【2018可信云大会】CTO袁国成:HTTPS网站安全评估与监测告警解决方案
袁国成:现在下午时间大家都比较累了,给大家带来一些干货。我今天分享的主题是关于HTTPS网站的安全评估与告警监测。
以往我们在分享安全话题的时候,比较多的是关于网络安全的,针对HTTPS这块的话题可能讨论的比较少。
我们这里先介绍一下亚数,我们在HTTPS这块的领域已经研究了十几年的时间,在今年的2月份我们Netcraft的一个数据统计机构里面统计,统计我们亚数的数字证书在国内的份额已经占据了第一位,目前大概是40%的市场份额。应该说在HTTPS这块来说,亚数是处于一个领先者的地位。
我相信老网民比较熟悉,这是我们十几年的网站页面。那时候我们上网比较简单,就是去浏览一下网页,也不需要做很多的安全防护。到了今天,我们看不单只是用PC去上网,我们还会用手机、IPAD上网。
应用环境除了浏览网页之外,我们还会去电商购物,视频网站看视频,也会在网站上消费。目前网站的应用场景是非常复杂的,在这样复杂的环境里面我们怎么样去保证我们的网站安全?
首先我们要给网站上一把锁,从HTTP变到HTTPS这样一个访问。简单一点,就是我们只要在网站上面部署一个SSL证书,就能够实现访问网页加密的访问。大家如果细心,今天去访问淘宝、京东、百度,还是习惯性的在网站上输入HTTP://…,但是你会发现你的地址输入完之后会自动跳转到HTTPS,意味着现在的网站他们都已经做了强制的加密的访问。
为什么我们要做HTTPS?首先它是符合我们国家的法规,也是一个等保的要求。在等保里面我们看到,在我们对于数据传输的完整性以及保密性里面是有要求的。因为我们的网页上承载了用户的帐号、密码、手机等等一些隐私的数据,这也是今年新的欧盟的GDPR里面的要求。
我们看到HTTPS还可以防止中间的攻击,有时候我们访问网页的时候会看到各种各样的我们不愿意看到的广告,但是这些广告并不是网站主发出去的,因为他们的网站被进行了流量的劫持。
当我们访问一个网页,从PC到最后的服务器,这个传输过程中,在任何一个环节里面,包括我们家里面的路由器,到运营商的网络设备都有可能会产生这样一个流量劫持,导致跳出广告。这个比较恶心的是网站主是无感的,因为这个劫持只发生在客户端访问的时候出现,所以这个攻击里面攻击了多少次、攻击的情况是什么样的,网站主是完全不知道的。
HTTPS可以防止数据被窃取、篡改,下面一个是HTTP的图,是不能被篡改和修改的。
在2013年的时候我们的互联网专家定义了新一代的互联网加密协议,这个协议就是我们的HTTP2.0。这个协议有两个特点,第一个它让我们访问网页更加安全,因为它定义了HTTPS是一个标配的访问协议。
第二个很重要,它能够极大地提升网页的访问速度,它的原理就是通过优化我们的HTTP访问的握手协议,去提升我们网页的访问速度。
这里面我想让大家去体验一下,这是我们通过手机APP打开一个界面,访问一个网站。左面就是原来1.1的协议,我们打开一张世界地图,它的传出是一帧一帧出来的,它用时是9秒。右面的是HTTP2.0,大家看非常快,2秒钟就出来了。
目前搜索引擎不管是国外的谷歌,还是我们国内的百度,对于HTTPS的网站的排名是优先输入的,这一点对于我们做SDU的优化来说是非常有帮助的。同时HTTPS也是符合我们国际的支付协议,就是PCI的安全规范。
对于我们最常用的iPhone来说,在今年的1月份已经强制要求所有上架的APP必须要用HTTPS的协议。
回到国内,我们的腾讯、微信,因为我们在去年的时候跟腾讯进行了合作探讨,也定义了小程序的规范必须要使用HTTPS的协议。这就是我们跟腾讯一起来去做的一个SSL证书的架构协议。
另外一点很重要,我们的SSL证书如果是用一个EV证书,它可以在我们浏览器的地址栏里面出现网站主的信息,这一块对于一些事业单位、重要的网站来说,这个用户体验是非常好的。
综合上述的一些情况,我们看到HTTPS两个最关键的点,第一个是保护用户数据的隐私,第二个提升网站的可信度。
从在2013年1月份到2017年5月份统计的SSL证书的发展情况看,可以看到从2016年5月份开始,是一个几何级别的增长。到现在来说,应该增长很快。但是我可以告诉大家,到目前为止SSL的证书,HTTPS访问的网页目前只有大概5%左右,也就是有95%的网站他们并没有使用这个加密的协议来去访问。
我们讲了这么多,怎么样去为我们的网站去选购一张SSL证书?
应该说,一般情况下我们会考虑四方面,第一个方面首先是浏览器的兼容性,因为再好的证书、再好的加密算法,如果浏览器不兼容其实都是没有用的。
第二个,我们要考虑算法的优势,因为算法越好,越难以破解。
第三个是这个品牌的产品线是否丰富。
最后一个是本地附加的服务。国内的品牌可以选择我们亚洲诚信的证书,因为目前来说我们的网络安全都希望是国产化的,所以我是建议大家优先选择国内的品牌。
另外我们看到证书的安全性跟信任等级跟国外是一样的,加密算法也是用了高级的算法。它的优势就是颁发周期非常短,一般3—5个工作日就可以颁发,但是国外的证书要一周以上才能够颁发。
我们去年联合了国内大部分的云一起来推了一个加密无处不在的计划,这个计划我们从去年到现在统计了有超过20万网站实现了HTTPS,我们的特点只要你在我们的合作伙伴的网站界面里面,一键就可以实现HTTPS的部署,这是我们某一个合作伙伴的界面,只要在上面进行一个简单的操作,就能够为你的网站开启HTTPS。
那接下来我们更深入的话题,我们实现了部署的证书,网站已经变成了HTTPS,是不是就是安全的?
这个答案跟刚才主持人说的一样,其实并不就一定是安全的。我们自研了这样一个系统,对我们全网的数据进行统计分析,发现目前有32.2%的网站还是处于一个不安全的状态,我再次强调一下32.2%的网站是HTTPS的网站。
它的评级属于不安全的,我们这个数据不是瞎说的,我们的数据目前已经采集了67万的网站样本来去得到这样一个数据。
为什么会有这么多的网站不安全?我们进行了一些分析,目前主要有这样一些情况。
首先第一个,我们部署的证书不可用。因为我们的证书都是有有效期的,一旦你过了有效期以后,没有去颁发新的证书,那么你的证书是不可用的。
另外一点,如果你从一些小的渠道买了一些小品牌的证书,也有可能出现证书不可用的情况。
就像某大的电商网站,曾经发生过的事情,在2年以前出现过证书的问题,导致那一天有2小时网站停止访问,你看多可怕,京东、淘宝这样的网站停2个小时是什么概念?
这是证书链的不完整,因为证书是一级一级分层去颁发证书,中间这一层如果没有去部署,会导致证书链的不完整,出现网站的不可访问。
这是我们在网站上使用一些安全性比较低的加密套件,导致你的网站还是处于一个不安全的情况。这就是我们在服务器里面使用了比较低版本的OpenSSl,导致出现了一些比较常见的漏洞。
这块可能是大家比较在意但是比较严重的问题,就是不安全的外链。当你的网站使用了HTTPS,但是你的网页当中一旦内嵌了一种不安全的外链,因为这种情况是很普遍的,因为我们可能会连接流量统计,或者带入一些外部的图片,这时候你的链接有可能是普通的HTTP的链接,这种情况下你还是会被流量劫持。
这就是刚才提到的证书的兼容性的问题,如果你使用了一些普通的国产证书,或者是一些小品牌的证书,他们在不同的浏览器里面兼容性并不一定非常好。
这里面提到我们在谷歌浏览器上,从60开始,对我们网页不使用HTTPS访问的时候非常不友好,直接就跳出一个不安全的红色警告出来。
针对我们客户这么多使用我们的证书还是不安全,我们也研发了一款产品,叫做MySSL在线服务平台来去解决问题,这个MySSL目前是公益版,在网上是在线服务的,可以不收费就进行使用。
我们的MySSL目前主要是这六块功能,第一个是安全评级,然后是证书品牌的管理,有效期管理,漏洞的分布,合规的检测等六大功能。
其中最核心的就是第一块安全评级,会根据我们的安全风险分为A+、A、A-、B、C、D、E、F、T这九个级别,在A+、A-跟A都是属于安全的,如果是B跟C意味着你的网站有漏洞,但还是可以正常使用。如果一旦在D以下,你的网站有重大漏洞,必须要马上修复。
同时我们考虑到运维人员对SSL这方面的管理,我们在网站上也提供了很多SSL小工具,方便我们的运维人员对网站进行包括私钥、公钥的管理,有兴趣的可以到我们网站上看一下,考虑一下使用这个功能。
这里面我们再看一下MySSL评估功能,包括评估证书信息,包括协议和套件的安全情况,包括SSL的漏洞,包括证书的兼容性、浏览器的兼容性,都可以在这个评估报告里面很清楚的看到。
很重要的就是一个它会对我们提供你评级不安全的原因,第二个它会给一个很详细的修复建议,包括我们的运维人员把这些漏洞给修复掉。
今年8月份我们又针对MySSL出了一新的企业版,它的功能应该说非常强大,可以支持多个站点的实时监控和管理,会有一个比较详细的面板来去看到各个域名网站的安全分析报告,就像一个体检报告一样。
这是我们刚才提到的不安全外链的情况,这里面我们有一些客户给我们提这样一些需求,因为这个客户也是目前国内的某二手市场里面比较大一个电商网站,他们每天会有很多用户去发布这些二手信息,很容易内嵌到不安全外链,这块我们提供实时的不安全外链的报告,能够精准定位你的网站在什么时间哪个页面上内嵌了不安全的外链。同时我们也会对中间人攻击进行实时的态势感知分析。
考虑到我们用户在使用我们这个系统的便捷性上来说,我们MySSL是基于SaaS的架构,它的使用非常简单,只要你输入你的网站域名和你的端口,后面就可以交给我们来进行监控。
我们的监控每10分钟就会对你的网站进行实时监测,一旦发现异常我们会通过微信、电话、短信告警去通知用户,你的网站出现了不安全的情况。
刚才提到MySSL目前已经有67万独立HTTPS网站域名的数据,我们目前没有做专业的推广,也没有去搜索引擎买广告,但是我们目前已经有15万的日检测量,这只是短短两三个月的系统发布。
最后我是想让大家做一个简单的互动,大家可以拿一个手机打开微信小程序扫一扫我们的小程序,输入你关心的网站,就可以马上看到你的评测结果。谢谢大家!
(以上内容转自“中国IDC圈”)