【2018可信雲大會】CTO袁國成：HTTPS網站安全評估與監測告警解決方案

袁國成：如今下午時間你們都比較累了，給你們帶來一些乾貨。我今天分享的主題是關於HTTPS網站的安全評估與告警監測。

以往咱們在分享安全話題的時候，比較多的是關於網絡安全的，針對HTTPS這塊的話題可能討論的比較少。

咱們這裏先介紹一下亞數，咱們在HTTPS這塊的領域已經研究了十幾年的時間，在今年的2月份咱們Netcraft的一個數據統計機構裏面統計，統計咱們亞數的數字證書在國內的份額已經佔據了第一位，目前大概是40%的市場份額。應該說在HTTPS這塊來講，亞數是處於一個領先者的地位。

 

我相信老網民比較熟悉，這是咱們十幾年的網站頁面。那時候咱們上網比較簡單，就是去瀏覽一下網頁，也不須要作不少的安全防禦。到了今天，咱們看不單只是用PC去上網，咱們還會用手機、IPAD上網。

應用環境除了瀏覽網頁以外，咱們還會去電商購物，視頻網站看視頻，也會在網站上消費。目前網站的應用場景是很是複雜的，在這樣複雜的環境裏面咱們怎麼樣去保證咱們的網站安全？

 

首先咱們要給網站上一把鎖，從HTTP變到HTTPS這樣一個訪問。簡單一點，就是咱們只要在網站上面部署一個SSL證書，就可以實現訪問網頁加密的訪問。你們若是細心，今天去訪問淘寶、京東、百度，仍是習慣性的在網站上輸入HTTP：//…，可是你會發現你的地址輸入完以後會自動跳轉到HTTPS，意味着如今的網站他們都已經作了強制的加密的訪問。

 

爲何咱們要作HTTPS？首先它是符合咱們國家的法規，也是一個等保的要求。在等保裏面咱們看到，在咱們對於數據傳輸的完整性以及保密性裏面是有要求的。由於咱們的網頁上承載了用戶的賬號、密碼、手機等等一些隱私的數據，這也是今年新的歐盟的GDPR裏面的要求。

咱們看到HTTPS還能夠防止中間的攻擊，有時候咱們訪問網頁的時候會看到各類各樣的咱們不肯意看到的廣告，可是這些廣告並非網站主發出去的，由於他們的網站被進行了流量的劫持。

當咱們訪問一個網頁，從PC到最後的服務器，這個傳輸過程當中，在任何一個環節裏面，包括咱們家裏面的路由器，到運營商的網絡設備都有可能會產生這樣一個流量劫持，致使跳出廣告。這個比較噁心的是網站主是無感的，由於這個劫持只發生在客戶端訪問的時候出現，因此這個攻擊裏面攻擊了多少次、攻擊的狀況是什麼樣的，網站主是徹底不知道的。

HTTPS能夠防止數據被竊取、篡改，下面一個是HTTP的圖，是不能被篡改和修改的。

 

在2013年的時候咱們的互聯網專家定義了新一代的互聯網加密協議，這個協議就是咱們的HTTP2.0。這個協議有兩個特色，第一個它讓咱們訪問網頁更加安全，由於它定義了HTTPS是一個標配的訪問協議。

第二個很重要，它可以極大地提高網頁的訪問速度，它的原理就是經過優化咱們的HTTP訪問的握手協議，去提高咱們網頁的訪問速度。

這裏面我想讓你們去體驗一下，這是咱們經過手機APP打開一個界面，訪問一個網站。左面就是原來1.1的協議，咱們打開一張世界地圖，它的傳出是一幀一幀出來的，它用時是9秒。右面的是HTTP2.0，你們看很是快，2秒鐘就出來了。

 

目前搜索引擎不論是國外的谷歌，仍是咱們國內的百度，對於HTTPS的網站的排名是優先輸入的，這一點對於咱們作SDU的優化來講是很是有幫助的。同時HTTPS也是符合咱們國際的支付協議，就是PCI的安全規範。

對於咱們最經常使用的iPhone來講，在今年的1月份已經強制要求全部上架的APP必需要用HTTPS的協議。

回到國內，咱們的騰訊、微信，由於咱們在去年的時候跟騰訊進行了合做探討，也定義了小程序的規範必需要使用HTTPS的協議。這就是咱們跟騰訊一塊兒來去作的一個SSL證書的架構協議。

 

另一點很重要，咱們的SSL證書若是是用一個EV證書，它能夠在咱們瀏覽器的地址欄裏面出現網站主的信息，這一塊對於一些事業單位、重要的網站來講，這個用戶體驗是很是好的。

綜合上述的一些狀況，咱們看到HTTPS兩個最關鍵的點，第一個是保護用戶數據的隱私，第二個提高網站的可信度。

從在2013年1月份到2017年5月份統計的SSL證書的發展狀況看，能夠看到從2016年5月份開始，是一個幾何級別的增加。到如今來講，應該增加很快。可是我能夠告訴你們，到目前爲止SSL的證書，HTTPS訪問的網頁目前只有大概5%左右，也就是有95%的網站他們並無使用這個加密的協議來去訪問。

 

咱們講了這麼多，怎麼樣去爲咱們的網站去選購一張SSL證書？

應該說，通常狀況下咱們會考慮四方面，第一個方面首先是瀏覽器的兼容性，由於再好的證書、再好的加密算法，若是瀏覽器不兼容其實都是沒有用的。

第二個，咱們要考慮算法的優點，由於算法越好，越難以破解。

第三個是這個品牌的產品線是否豐富。

最後一個是本地附加的服務。國內的品牌能夠選擇咱們亞洲誠信的證書，由於目前來講咱們的網絡安全都但願是國產化的，因此我是建議你們優先選擇國內的品牌。

 

另外咱們看到證書的安全性跟信任等級跟國外是同樣的，加密算法也是用了高級的算法。它的優點就是頒發週期很是短，通常3—5個工做日就能夠頒發，可是國外的證書要一週以上纔可以頒發。

咱們去年聯合了國內大部分的雲一塊兒來推了一個加密無處不在的計劃，這個計劃咱們從去年到如今統計了有超過20萬網站實現了HTTPS，咱們的特色只要你在咱們的合做夥伴的網站界面裏面，一鍵就能夠實現HTTPS的部署，這是咱們某一個合做夥伴的界面，只要在上面進行一個簡單的操做，就可以爲你的網站開啓HTTPS。

 

那接下來咱們更深刻的話題，咱們實現了部署的證書，網站已經變成了HTTPS，是否是就是安全的？

這個答案跟剛纔主持人說的同樣，其實並不就必定是安全的。咱們自研了這樣一個系統，對咱們全網的數據進行統計分析，發現目前有32.2%的網站仍是處於一個不安全的狀態，我再次強調一下32.2%的網站是HTTPS的網站。

它的評級屬於不安全的，咱們這個數據不是瞎說的，咱們的數據目前已經採集了67萬的網站樣  |原本去獲得這樣一個數據。

 

爲何會有這麼多的網站不安全？咱們進行了一些分析，目前主要有這樣一些狀況。

首先第一個，咱們部署的證書不可用。由於咱們的證書都是有有效期的，一旦你過了有效期之後，沒有去頒發新的證書，那麼你的證書是不可用的。

另一點，若是你從一些小的渠道買了一些小品牌的證書，也有可能出現證書不可用的狀況。

就像某大的電商網站，曾經發生過的事情，在2年之前出現過證書的問題，致使那一天有2小時網站中止訪問，你看多可怕，京東、淘寶這樣的網站停2個小時是什麼概念？

 

這是證書鏈的不完整，由於證書是一級一級分層去頒發證書，中間這一層若是沒有去部署，會致使證書鏈的不完整，出現網站的不可訪問。

這是咱們在網站上使用一些安全性比較低的加密套件，致使你的網站仍是處於一個不安全的狀況。這就是咱們在服務器裏面使用了比較低版本的OpenSSl，致使出現了一些比較常見的漏洞。

這塊多是你們比較在乎可是比較嚴重的問題，就是不安全的外鏈。當你的網站使用了HTTPS，可是你的網頁當中一旦內嵌了一種不安全的外鏈，由於這種狀況是很廣泛的，由於咱們可能會鏈接流量統計，或者帶入一些外部的圖片，這時候你的連接有多是普通的HTTP的連接，這種狀況下你仍是會被流量劫持。

 

這就是剛纔提到的證書的兼容性的問題，若是你使用了一些普通的國產證書，或者是一些小品牌的證書，他們在不一樣的瀏覽器裏面兼容性並不必定很是好。

這裏面提到咱們在谷歌瀏覽器上，從60開始，對咱們網頁不使用HTTPS訪問的時候很是不友好，直接就跳出一個不安全的紅色警告出來。

 

針對咱們客戶這麼多使用咱們的證書仍是不安全，咱們也研發了一款產品，叫作MySSL在線服務平臺來去解決問題，這個MySSL目前是公益版，在網上是在線服務的，能夠不收費就進行使用。

咱們的MySSL目前主要是這六塊功能，第一個是安全評級，而後是證書品牌的管理，有效期管理，漏洞的分佈，合規的檢測等六大功能。

其中最核心的就是第一塊安全評級，會根據咱們的安全風險分爲A+、A、A-、B、C、D、E、F、T這九個級別，在A+、A-跟A都是屬於安全的，若是是B跟C意味着你的網站有漏洞，但仍是能夠正常使用。若是一旦在D如下，你的網站有重大漏洞，必需要立刻修復。

 

同時咱們考慮到運維人員對SSL這方面的管理，咱們在網站上也提供了不少SSL小工具，方便咱們的運維人員對網站進行包括私鑰、公鑰的管理，有興趣的能夠到咱們網站上看一下，考慮一下使用這個功能。

這裏面咱們再看一下MySSL評估功能，包括評估證書信息，包括協議和套件的安全狀況，包括SSL的漏洞，包括證書的兼容性、瀏覽器的兼容性，均可以在這個評估報告裏面很清楚的看到。

很重要的就是一個它會對咱們提供你評級不安全的緣由，第二個它會給一個很詳細的修復建議，包括咱們的運維人員把這些漏洞給修復掉。

 

今年8月份咱們又針對MySSL出了一新的企業版，它的功能應該說很是強大，能夠支持多個站點的實時監控和管理，會有一個比較詳細的面板來去看到各個域名網站的安全分析報告，就像一個體jian報告同樣。

這是咱們剛纔提到的不安全外鏈的狀況，這裏面咱們有一些客戶給咱們提這樣一些需求，由於這個客戶也是目前國內的某二手市場裏面比較大一個電商網站，他們天天會有不少用戶去發佈這些二手信息，很容易內嵌到不安全外鏈，這塊咱們提供實時的不安全外鏈的報告，可以精準定位你的網站在什麼時間哪一個頁面上內嵌了不安全的外鏈。同時咱們也會對中間人攻擊進行實時的態勢感知分析。

 

考慮到咱們用戶在使用咱們這個系統的便捷性上來講，咱們MySSL是基於SaaS的架構，它的使用很是簡單，只要你輸入你的網站域名和你的端口，後面就能夠交給咱們來進行監控。

咱們的監控每10分鐘就會對你的網站進行實時監測，一旦發現異常咱們會經過微信、電話、短信告警去通知用戶，你的網站出現了不安全的狀況。

剛纔提到MySSL目前已經有67萬獨立HTTPS網站域名的數據，咱們目前沒有作專業的推廣，也沒有去搜索引擎買廣告，可是咱們目前已經有15萬的日檢測量，這只是短短兩三個月的系統發佈。

 

最後我是想讓你們作一個簡單的互動，你們能夠拿一個手機打開微信小程序掃一掃咱們的小程序，輸入你關心的網站，就能夠立刻看到你的評測結果。謝謝你們！

 

                                                                                                                                              （以上內容轉自「中國IDC圈」）