了有超過20萬網站實現了HTTPS,我們的特點只要你在我們的合作伙伴的網站介面裡面,一鍵就可以實現HTTPS的部署,這是我們某一個合作伙伴的介面,只要在上面進行一個簡單的操作,就能夠為你的網站開啟HTTPS。
那接下來我們更深入的話題,我們實現了部署的證書,網站已經變成了HTTPS,是不是就是安全的?
這個答案跟剛才主持人說的一樣,其實並不就一定是安全的。我們自研了這樣一個系統,對我們全網的資料進行統計分析,發現目前有32.2%的網站還是處於一個不安全的狀態,我再次強調一下32.2%的網站是HTTPS的網站。
它的評級屬於不安全的,我們這個資料不是瞎說的,我們的資料目前已經採集了67萬的網站樣本來去得到這樣一個資料。
為什麼會有這麼多的網站不安全?我們進行了一些分析,目前主要有這樣一些情況。
首先第一個,我們部署的證書不可用。因為我們的證書都是有有效期的,一旦你過了有效期以後,沒有去頒發新的證書,那麼你的證書是不可用的。
另外一點,如果你從一些小的渠道買了一些小品牌的證書,也有可能出現證書不可用的情況。
就像某大的電商網站,曾經發生過的事情,在2年以前出現過證書的問題,導致那一天有2小時網站停止訪問,你看多可怕,京東、淘寶這樣的網站停2個小時是什麼概念?
這是證書鏈的不完整,因為證書是一級一級分層去頒發證書,中間這一層如果沒有去部署,會導致證書鏈的不完整,出現網站的不可訪問。
這是我們在網站上使用一些安全性比較低的加密套件,導致你的網站還是處於一個不安全的情況。這就是我們在伺服器裡面使用了比較低版本的OpenSSl,導致出現了一些比較常見的漏洞。
這塊可能是大家比較在意但是比較嚴重的問題,就是不安全的外鏈。當你的網站使用了HTTPS,但是你的網頁當中一旦內嵌了一種不安全的外鏈,因為這種情況是很普遍的,因為我們可能會連線流量統計,或者帶入一些外部的圖片,這時候你的連結有可能是普通的HTTP的連結,這種情況下你還是會被流量劫持。
這就是剛才提到的證書的相容性的問題,如果你使用了一些普通的國產證書,或者是一些小品牌的證書,他們在不同的瀏覽器裡面相容性並不一定非常好。
這裡面提到我們在谷歌瀏覽器上,從60開始,對我們網頁不使用HTTPS訪問的時候非常不友好,直接就跳出一個不安全的紅色警告出來。
針對我們客戶這麼多使用我們的證書還是不安全,我們也研發了一款產品,叫做MySSL線上服務平臺來去解決問題,這個MySSL目前是公益版,在網上是線上服務的,可以不收費就進行使用。
我們的MySSL目前主要是這六塊功能,第一個是安全評級,然後是證書品牌的管理,有效期管理,漏洞的分佈,合規的檢測等六大功能。
其中最核心的就是第一塊安全評級,會根據我們的安全風險分為A+、A、A-、B、C、D、E、F、T這九個級別,在A+、A-跟A都是屬於安全的,如果是B跟C意味著你的網站有漏洞,但還是可以正常使用。如果一旦在D以下,你的網站有重大漏洞,必須要馬上修復。
同時我們考慮到運維人員對SSL這方面的管理,我們在網站上也提供了很多SSL小工具,方便我們的運維人員對網站進行包括私鑰、公鑰的管理,有興趣的可以到我們網站上看一下,考慮一下使用這個功能。
這裡面我們再看一下MySSL評估功能,包括評估證書資訊,包括協議和套件的安全情況,包括SSL的漏洞,包括證書的相容性、瀏覽器的相容性,都可以在這個評估報告裡面很清楚的看到。
很重要的就是一個它會對我們提供你評級不安全的原因,第二個它會給一個很詳細的修復建議,包括我們的運維人員把這些漏洞給修復掉。
今年8月份我們又針對MySSL出了一新的企業版,它的功能應該說非常強大,可以支援多個站點的實時監控和管理,會有一個比較詳細的皮膚來去看到各個域名網站的安全分析報告,就像一個體檢報告一樣。
這是我們剛才提到的不安全外鏈的情況,這裡面我們有一些客戶給我們提這樣一些需求,因為這個客戶也是目前國內的某二手市場裡面比較大一個電商網站,他們每天會有很多使用者去釋出這些二手資訊,很容易內嵌到不安全外鏈,這塊我們提供實時的不安全外鏈的報告,能夠精準定位你的網站在什麼時間哪個頁面上內嵌了不安全的外鏈。同時我們也會對中間人攻擊進行實時的態勢感知分析。
考慮到我們使用者在使用我們這個系統的便捷性上來說,我們MySSL是基於SaaS的架構,它的使用非常簡單,只要你輸入你的網站域名和你的埠,後面就可以交給我們來進行監控。
我們的監控每10分鐘就會對你的網站進行實時監測,一旦發現異常我們會通過微信、電話、簡訊告警去通知使用者,你的網站出現了不安全的情況。
剛才提到MySSL目前已經有67萬獨立HTTPS網站域名的資料,我們目前沒有做專業的推廣,也沒有去搜尋引擎買廣告,但是我們目前已經有15萬的日檢測量,這只是短短兩三個月的系統釋出。
最後我是想讓大家做一個簡單的互動,大家可以拿一個手機開啟微信小程式掃一掃我們的小程式,輸入你關心的網站,就可以馬上看到你的評測結果。謝謝大家!
(以上內容轉自“中國IDC圈”)