赛可达实验室

标题: 翟新元:加密无处不在 [打印本页]

作者: nsc    时间: 2016-6-30 11:14
标题: 翟新元:加密无处不在
[应演讲嘉宾要求,PPT不公开]


翟新元:尊敬的嘉宾,大家下午好,接下来由我来给大家带来加密无处不在的一个分享。


                               
登录/注册后可看大图

讲这个之前先给大家透露个信息,昨天我们联合Symantec在中国正式发布了加密无处不在的解决方案,我分享完以后如果大家有兴趣的,我们可以一起做一些交流。

回归到互联网发明之初当初发明的时候最常用的一个协议就是万维网,其实它是基于HTTP的协议实现的,当初我们看到最常用的就是雅虎,我们现在看到的浏览器也是当初最流行的浏览器的一个前身,正因为有了它,所以,可以给我们今天带来各种各样的互联网的应用。

从HTTP发明之初到现在,直到我们现在物联网,以及智慧城市的发展,这些都是从互联网发明之初一直演变到现在的。大家现在看到的用手机来实现支付,实现网上购物都是通过那个时候慢慢演变过来的。如果没有当初简单的万维网就没有今天这么丰富的互联网的应用。

说到HTTP的协议,应用从发明之初到现在五花八门特别多,但是大家可能只看到的是应用,实际上在这么多应用的背后有很多的技术来支撑。我们当前用的总常见的是HTTP1.1的协议。PPT上是HTTP发展的路线图,从1996年HTTP1.0就开始诞生了,直到2015年5月份,HTTP2.0又正式对外发布了,这个时间经历了这么长的历程,右边我特别列出来,特别感谢Google公司,因为HTTP2.0得以诞生其实里面有很多的资源都是由Google通过自己设计的HPDY的协议演变过来的。

特别讲一下HTTP2.0里,今天我们听了天威诚信的邱总跟大家分享了HTTP的重要性,到了HTTP2.0的时候,HTTPS其实已经变成一个标配了,基本上不需要用户说我是否选择使用HTTPS,而是你只要顺应了那个潮流,你想要让自己的网支持HTTP2.0,那你会发现它默认就已经是HTTPS。提到HTTPS,当然要提到我们国际上,以及中国当前跟HTTPS相关的一些重大的事件。

Google在2014年8月份就对外发布了针对HTTPS的网站,他会优先,而且会把网站的排名更加优先提权,这样推动HTTPS的发展。2015年3月份百度强制的做了全站的HTTPS的链接,也是为了用户搜索任何信息不会被中间人劫持,而且非常安全的浏览。2015年5月份,百度也对外公布了优先HTTPS的网站,百度也加入到推动全球HTTPS的行列里来。2015年10月份,阿里旗下的这些平台全部起用了HTTPS。2015年12月我们非常开心的看到CloudFlare宣布所有用户不仅仅支持HTTPS,而且完整的支持HTTP/2的协议。

SSL证书的具体功能我不做详细的描述了,简单的归纳可以保证数据传输过程中的安全,进行加密,数据传输过程中的完整性,因为使用了数据签名的技术,确保传输的数据一定是完整的,不会有任何问题。第三是它的身份认证可以让用户访问到任何一个你想访问的网站,能识别它真实的身份。

SSL证书在国际上发展的趋势,总的来讲,我们会看到到了2015年末期的时候会发现增长的速度会非常非常快,大家总的数量还不是特别乐观。截止到2015年12月份,我们看到公布的统计数据只有420万左右,实际上全球的网站涉及到几千万上亿。

SSL证书在中国的发展趋势,截止到2015年12月份,中国统计的数量只有3万张不到,数量是非常非常少的。既然这么好的东西,为什么用户的量这么少?我们第一个嘉宾给我们演讲我还特别看了一下,Symantec公布的数据中国当前的网站是在400多万,400多万我们现在看到截止到2015年12月份,我们通过第三方的数据调查看到证书的用户量才三万不到,我们就要分析为什么。Symantec也对外公布了全球的数据,97%的网站实际上都没有做这方面的安全保护,真正做了保护的只有3%,也就是说97%的网站都会存在一些基本的安全隐患。

我们做了一些分析,总结出来这么多的问题。第一个原因当然是归结于中国的网络发展起来相比西方来说要晚一些。所以,用户对安全的意识比较薄弱。SSL证书的使用成本也相对偏高,因为有很多中小型企业或者现在一些初创企业可能他刚刚上线他的应用或者平台的时候可能会觉得尽可能的节省成本。第三个购买SSL证书以后,部署过程中存在一些问题,比如我们收集了很多客户的情况,他们会向我们反映我已经买了一系列的Symantec的SSL证书,购买以后他可能使用国内的CDN服务商提供服务,在他的SSL联系他的服务商进行证书部署的时候,会发现这个服务商给他提供的基础的服务设施里面可能对SSL的支持不是那么好,可能会出现很多问题,这时候给用户就会带来一些损失,用户认为我需要用就先买了,买了需要部署又面临一系列的问题。

四是无法对以前的证书进行非常安全的生命周期管理,我们统计到一些用户向我们反馈,说我证书已经不能访问了,我网站起用了HTTPS以后,突然有一天用户访问的时候,浏览器的提示你的SSL证书已经过期了,可能用户没有把这个事情放为非常重要的角度每天看我的SSL还有多长时间到期,当然我们作为证书服务商也会给用户发送一些通知的邮件,但是用户使用SSL的过程中可能会面临一些技术人员的离职,换岗位,就会导致发给客户的Email不一定收得到。所以,会导致证书到期了可能自己完全不清楚。

第五,无法及时发现已经部署SSL证书的相关问题或者SSL协议带来的相关漏洞。从2014年,2015年的时间里统计下来发现基于…SSL开源出现很多重大的SSL漏洞,这些漏洞对一个企业来讲他们是不具备能力发现这些问题,而且去修补这些问题。所以,这些问题会给企业带来比较多的麻烦。

第六,无法快速大规模的部署SSL证书。大家都知道如果购买商业的证书,比如企业型的,或者增强的证书是有证书审核周期的,也就是用户今天需要SSL证书,但是今天你不一定能立马拿到,因为你申请的话一般都要提前3-5个工作日来申请,Symantec会对申请者的企业身份进行一些见证,确定你是真实可信的企业才会签发。这是不能快速。第二是不能大规模的部署,我们现在看到比较大型的客户,下面的子网站涉及到二三十个子网站,涉及的子域名的数量更多,当他们需要做全网加密的时候,突然有一天会发现他不知道自己要买多少张SSL证书。第二,他不知道他们已经买了多少SSL证书,他也没办法统计,因为以往他只能通过一些邮件的历史记录,或者通过自己用一个Excel的表把每一个购买证书或者到期的日期填到里面,通过人工的方式来进行管理。

最后是无法自动化的实现SSL的申请和部署。因为现在基于云计算的平台发展的越来越快了,对于用户来讲,我需要SSL觉得蛮专业的,我得首先懂什么是SSL证书,我为什么需要,我要申请什么品牌的,我买什么类型的,我如何去对他进行安装和部署,这一系列的问题全部加在一块就导致SSL总的量不是那么多。如果我们能克服这些问题,我相信后面我们的用户,毕竟用户关注的是安全,我们刚才罗列的一系列的东西根本不是用户关心的地方,用户只关心HTTPS是保护我的安全,保护访问我网站的用户。

正因为刚才一系列的问题,Symantec推出了加密无处不在的解决方案,Symantec推出这样的方案考虑到全球用户的发展,所以,Symantec希望在2018年可以让97%的还不够安全的网站真正覆盖到100%。

这个加密无处不在的方案到了中国,中国很多实际的情况,比如中国有很多云计算厂商,Symantec的加密无处不在的方案里面有很多的技术含量,可能到了中国来以后,很多云计算平台没有办法第一时间进行对接,我们就把加密无处不在方案针对中国本土用户的实际需求做了一些本土化的工作,做完以后我们会看到我们这个加密无处不在的方案里分享出来的会有8块。

第一块是亚数跟Symantec联合推出的。第二块是全系列的SSL证书。第三块是我们推出的一个密钥保护方案。第四是我们自己研发的MPKI的平台,第五是我们给一些需要做全网加密的用户提供的综合的解决方案。第六是我们自主研发的SSL Cloud服务。第七是SSL的评估。第八是API。

SSL证书作为一个普及量这么少,里面最大的问题就是针对一些中小型企业或者针对一些初创企业,前期刚开始不会把安全,可能等将来这些企业我的平台盈利了,我向用户提供一个商业的证书,用户授权Symantec解决。这个证书是使用Symantec收购过来的,因为Symantec这个品牌前身叫…,我们看到根证书名称是…开头的,我们会看到它签发给TrustAsia的证书,我们最终把这个证书签发给所有用户,不对用户的身份做认证,只对域名做认证。这个证书是针对中国的用户全免费开放的。

全站SSL加密的解决方案,一般情况来讲,我在我的服部署了SSL证书,用户访问我的网站的时候,可以从首页到任何的页面都是基于HTTPS访问的。这是加密的一个概念,我们里面还覆盖了一些比较复杂的事情。一个用户可能自己有一个网站的集群非常非常多,当他需要SSL证书的时候不是买一张两张部署好就可以了,他之前要做很多评估的工作,比如自己设计了多少页面,多少的IP地址,这一系列的事情对于一个企业级的用户来讲他自己做这样的工作会非常复杂和困难。所以,我们的方案是有一套系统,可能用户在我们系统里提交一个自己的主域名,我们系统就会帮他分析出来他的网站里存在多少子域名,目前部署的有多少SSL证书,会全部帮他分析出来,会给出非常详细的综合性的方案。不管你网站的规模有多大,通过我们这样的解决方案会快速的得出自己,如果我要做加密的话,你想要了解的任何的数据。

MPKI的平台也是考虑到用户,如果我们使用美国的一套管理系统,当然它非常方便,但是里面会存在一些用户不是太习惯的地方。所以,我们自己研发了一套MPKI的管理平台,用户使用这样的平台以后,当你购买了证书或者你的证书使用什么加密算法,使用了什么签名算法,在这个平台里一目了然的,当你的证书如果要进入到快要到期的时间,比如90天,60天,30天,需要更新,MPKI会通过EMail的方式,短信的方式,微信推送的消息推送到用户,用这样的平台管理你的SSL证书对你证书的情况是一目了然的,再也不会说我有一张证书在哪里没有发现没有及时更新。当然,这样的平台跟我们前面联合的免费的SSL结合在一起,对用户来讲更加方便。

Symantec旗下所有的品牌和所有系列的SSL证书。通过我们提供的方案里都是可以提供给用户的。用户不管对Symantec旗下任何一款SSL证书感兴趣,都可以通过我们解决方案一键升级。

SSL Cloud是我们公司自主研发的一款基于SSL协议云监测的平台,这两年会碰到比较多的基于SSL协议的一些漏洞,这些漏洞对于用户来讲,这些专业的知识可能不是太了解。所以,我们觉得我们有义务做这样一套监测平台,如果用户部署了SSL证书,你的SSL证书在使用过程中出现了,如果外面有2014年爆发出来的非常严重的漏洞,当我们看到外面有非常多的漏洞新闻报道的时候,我们跟Symantec的工程团队也是有第一步的接触,但是那个时候因为我们大量的用户都在使用我们SSL监测平台。所以,漏洞爆发的时间,几个小时内我们大部分用户都已经收到安全的警告。当然,我们的工程师也会第一时间帮助用户去提供修补的方案。基本上使用我们SSL Cloud的用户几乎都没有遭受任何损失,后面也出现了其他相关的基于SSL协议,包括用户使用SSL过程中涉及到SSL的协议,SSL的加密套件,以及用户对SSL部署的时候是不是做的最优的状态,我们SSL Cloud平台都可以监测出来,还给它提供好的解决方案,既然检测出来你有问题,我们会告诉你如何解决,解决好以后我们这个平台24小时不间断的进行监测,修补好了我们再看就会发现我的网站正常了。所以,我们手上有很多大型的客户,当他们没有收到我们SSL Cloud而发给他通知的时候他们就会感觉我的网站是非常安全的,没有任何问题。之前他们不能确定网站够不够安全,会不会存在一些安全的漏洞没有发现。

既然对用户的安全性做了检测,检测完以后会有用户说你能不能给我一份详细的报告,我们基于SSL Cloud做了一个安全的评估报告,每个用户检测完了每周都给报告,有的高级用户每天都会收到详细的报告,报告里的安全性比较优秀的话,你就会对自己的安全状况彻底放心。

SSL密钥保护方案,这个方案之所以诞生出来,就是刚才我提到很多用户他买了证书部署到CDN节点上,如果是一些电商级的客户,在CDN上部署的时候,他们的担心CDN服务商会不会把他的私钥泄露了,如果有些用户把自己的应用搬到云上或者搬到CDN上,他们不具备自己为自己做CDN,因为我应用和服务都搬到CDN或者云端上。这个时候我们提出密钥保护方案,当你使用一家CDN厂商使用的优秀的CDN服务的时候,对你的私钥存放在他服务商觉得不够安全的情况下就可以采用这样的方案把你的私钥存放在自己指出定律的Key Server上,自己购买的证书就可以彻底安全放心的存储在CDN或者云计算的平台上。

提到API,刚才讲到一系列的证书,我们交付出来,刚才看到我们可能会有一些GUI的管理界面,我们加密无处不在的方案交付给客户基本是不会通过界面的方式,界面都是基于API的方式整合,因为我们推出这个方案的目的不是针对有些终端用户,我们加密无处不在的方案是用来推动整个中国网络安全的发展。这样来做以我们一家公司的力量肯定是远远不够的。所以,我们在推动这个方案的时候就联合了国内,目前已经合作的有百度开放云,有一个主机管理面板的软件,还有跟腾讯云建立了合作,华为云,还有UCLOUD,我们加密无处不在整套方案我们都是通过全自动化的API的方式,跟这些平台进行一个完整的对接。当你百度开放云的用户你可能在使用他们的服务的时候会发现他们的服务当中就会有一个管理功能,进到那个里面,如果你想使用一张滴滴的证书的时候,你会发现你使用的过程非常非常的简单,你可能到了他的管理面板里,我只要启用就会发现你的证书从申请到获取,到部署,再一系列的过程全自动完成的,对用户来讲你不需要做任何事情,你只要关注自己的业务,因为你希望安全,那你就去做。

如果有一些客户,之前运营型的,某一天觉得我的业务属于一个大的规模,我希望使用Symantec的企业级的证书,你通过他们的后台会发现也会有一键升级功能,启用这个按钮,你证书就可以快速切换。这个过程得益于Symantec,有人会有些疑问,这种证书不需要审核吗?应该有几个工作日的,怎么可能自动实现呢?这个得益于Symantec去年推出的一款功能,完全整合到我们这套生态系统里了,用户只要在我们这边,不管在百度开放云,我们合作的任何云平台或者在我们系统里,它只要做预审核的功能,签发自己证书就不分时间,不分地点。

这就是我今天跟大家分享的加密无处不在,Symantec跟我们一起的目的是什么?我们看到全球的网站存在安全的问题,存在安全问题的网站非常非常多,如果我们还靠传统模式让这些用户慢慢重视自己的安全可能等的时间太久了。所以,Symantec做了一个明智的决定,推出加密无处不在,我们也有幸荣辱这个加密无处不在,把它正式的在中国落地,而且已经做了这么多的应用案例。所以,后面不管做哪个业务的,只要你认为你的业务跟互联网相关,你对安全比较重视,我们加密无处不在的方案都可以融合进来。这就是我跟大家分享的加密无处不在。谢谢。







欢迎光临 赛可达实验室 (http://skdlabs.com/bbs/) Powered by Discuz! X3.2